つながる製品・設備のセキュリティ ~IoTを取り巻くサイバーリスクの高まりとその対策~

2018-04-13

近年、世界規模のランサムウェア攻撃による工場の稼働停止といった、新たなサイバーリスクが顕在化しています。企業は従来の情報システムだけではなく、製品や設備を含む事業全体のセキュリティを担保することが急務となっています。

2017年11月29日、PwCコンサルティングは工場の設備や生産・制御システム、ネットにつながる機器(IoT機器)に求められるセキュリティ対策セミナーを開催しました。このセミナーでは、生産設備や製品開発におけるサイバーリスクの概要とその対策を紹介しました。

製品・設備のサイバーリスクと対策

制御システムやIoT機器を対象としたサイバー攻撃の被害が増加しています。企業はサイバー攻撃に備えるべく、セキュリティ戦略の見直しや改訂が必要です。生産・制御システムや製品・設備を含む企業のセキュリティ対策の現状と求められる取り組みについて、PwCコンサルティング マネージャーの納富 央が解説しました。

製品のサイバーセキュリティは、開発から市場運用までの製品ライフサイクル全般にわたって考慮しなくてはいけません。サプライチェーン全体での対応、プロセスの構築を踏まえたセキュアプロセスの構築、インシデント発生時の対応プロセスの実装、運用が求められます。つまり、製品の特徴を踏まえたサイバーセキュリティを確保するための体制、ルール、手順等の整備が重要となります。

生産/制御システムには可用性が求められるため、サイバー攻撃を受けて事業が停止することも考慮したセキュリティのBCP(事業継続計画)を策定し、これを確実に運用していくことが重要です。インシデント発生時に備えたプランの策定には、IT部門だけではなく、経営層が中心となった取り組みが必要です。

PwCコンサルティング合同会社 納富 央

PwCコンサルティング合同会社 奥山 謙

製品の設計開発段階からのセキュリティ対策

ネットに接続可能な製品開発では、サイバー攻撃を受けることを前提として、設計・開発段階からセキュリティ対策を考慮した取り組みが重要です。PwCコンサルティングの奥山 謙がセキュアな製品を開発するために求められる「SDLC(セキュア開発ライフサイクル)」について解説しました。

セキュリティ問題の原因の多くは、製品開発の初期段階で脆弱な部分への対処ができていないところにあります。「SDLC」は、製品の開発時にセキュリティ要件を定義することから始まり、開発上流工程から開発・出荷に至るまでのプロセス全体でセキュリティ対策を実施する取り組みです。

製品セキュリティの品質確保のためには、SDLCによるプロセス全体を通じた継続的なセキュリティ活動が必要です。SDLCを回すことで、セキュリティの問題となる要因を早期に対処することが可能となります。もし出荷前に問題が発覚しても、その時点では修正が容易です。ところが出荷後に発覚すると、顧客側で対応作業が発生するためベンダー側でのコストが膨らみます。製品回収や発生した被害によってブランド価値の低減や賠償などが発生するかもしれません。そのために、製品の開発時から出荷前に、セキュリティ対策の取り組みを進める必要があります。

ホワイトハッカーによる製品の脆弱性評価‐車載システムの事例紹介

開発した製品の脆弱性評価手法について、PwCサイバーサービスの太田尾 亘が、コネクテッドカーの車載システムの事例を交えて紹介しました。ここでは、つながる製品への攻撃可能性の早期発見を実現するため、攻撃者と同等の環境・アプローチを用いた評価手法を紹介しました。

ネットにつながるクルマ「コネクテッドカー」には、Bluetooth、Wi-Fi、セルラー通信などが侵入口となり、車載システムへサイバー攻撃を受ける危険性があります。近い将来、コネクテッドカーに対する大規模なサイバー攻撃が発生する可能性も考えられ、そのような攻撃が発生する前に脆弱性を評価し、対策を施す必要があります。

