セキュリティのデザイン:重要インフラ サイバー攻撃への備え ~内部に潜伏し拡散する脅威への対策~
熱海 徹@SOMPO CYBER SECURITY | 2022年7月6日
皆さん、こんにちは
SOMPO CYBER SECURITYでフェローを務める熱海(あつみ)です。
今回は、前職NHKで行っていたセキュリティ対策を思い出し、重要インフラに対するサイバー攻撃への備えについてお話しをしたいと思います。
はじめに
この連載コラムのタイトルは「セキュリティのデザイン」としていますが、ここには日本的な意味である「意匠」などの審美的な意味合いに加えて、英語の「Disign」に含まれるような、設計や創意工夫といった意味合いも持たせています。
今回の重要インフラにおいては、インシデントが直接及ぼすことと、間接的に影響を与えることがあるように思います。つまりサービス停止は直接的に影響を与えますが、場合によって、信用への不安という間接的な影響を与えることもあります。
重要インフラ組織への呼びかけの主な例としては、直接的影響が注目されがちですが、間接的影響も分野によっては深刻な影響を与えるため、注意が必要で、経営層には、その両者によるリスクを認識してもらえるように説明しなければなりません。
重要インフラにおいての「セキュリティの盲点」「最優先するべきこと」など順を追ってご説明し、「組織としてどのように関与するべきか」など、セキュリティ・バイ・デザインの重要性をお伝えできればと思いますので、ぜひご活用ください。
重要インフラとは
国民生活や経済活動の基盤となるインフラのうち、機能が停止したり、低下したりすれば特に大きな混乱を招くと見込まれるもので、政府は情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油の14を重要インフラ分野と位置づけています。
重要インフラセキュリティの盲点
重要インフラのような大きなシステムでは全体のセキュリティ対策レベルを一致させることが難しく、対策の弱いところで被害が発生しやすい特徴があります。
世界的に問題になったランサムウェアの攻撃でもこうしたセキュリティ対策の差が明暗を分ける形になりました。
ランサムウェア攻撃はWindowsの脆弱性を狙ったもので最新のバージョンになっていれば被害は防げたが、重要インフラではシステムを止めて最新化することは難しいなどの理由により、古いバージョンのまま稼働させざるを得ないケースもあるため攻撃者はこれを知ったうえで狙っていたとも言えるのです。
セキュリティを堅固にするためのリスクの考慮
重要インフラのセキュリティを堅固なものにするためには、どんなリスクを考慮しておく必要があるのでしょうか。
- 汎用技術の活用
もともとインフラ向けのシステムは専用の機器やソフトウェアから構成されることがあり、サイバー攻撃の対象にはなりづらく、安全性が確保されていました。最近では経済合理性やメンテナンス性を考えて汎用の機器が導入され、OSやミドルウェアにも広く普及しているものが使われています。設計から完成までのコストと時間を考えると有効であるということです。
しかし未だに古いPCや、記録媒体(フロッピーディスク)を使っている職場があるのも事実ですが感染リスクを考えると有効なのかもしれません(苦笑)。 - 世代の異なる機器の使用
重要インフラでは、システムの規模が大きく、寿命も長くなります。数十年単位で使われるものだけに、使える部分を残しながら新しい機器を導入していくこと方法をとります。結果として新旧の機器が混在し、セキュリティ確保のための仕組みが複雑化していることになるのです。 - IoTデバイスとの接続
重要インフラに数多くのIoT デバイスが繋がっていることになり、それらに対するセキュリティ対策も当然必要になります。特にIoTデバイスが何処に設置されているか、脆弱性の対応が出来ているかなどの可視化が問題となってきます。
対策視点から脅威のレベルの段階を分ける
- 外部脅威
膨大な数のマルウェアが生み出され、新たな攻撃手法が次々と登場してくる外部脅威では、一刻も早い検知情報・検知技術の共有が重要になります。世界中の新たな脅威とのスピード勝負なので、グローバルでの連携を強化すべき領域と言えます。 - 内部脅威
内部脅威対策は、脅威の侵入を前提として通信データを収集し、システム全体でやりとりされる通信データの挙動を分析して問題点を見つけるというアプローチが有効になります。
