SESSION3では、フォーティネットジャパン合同会社 OTビジネス開発部 部長を務める佐々木 弘志氏が「自社工場におけるセキュリティ対策の現状を把握するには?」をテーマに講演した。
増え続けるサイバー攻撃から自社のビジネスを、ひいては取引先・納品先を守るため、OTセキュリティ対策が求められている。経済産業省が策定を進める「工場セキュリティガイドライン」は、その際の指針として大きな役割を果たすだろう。
ただ、ガイドラインはあくまでガイドラインであり、指針に過ぎないのも事実だ。「ガイドラインに沿って対策を進めるにしても、自身でのリスク判断に自信がない」「担当者である自分はいいが、社内の他の関係者にも対策の必要性を理解してもらうにはどうしたらいいか」といった声も漏れ聞こえてくる。
こうした声に応える手段の1つとして、フォーティネットでは、まず「簡易的な問診票」に当たるWebベースの診断サービスから始め、不十分なところから補っていくアプローチを推奨しているという。フォーティネットジャパンのOTビジネス開発部部長、佐々木弘志氏が「自社工場におけるセキュリティ対策の現状を把握するには?」と題するセッションで、具体的な支援内容を紹介した。
健康診断における問診票、まずはWeb簡易診断サービスで現況把握を
経済産業省の工場セキュリティガイドラインでは、第三章の「セキュリティ対策企画・導入の進め方」において、セキュリティ対策を企画・導入するステップを紹介している。最初のステップは「情報収集・整理」。自社の業務や保護対象を整理し、重要度をつけ、それぞれどのような脅威の影響を受けるかを洗い出す作業、いわゆるリスク評価だ。
リスク評価は外部のコンサルティング企業に委託すると多額のコストがかかる作業だが、フォーティネットでは、工場セキュリティガイドラインの内容をベースに、Web上で手軽に診断を行える「工場セキュリティWeb簡易診断サービス」を無償で提供している。いくつかの質問に応えていくことで、「組織」「運用」「技術」「工場資産サプライチェーン」と「総合評価」の5つについて、A〜Dの4段階で評価するサービスだ。
佐々木氏は「これまでこのチェックシートを用いた簡易診断を提供してきましたが、ほとんどの会社がCかD、つまり対策がまったくできていないか、一部の対策しかできていないという不十分な状態でした」と述べた。それでも、現状を可視化し、関係者が共通認識を形成するという意味では非常に大きな効果があると言える。
次の問題は、こうして現状を把握した後にどのような対策を取っていくかだ。どのように改善していけば、現状のDやCといった評価をB、そしてAといったレベルに改善できるのだろうか。
「人間ドッグや健康診断を受ける前には、生活習慣や健康状態に関する問診票に記入を行うでしょう。ですがこのリストだけでは正確な健康状態は把握できません。具体的な対策を考えるには、専門家による問診や血液検査、X線検査といったさらなる検査が必要になります。その意味で、Web簡易診断サービスは問診票であり、改善に向けた対策を行うにはさらなる診断が必要です」(佐々木氏)
こうしたニーズに応えるためフォーティネットでは、工場現地に出向いてのヒアリングや実機のアセスメントサービスなどを提供している。「専門家が詳しく問診を行い、さらにネットワークを流れるパケットを見て管理状況や不正なアプリケーションの有無などを確認することで現実がより見えるようになります。それを踏まえて、組織、運用、技術、工場サプライチェーンという4つの観点で具体的にどのような対策が必要かを整理していきます」(佐々木氏)。工場セキュリティWeb簡易診断サービスが問診票だとすれば、こうしたサービスは、専門医による診断や血液検査・X線検査に当たるというわけだ。
工場セキュリティガイドラインと紐付け、最低限のセキュリティ対策を実現
Web簡易診断サービスのポイントは、チェックリストを経済産業省の工場セキュリティガイドラインの各項目と紐付けつつ、項目数を30程度に抑えていることだ。「NISTのサイバーセキュリティフレームワークやIEC62443といった他のガイドラインにはもっと多くの項目がありますが、それらのうちどの部分が自社の工場にとって重要かを見分けるのは非常に大変です。いきなり始めてもなかなか前に進まない可能性があります」(佐々木氏)
これに対しWeb簡易診断サービスでは、特に重要な事柄を厳選した30項目程度にまとめられている。これらをチェックし、「B」のレベルに持っていくことで、最低限のセキュリティ対策が実現できると説明した。
