最近あちこちで「インターネット老人会」ネタを耳にするようになった。温故知新ではないが、過去に起きた出来事から学ぶことも、これからの新たな対策を検討する上で重要だろう。セキュリティ業界に十数年もの間携わり、初回のCODE BLUEにはボランティアで参加した経験を持つベリサーブのソリューション事業部 マーケティング部長、武田一城氏が、「製造業におけるセキュリティ新市場の勃興」と題してセッションを行った。
株式会社ベリサーブ
ソリューション事業部 マーケティング部長
武田 一城 氏
ZDNETの連載記事でも知られる武田氏にとって、インターネットやサイバーセキュリティの歴史の中で大きなターニングポイントとなったのは学生時代に体験したWindows 95の発売だった。それから二十数年、コンピューテイングは進化し、その用途は情報システム部門が管理するITにとどまらず、さまざまなものがつながるコネクテッドな世界が到来している。
武田氏は、「スマートなものはすべて攻撃される」と語ったウィズセキュアのミッコ・ヒッポネン氏による基調講演を引き合いに出し、「世界につながるということは、世界中の悪意ある人から攻撃を受ける可能性があるということを意味します。そして、攻撃手法が成り立てば即金銭につながる。デジタルな世界のさまざまなものが、そのまま利益につながる構造ができてしまったのが今の時代と言えます」と述べた。
先に述べたWindows 95発売当時はサイバー攻撃の黎明期で、そもそもセキュリティ対策ソリューション自体があまり存在していなかった。あったとしてもアンチウイルスソフト程度で、企業向けファイアウォール製品も登場したかしないかという時代である。今では考えられないことだが、企業ネットワークもほぼ素通しで内部が見えてしまう状態が珍しくなかった。さらに、そもそもOSやアプリケーションも、基本的にセキュリティを考慮した設計にはなっていなかった。
「そんな状況でしたが、攻撃者側にも手法やノウハウがなかったため、あまり問題にならなかったのがその頃のインターネットだったのだと思います。」(武田氏)
それが変化し始めたのが2000年代だ。ドットコムバブルが沸き起こり、ビジネス(お金儲け)とインターネットがつながり始めた結果、サイバー攻撃で「金銭」を得られるというメリットがあることが攻撃者に認識され始めた。不正アクセス禁止法をはじめとする法整備が始まったのもこの時代だ。
もっとも、この頃世間を騒がせていたのはCodeRedやNimda、Slammerといったワームが主流で、顕在化したリスクはまだ大きくなく、「いろいろな脅威の芽が出始めているけれども、その具体的な対策は定まらず、セキュリティは暗中模索だった時代」(武田氏)と言えるだろう。
そして、世間におけるセキュリティの位置付けが大きく、かつ急激に変化したのは2010年代だ。2011年にいくつかの大手企業が標的型攻撃の被害に遭い、それが大きく報道されたことと、それを受けて経済産業省が「サイバーセキュリティ経営ガイドライン」を2015年に公表したことによって、「企業はセキュリティを経営責任と捉え、しっかり対策を実施すべき」という機運が高まってきた。それを受け、サイバー攻撃をはじめとするセキュリティインシデントに対応するCSIRTのような組織の整備も進んだ。
「2010年代の半ばから現在にかけて世論の合意形成ができて、きちんとセキュリティにお金をかけ、セキュリティ人材のキャリアパスを整備していく取り組みを進めようという動きが、その分野の人たちの願望から急激に一般化してきました」(武田氏)
こうした二十数年の紆余曲折を経て、執拗な標的型攻撃による被害といった痛みも経験しながら、セキュリティはようやく市民権を得ることになった。
「特に、サイバーセキュリティ経営ガイドラインによってセキュリティを経営責任と位置付けたことが大きかったと思います。個人的には経済産業省のファインプレイだったと思います。これによりセキュリティ対応は、ベンダー任せにするものから、自分たちで運用するものへと変化し、運用ベースの議論ができるようになってきました」と武田氏は述べ、ようやくスタートラインに立ったと表現した。
大統領令をきっかけにいよいよ加速した、モノ作りのセキュリティ
目を日本の産業構造全体に転じると、大きな役割を果たしているのが製造業だ。企業数では全体の第三位、売上高では第二位を占めている。売上高10兆円以上の日本企業12社のうち5社が製造業であり、押しも押されぬ日本の基幹産業と言えるだろう。
製造業の中心を占めているのは製品の設計・開発や製造に当たる生産ライン、品質管理といった「本業」の面々であり、スタッフ部門である情報システム部門は非主流派だ。ただ、「今やその製造業でも、セキュリティを非常に気にしなければいけない時代になりました」と武田氏は述べた。
製造業とIT、セキュリティを巡る議論は、10年以上にわたり、モノがつながるIoTという切り口で論じられることが多かった。だが、かつては機械の塊だった車でさえ、今やコンピュータとセンサーの塊となっている。ヒッポネン氏が車を「データセンター」と表現したのはまさにその通りで、1台の車が巨大なシステムとなっている。
