今や家庭では、テレビやゲーム機、スマートスピーカーなどの様々なIoTデバイスをネットワークにつなぎ、活用するのが当たり前だ。この波は企業ネットワーク、さらには工場や医療機器、社会インフラなど幅広い分野に及んでいる。従来から活用されてきたプリンタなどのデバイスだけでなく、監視カメラをはじめとするIoTデバイスやセンサー、PLCなどをネットワークにつないで情報を収集し、クラウド上で分析して生産性の向上や質の高いサービス提供に生かしていく、「スマートファクトリー」「スマートシティ」を目指す動きが各地で始まっている。
この結果必然的ではあるが、IoTデバイスの数は増加の一途をたどるばかりだ。いろいろな数字があるが、例えば総務省の情報通信白書では、世界のIoTデバイスの数は2020年の約253億台から2021年には277.9億台へ、2022年には309.2億台へと増加すると予測している。
問題は、これに伴ってIoTデバイスをターゲットにした攻撃も増加していることだ。
たとえば、設定不備や脆弱性を突かれ、監視カメラの映像が世界中の誰でも閲覧できる状態になってしまうケースは、過去からたびたび指摘されてきた。もっと深刻な例では、米国フロリダ州の水道局のシステムに何者かがアクセスし、薬剤の量を勝手に変更してしまう事件が発生した。幸いにして担当者がすぐに異常に気づいたため実害は発生しなかったが、つながるIoTのリスクは確実に高まっている。
こうした例は海外の話であり、日本ではそんなことは起こりえないだろう——と思うのは楽観的だ。国内でも2018年の時点で、複数の自治体が運用する河川監視カメラが不正アクセスを受けた事件が発生している。また、IoT機器がマルウェアに感染して外部への攻撃に加担したり、ITネットワーク経由でランサムウェアの影響を受けて製造ラインの正常な稼働が妨げられたり、病院での診療を一時中断せざるを得ない事態も生じている。決して対岸の火事ではない。
安易に手を加えられない稼働中のIoT/OT機器、どのように保護する?
では、ネットワークにつながるIoTデバイスをどのようにして守っていけばいいだろうか。
ITシステムの場合は、長年にわたる蓄積を経てベストプラクティスが確立されつつある。とはいえ最初の第一歩としては、アンチウイルスソフトの導入によるマルウェアの検知・駆除と、定期的なアップデートによる脆弱性の修正が挙げられるだろう。
同じようにIoTの世界でも、この数年で新たに市場に投入されているIoTデバイスの中には、はじめからセキュリティについて考慮してアップデート機能や保護機能を組み入れたり、「Microsoft Defender for IoT」のマイクロエージェントのようなセキュリティエージェントを搭載するものが増えている。新規に投資を行ういわゆる「グリーンフィールド」の場合ならば、これが対策の第一歩と言えるだろう。
問題は、すでにフィールドで稼働しているOT機器、IoT機器の保護だ。こうした機器は、数年、十数年単位のライフサイクルで稼働しており、リソース的に最新のセキュリティエージェントの導入が難しいものも含まれている。またそもそもこうした機器は停止の許されない生産設備やインフラを支えているため、エージェント導入やアップデートのたびに止めるのは困難だ。
こうした「ブラウンフィールド」を保護する方法としてMicrosoftでは、ネットワークセンサーを活用し、エージェントを入れずにネットワーク側で守っていくアプローチを提唱している。トラフィックを監視することによってネットワークにつながるデバイスをすべて検出し、脆弱性の有無を把握した上で継続的に監視を行う仕組みだ。そして、もし普段とは異なる状態が発生した場合には、あらかじめ用意したプレイブックに沿って半自動的に対応を取ることで、被害を最小限に抑えていく。
OT環境だけでなく、IT環境も含んだ統合的な監視も重要に
つながるIoT機器、OT機器を守っていく際に考慮したいもう一つのポイントが、IT環境にもまたがる統合的な視野を持つことだ。
最近のサイバー攻撃は、ダイレクトにIoTデバイスやOT環境をターゲットにするよりも、IT環境を足がかりにしてOT環境へやってくるものが目立つ。ITシステムを対象にした攻撃でも、まず一般ユーザーのPCに侵入して社内を探索し、徐々に重要なシステムへと侵害範囲を広げる手法が主流になっているが、その範囲に生産ラインの制御システムやIoTデバイスまでもが含まれるようになっている。
従って、OT環境を見張っているだけでは的確な対処は難しい。PCやサーバなどのIT環境と、PLCをはじめとするOT環境やIoTデバイスの双方を統合的に監視し、双方で起きたイベントを相関づけて分析しながら攻撃の一連の流れを確認していくことで、セキュリティインシデントを早期に検知できる。それには、ITとOTにまたがって統合的に監視できるSIEM/SOARソリューションが大きな力になるだろう。
「サイバーフィジカル戦略〜Microsoft流OT/ITセキュリティのあるべき姿」で行われたセッション「エージェントの入れられないデバイスはこう守れ〜プリンターからPLCまで〜」では、こうした要点を押さえた上で、どのようにIoTデバイスを守り、IT環境と統合した形で監視していくかの具体的なヒントを紹介している。
特にOT環境の場合、どれだけスムーズにこうしたセキュリティ対策を導入できるかも不安の種となるだろう。前述の通り、工場やインフラには何よりも「安定して稼働し続けること」が求められる。リスクを抑えるためにセキュリティ対策が必要なのはわかっていても、その導入プロセスの中でトラブルが生じてしまっては元も子もない。
実はこのセッションでは、制御システム・電子機械器具のメーカーである北菱電興が、Microsoft Defender for IoTに関する豊富な知見を持つパートナー企業の支援を受けてセキュリティ対策を導入し、セキュアなスマート工場の実現に取り組んだ事例も紹介されている。どのような構成でどんなプロセスを踏めばスムーズにOTセキュリティを実現できるのか、具体例を通して知ることができる。
