本連載では、これまでに、ローカル5Gの概要、ローカル5Gで想定されるサイバー攻撃について紹介してきました。今回は、サプライチェーンリスクとそれに対応するための「サイバー・フィジカル・セキュリティ対策フレームワーク(Cyber Physical Security Framework:CPSF)」を解説します。
サプライチェーンリスクとは(出典:NTTデータ先端技術)
ローカル5Gにおけるサプライチェーンリスク
第2回では、「ローカル5G導入に関するガイドライン(総務省) 」(PDF)の「(9)セキュリティの確保」において、「サプライチェーンリスク対応を含む十分なサイバーセキュリティ対策」といった一言があることを確認しました。サプライチェーンリスク対応とは、何を求められているのでしょうか。
そもそも、サプライチェーンリスクとはなんでしょうか。そこで、内閣サイバーセキュリティセンター(NISC)が公開した「サイバーセキュリティ2019 」(PDF)をみてみましょう。同書は、日本政府の情報セキュリティ政策を遂行する機関であるNISCが、2019年度の重点計画を盛り込んだ年次報告、計画書です。
従来のサプライチェーン・リスクは、自然災害等何らかの要因からサプライチェーンに障害が発生し、結果として事業の継続に支障を来す恐れがあるというリスクを主に想定していた。ITにおける新たなサプライチェーン・リスクとしては、サプライチェーンのいずれかの段階において、サイバー攻撃等によりマルウェア混入・情報流出・部品調達への支障等が発生する可能性も考慮する必要がある。また、サプライチェーンのいずれかの段階において、悪意のある機能等が組み込まれ、機器やサービスの調達に際して情報窃取・破壊・情報システムの停止等を招く可能性についても想定する必要がある。
つまり、ローカル5Gにおけるサプライチェーンリスクとしては、IoT機器、IoT機器を利用したサービスを製造、流通する過程において、不正なプログラム、ファームウェアの組み込み、改ざんなどが行われるリスクを指すと言えるでしょう。
工場の工作機械を使ったIoTシステムを考えてみましょう。工作機械を作るためには、物理的にはさまざまな部品、それを動作させるためのOS、プログラムが必要になります。OSはA社製、プログラムはB社、それを動かすハードウェアはC社で、データの格納先はクラウドベンダーのD社…、といった具合で、さまざまな企業が関わります。
「情報漏えいを引き起こす不正なコードを仕込まれる」「脆弱性がある古いOSを利用している」「アプリケーションのシステム管理者のデフォルトのパスワードがすぐに思いつくものだった」…といったように、故意、過失にかかわらず、脆弱性が仕込まれ、攻撃を受ける可能性のあるポイントが存在するため、1社だけがセキュリティ対策に注意していても、脆弱性のある製品になってしまう可能性があります。