「もはや身の回りのモノの中身はすべてITであり、デジタル化されています。製造業という大きな事業体が作るモノ自体がITになってきていることが大きな特徴です」(武田氏)
近年、ITシステムと化したプロダクトを守っていくために、組織の中でセキュリティインシデントに対応するCSIRTと呼ばれる組織だけでなく、製品のセキュリティを高め、インシデントに対応する「PSIRT」や、工場を守る「FIRST」といった組織を整備する動きが、この数年で広がってきている。「PSIRTはお客さんを守り、FSIRTは自分たちを守るものです。製造業が自分たち自身を、そして自分たちのお客さんを守ることをきちんと考え始めていると言えると思います」(武田氏)
中には、サイバー攻撃に関する情報共有を目的としてJ-Auto-ISACを立ち上げ、国の政策と擦り合わせながらガイドライン作りに取り組んでいる自動車業界のように、さらに一歩踏み出す動きも始まっている。
武田氏は、一連の動きを加速させている要因の一つとして、バイデン大統領が2021年5月に出した「国家のサイバーセキュリティ改善に関する大統領令」を上げた。この大統領令では、モノ作りにおいてきちんとセキュリティを考慮すべきと定めている。
中でも注目を集めるキーワードがSBOM(Software Bill of Materials)だ。ハードウェアのモノ作りの時には必ずBOM(部品表)を作り、きちんと管理することが基本となるが、同じことをソフトウェアの世界でも実現しようとする仕組みがSBOMとなる。
ただ、SBOMにも課題がある。ソフトウェア部品の中には機能を作ることに特化するあまり、なかなか品質にまで手が回らないものもあるからだ。自身もPostgreSQLなどオープンソースコミュニティで活動してきた武田氏は、「このような分野では、オープンソースソフトウェアの利用率は、80~90%にもなります。ビジネスとして動いている以上、コストやスピードの両面からそれ以外の選択肢は無いとも言えます。その一方、OSS自体の特性として管理がとてもしにくいという問題があります」とした。
だがそれでも大統領令をきっかけに、ソフトウェアについても部品レベルから一個一個管理し、品質を、そして脆弱性管理を義務化していこうという動きが広がり、調達の条件として求められるようになっている。同様の動きはヨーロッパではさらに厳格となっており、このような世界的な動向から「製造業全体で製品セキュリティの意識が急に向上しています」(武田氏)
武田氏はここまでの動きについて「おそらく皆、以前から、工場のIT化が進展していたことに気付きながらも、理解できる人が現場に少ないこともあり、なかなか実装(対策)が進んでいなかったところがあると思います」と指摘した。さらに、「インターネットとは隔絶されたオフラインの世界だから安全だ」という神話も相まって、Windows XPや98といった古いOSがまだ現役で使われている環境もある。
だが「大統領令やヨーロッパ基準などに合わせて、対策はそろそろ待ったなしの状況になってきました」と武田氏は指摘。日本でも経済産業省が動き出しており、黒船に弱いという日本人の特性も相まって、いよいよこの世界的な潮流を無視することはできないとした。
誰かに丸投げするのではなく、自分たちで自分たちを守る取り組みを支援
IT業界においては20年、30年という長い時間をかけて、運用をベースとしたセキュリティについて議論できるようになった。そして今、製造業においても自社や製品、それを購入する顧客を守ろうという意識が広がりつつある。
「昔は、システムはベンダー任せのところがあり、その流れでインシデント対応も任せる節がありました。今やっと、自分たちにとってリスクは何かを考え、対応組織や責任者を整備し、日本シーサート協議会(NCA)などに加盟する企業が増えてきたのは大きなことだと思います」(武田氏)
個々の企業の中でも同様に、「セキュリティのように難しいことは任せるよ」と情報システム部門に丸投げする空気があったが、徐々に製造や設計開発、その他の各部門も含め、皆で取り組む機運が高まり始めた。それを象徴するのがPSIRTやFISRTと言えるだろう。
ベリサーブはこれまで、ソフトウェアのテストや品質保証といった領域で支援サービスを提供してきた。その経験を元に、あらゆるもののソフトウェアやアプリケーション全体の品質を上げるべきだという機運が広がる今、PSIRTやFSIRTの立ち上げ、SBOMの整備や運用といった領域を中心に、製造業の支援を従来から続けているそうだ。
そして、このような役割は企業のITとその運用・管理を担う情報システム部門ばかりを相手にしてきたシステムインテグレーターに代表される多くのITベンダーでは難しい部分も多いという。なぜなら、製造業の設計開発部門や製造部門などの考え方は、情報システム部門と大きく異なるからだ。ベリサーブは、これまで製造業の品質の向上という分野に取り組み続けた企業であり、だからこそ製造業のセキュリティ品質を高めることができるのだという。