※クリックすると拡大画像が見られます
診断の結果、たとえば組織に問題があることがわかれば、ポリシーの策定や責任者の任命、教育コンテンツの作成、ガバナンスの確立といった活動が必要になるし、運用面が不十分であれば、インシデント対応のルールやDX関連の新規システムを導入する際のルール整備が必要だ。そして技術面では、ネットワークのセグメンテーションやリモートメンテナンスに対する侵入検知、古いOSや野良無線アクセスポイントの洗い出し・対応といった対策が求められる。
※クリックすると拡大画像が見られます
フォーティネットでは、組織、運用、技術の各面に存在するリスク要因を洗い出し、減らす作業を、コンサルティングとソリューションを通じて支援していくと佐々木氏は述べた。
それも、Web簡易診断サービスで判明した「できていない項目」に対して、「なぜやるのか」「誰がやるのか」「具体的に何をするのか」「どこのシステムを対象にするのか」「いつやるのか」「どうやってやるのか」「いくらかかるのか」という5W2Hの考え方に基づいてサポートし、「できている状態」へと持っていく。特に技術面については、フォーティネット製品で統一する方法はもちろん、既存の資産を生かしたマルチベンダー環境での対策、どちらも提案可能となっている。
組織や運用とのバランスを取りつつ、段階的なセキュリティ強化を支援
診断を元に対策に取り組み、最低限の「できている状態」が整ったならば、次に気になるのは、「どこまでやればいいのか」ということだろう。「最低限のセキュリティ対策はできたけれども、DXを進めたい工場、あるいは企業のビジネスにとって非常に重要な工場についてはもっとしっかり対策をしたい、管理したいという場合には、セキュリティ対策をさらに発展させていく必要があります」と佐々木氏も述べた。
そこでフォーティネットでは、簡易診断を通して、組織や運用の整備、ITとOTの境界防御といった最低限のセキュリティ対策を実施するステップ1の先に続くロードマップも用意している。
ステップ2では、オールフォーティネット製品の構成によるネットワークの可視化、OT-IDSと連携したインシデント対応の自動化といった対策が含まれる。「このレベルまで来れば、工場セキュリティガイドラインを踏まえた30項目程度のチェックリストだけでなく、NISTサイバーセキュリティフレームワークなどの国際標準を活用することを推奨しています」(佐々木氏)
最後のステップ3では、世界各地に存在する複数の工場の統合監視をSOCで実現する体制を整え、各工場のセキュリティ体制を横串で比較していく姿を目指す。「ここまで来れば、組織と運用、技術がバランスよく実現できる環境が整い、さまざまな環境変化やビジネスの変化に対応できるセキュリティ対策が実現できると考えています」(佐々木氏)
もちろん、すべての工場がこのステップ3まで整備する必要はない。また、ステップ3を目指すにしても戦略や予算との兼ね合いで、いきなりすべてを整えるのは困難だ。佐々木氏は「ステップ1からステップ2、そしてステップ3へと段階的に組織、運用を高めながら技術を導入していくことが非常に重要です」と述べた。組織や運用が伴わないまま技術だけ導入し、対策が形骸化してしまうような事態を避けるため、フォーティネットではコンサルティングを組み合わせながら支援していくという。
さらに、一連の対策の必要性について社内の理解を得るため、工場長や現場責任者向けの「サイバーセキュリティ勉強会」や、現場の担当者がセキュリティについて理解を深めることのできる動画コンテンツ「ながらDEセキュリティ」も用意し、工場の現場におけるセキュリティ意識の向上を支援していく。
もう1つ忘れてはならないポイントが、サプライチェーンの視点だ。大企業ならば対策を進めることも可能だろうが、中小企業では予算や人手の面で現実的に難しい部分がある。フォーティネットでは、同一アーキテクチャに基づいてハイエンドモデルから小型モデルまで幅広いソリューションを提供することで、サプライチェーン全体にスケールするネットワークセキュリティを提供し、中小企業でも最低限の対策を実施できる環境を整えていくとした。
また、こうした環境を整える上で重要なのが、相互の情報共有だ。フォーティネットは、FacebookのプライベートグループとしてOTセキュリティに関するコミュニティを設け、OTセキュリティに関する最新ニュースや解説などの情報を発信するほか、「ながらDEセキュリティ」といったコンテンツを通して、継続的に情報を発信していく。ぜひこうした情報を積極的に活用してほしいと佐々木氏は呼びかけた。
