SOMPO CYBER SECURITY
熱海 徹@SOMPO CYBER SECURITY | 2022年7月6日
皆さん、こんにちは
SOMPO CYBER SECURITYでフェローを務める熱海(あつみ)です。
今回は、前職NHKで行っていたセキュリティ対策を思い出し、重要インフラに対するサイバー攻撃への備えについてお話しをしたいと思います。
この連載コラムのタイトルは「セキュリティのデザイン」としていますが、ここには日本的な意味である「意匠」などの審美的な意味合いに加えて、英語の「Disign」に含まれるような、設計や創意工夫といった意味合いも持たせています。
今回の重要インフラにおいては、インシデントが直接及ぼすことと、間接的に影響を与えることがあるように思います。つまりサービス停止は直接的に影響を与えますが、場合によって、信用への不安という間接的な影響を与えることもあります。
重要インフラ組織への呼びかけの主な例としては、直接的影響が注目されがちですが、間接的影響も分野によっては深刻な影響を与えるため、注意が必要で、経営層には、その両者によるリスクを認識してもらえるように説明しなければなりません。
重要インフラにおいての「セキュリティの盲点」「最優先するべきこと」など順を追ってご説明し、「組織としてどのように関与するべきか」など、セキュリティ・バイ・デザインの重要性をお伝えできればと思いますので、ぜひご活用ください。
国民生活や経済活動の基盤となるインフラのうち、機能が停止したり、低下したりすれば特に大きな混乱を招くと見込まれるもので、政府は情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油の14を重要インフラ分野と位置づけています。
重要インフラのような大きなシステムでは全体のセキュリティ対策レベルを一致させることが難しく、対策の弱いところで被害が発生しやすい特徴があります。
世界的に問題になったランサムウェアの攻撃でもこうしたセキュリティ対策の差が明暗を分ける形になりました。
ランサムウェア攻撃はWindowsの脆弱性を狙ったもので最新のバージョンになっていれば被害は防げたが、重要インフラではシステムを止めて最新化することは難しいなどの理由により、古いバージョンのまま稼働させざるを得ないケースもあるため攻撃者はこれを知ったうえで狙っていたとも言えるのです。
重要インフラのセキュリティを堅固なものにするためには、どんなリスクを考慮しておく必要があるのでしょうか。
サービスの継続を大前提にしながら、脅威レベルを分けて組織内にエスカレーションすることを素早く適切な対処ができる仕組みを確立することが大切です。
段階ごとに「誰が判断するのか」、「どんな対策をとるのか」を経営者のトップなのかCISOなのか決めておく必要があります。
可用性を最大限確保するため運用上の制限が多いのがご存じだと思いますが、安易に更新プログラムを当てるとか、再起動などは簡単に実施出来ないのが実情です。
制御系システムのセキュリティ管理を行うためには、システム全貌と運用方法、実態を十分理解しておく必要があります。
その中で脆弱性による影響がどこまで出るのか分析できる能力が必要になり、その判断が出来るエンジニアが必要という事かもしれません。
可能な限り可用性要件を犠牲にしない形でセキュリティリスクを低減しサービス継続できるかを決めておくと必要があります。
重要インフラのセキュリティ管理として、大切なことは制御系システム内でのサイバー攻撃が実際に発見されているか否かという点にリスク判断の軸足を置くことではなく、攻撃が発生した際に起こりうる被害を想定し、発見できた「穴」を何らかの形で可能な限り早期に対処するという方針を決めておくべきと思います。
もう少し詳しく言うと、サイバー攻撃を受けた場合、防火壁を利用して延焼を防がなければなりません。
この部分は初動がどんなに良くても、サイバー攻撃を受けると手に負えないスピードで拡散します。予め攻撃を受ける想定が大切で、それを前提とした対策が必要という事になります。
攻撃を実施しようとする者や攻撃手法の開発は今後も残念ながら収まることはないと思いますが、攻撃手法そのものの把握や対応に加え攻撃者がなぜ攻撃を行うのか、「攻撃の意図」を可能な限り把握することが重要になると思います。
このためには所轄官庁をはじめとする国や様々な機関、様々なセキュリティ機関、類似のセキュリティリスクを抱える組織などと攻撃そのものだけでなく、予兆など様々な情報を交換することを行える仕組み作りが重要になります。
私が所属していたICT-ISACは情報交換の場でしたが、情報をもらう量より、発信する量を増やす努力をしていました。
サイバーセキュリティ動向を示唆する情報として分析することが可能になり、とても有効だからです。
今後サイバー攻撃に対する対応速度を上げるためには、国内だけでなく海外を含め信頼できる組織として参加し、積極的に情報や意見を発信していくことが必須となるでしょう。
軽いタッチの活動から醸成された「個人と個人」と、個人との信頼感をどのように「組織対組織」に広げていけるか、つまり組織としてこのような活動に如何に関わっていけるかが、今後のサイバー攻撃への対応において決定的に重要となってくると考えています。よく言われることですが、発信のないところに情報は集まってきません。
特に制御システムに関する情報は少ないことから、責務のある組織では、信頼できる組織への積極的な関与が必要となると思います。
最後に、SOMPO CYBER SECURITYでは、サイバーセキュリティに関する現状の確認や意識の向上に向けて、各種のアセスメントや診断、トレーニングと言ったサービスをご提供しております。サイバー衛生の向上に向けて、当社のサイバーセキュリティサービスをぜひご検討ください。