PwCの「脆弱性評価サービス」は、コネクテッドカーに対する攻撃者視点のテストの一つです。車載システムのセキュリティ課題を洗い出し、解決を促します。攻撃者の視点から、最新の攻撃手法を駆使して被害を与えられるかどうかをテストし、定められたセキュリティ基準の妥当性を評価します。これは、セキュリティ要件に沿っているかどうかを確認する開発者視点のセキュリティ評価とは目的が異なるものです。ハッカーの視点から、製品に脆弱な部分がないかを詳細にチェックし、もし問題が見つかったら、それがどのような被害を引き起こすかを検討した上で、セキュリティ基準の妥当性を評価します。

PwCサイバーサービス合同会社 太田尾 亘

PwCサイバーサービス合同会社 村上 純一

生産/制御システムにおける脅威分析 ‐AI活用によるマルウェアのあぶり出し‐

生産/制御システムの設備では、情報システムとは異なるセキュリティが求められます。生産/制御システムに適切な対策ができておらず、セキュリティ被害が発生したケースがあります。PwCサイバーサービスの村上 純一が、生産/制御システムへの脅威に対する新たな対策方法として、AI・機械学習を用いた脅威分析を紹介しました。

情報システムでは社内の重要な情報を扱うため、機密性が重要です。生産/制御システムでは、安定性や可用性が重要視されます。最近は情報システムが堅牢なセキュリティで守られるようになり、サイバー攻撃者は制御システムを狙うようになってきています。サイバー攻撃はビジネス化しており、攻撃者はターゲット先に導入されている対策を調査し、それを回避するような特別なマルウェアを送り込む攻撃が増えています。攻撃方法は巧妙化しており、検知が難しい状況になってきました。

PwCの「AI活用によるマルウェア検知サービス」は、人工知能(AI)・機械学習を利用して、侵入したマルウェアを探し出す新しい検知方法です。生産/制御システムでも、従来のアンチウイルス製品では検知できないようなマルウェアの検知が可能となります。このサービスでは検知だけではなく、感染状況や分析結果、取るべき対策の報告・提案も行います。これは生産/制御システムにマルウェアが侵入しても、早期に検出・駆除が可能となるサービスです。

生産/制御システムにおけるWi‐Fi・特定周波数無線のセキュリティ評価

IoT機器の普及もあり、従来見過ごされていた無線環境のハッキングによるサイバーインシデントの脅威が顕在化しています。PwCサイバーサービス・サイバーセキュリティ研究所所長の神薗 雅紀が、多様化・煩雑化が進む無線環境のセキュリティ評価の必要性について、アセスメント事例の紹介を含めて解説しました。

海外では無線を使った自動車のリモートキーのハッキングや簡易無線を対象とした攻撃が発生しています。日本でも無線に関わるリスクが高まっており、実際に行ったワイヤレスアセスメント調査では、機器に埋め込まれた不明なアクセスポイントが検出されたり、敷地外から無線接続が可能だったり、またセキュリティ対策が不十分なアクセスポイントが発見されたりもしました。簡易無線においては、簡単にリプレイアタックができる環境となっていました。どれも管理者側は認識しておらず、サイバー攻撃の侵入口になりかねない危険なものでした。

アセスメントにより判明した無線機器や電波の種類を把握することで、大きなコストをかけない対策は可能です。脅威を正しく認識し、適切に対策を進めることが必要です。昨今のサイバー脅威を踏まえた上で、自組織のワイヤレス環境がどのような環境となっており、どのようなリスクを抱えているかを把握することが重要です。

PwCサイバーサービス合同会社 サイバーセキュリティ研究所 所長 神薗 雅紀

主要メンバー

林 和洋

パートナー, PwCコンサルティング合同会社

Email

納富 央

マネージャー, PwCコンサルティング合同会社

Email

星澤 裕二

パートナー, PwCサイバーサービス合同会社

Email

神薗 雅紀

PwCサイバーサービス合同会社 サイバーセキュリティ研究所 所長, 東京

Email

関連情報