最優先にするべきはサービスの継続
サービスの継続を大前提にしながら、脅威レベルを分けて組織内にエスカレーションすることを素早く適切な対処ができる仕組みを確立することが大切です。
段階ごとに「誰が判断するのか」、「どんな対策をとるのか」を経営者のトップなのかCISOなのか決めておく必要があります。
制御系システムにおけるセキュリティリスク
可用性を最大限確保するため運用上の制限が多いのがご存じだと思いますが、安易に更新プログラムを当てるとか、再起動などは簡単に実施出来ないのが実情です。
制御系システムのセキュリティ管理を行うためには、システム全貌と運用方法、実態を十分理解しておく必要があります。
その中で脆弱性による影響がどこまで出るのか分析できる能力が必要になり、その判断が出来るエンジニアが必要という事かもしれません。
可能な限り可用性要件を犠牲にしない形でセキュリティリスクを低減しサービス継続できるかを決めておくと必要があります。
有効なセキュリティリスクコントロール
重要インフラのセキュリティ管理として、大切なことは制御系システム内でのサイバー攻撃が実際に発見されているか否かという点にリスク判断の軸足を置くことではなく、攻撃が発生した際に起こりうる被害を想定し、発見できた「穴」を何らかの形で可能な限り早期に対処するという方針を決めておくべきと思います。
もう少し詳しく言うと、サイバー攻撃を受けた場合、防火壁を利用して延焼を防がなければなりません。
この部分は初動がどんなに良くても、サイバー攻撃を受けると手に負えないスピードで拡散します。予め攻撃を受ける想定が大切で、それを前提とした対策が必要という事になります。
情報共有のメリットを受けるには情報発信が優先
攻撃を実施しようとする者や攻撃手法の開発は今後も残念ながら収まることはないと思いますが、攻撃手法そのものの把握や対応に加え攻撃者がなぜ攻撃を行うのか、「攻撃の意図」を可能な限り把握することが重要になると思います。
このためには所轄官庁をはじめとする国や様々な機関、様々なセキュリティ機関、類似のセキュリティリスクを抱える組織などと攻撃そのものだけでなく、予兆など様々な情報を交換することを行える仕組み作りが重要になります。
私が所属していたICT-ISACは情報交換の場でしたが、情報をもらう量より、発信する量を増やす努力をしていました。
サイバーセキュリティ動向を示唆する情報として分析することが可能になり、とても有効だからです。
今後サイバー攻撃に対する対応速度を上げるためには、国内だけでなく海外を含め信頼できる組織として参加し、積極的に情報や意見を発信していくことが必須となるでしょう。
軽いタッチの活動から醸成された「個人と個人」と、個人との信頼感をどのように「組織対組織」に広げていけるか、つまり組織としてこのような活動に如何に関わっていけるかが、今後のサイバー攻撃への対応において決定的に重要となってくると考えています。よく言われることですが、発信のないところに情報は集まってきません。
特に制御システムに関する情報は少ないことから、責務のある組織では、信頼できる組織への積極的な関与が必要となると思います。
最後に、SOMPO CYBER SECURITYでは、サイバーセキュリティに関する現状の確認や意識の向上に向けて、各種のアセスメントや診断、トレーニングと言ったサービスをご提供しております。サイバー衛生の向上に向けて、当社のサイバーセキュリティサービスをぜひご検討ください。
熱海 徹 セキュリティのデザイン過去記事一覧
熱海 徹 プロフィール
上席フェロー
- 1978年4月 日本放送協会入局 システム開発、スタジオ整備、スポーツ番組に従事
- 2013年6月 本部・情報システム局にてサイバーセキュリティ対策グループ統括
- 2016年6月 内閣府 SIP推進委員、セキュリティ人材育成WS委員
- 2016年7月 一般社団法人ICT-ISAC-JAPAN事務局次長
- 世界的スポーツイベントに向けて放送業界セキュリティ対策に従事
- サイバーセキュリティ対策推進や経営層に向けたセキュリティ対応策について数多くのセミナー・イベントに登壇
- 2018年9月 SOMPOリスクマネジメント株式会社に入社
- サイバーセキュリティ事業のサービスに関する研究開発、技術評価、サービス企画開発等の統括、セミナー・イベントに登壇
- 2019年7月 経済産業省 産業サイバーセキュリティ研究会 有識者委員