SCADAツールユーザーの危機を未然に防いだテナブル、日本市場を重要視：IoTセキュリティ

　クラウド型脆弱性管理プラットフォーム「Tenable.io」を提供する、Tenable Network Security（以下、テナブル）が、同社のパートナー企業であるSchneider Electric（以下、シュナイダー）における最新事例を明かしている（関連記事：ランサムウェアを未然につぶす、つながらない古い機器を狙う脅威も可視化して分析「Tenable.io」）。

　テナブルのデータサイエンスチームである「Tenable Research」は2018年4月、シュナイダーが提供するSCADAソフトウェアである「InduSoft Web Studio」とHMI（Human Machine Interface）開発ソフトウェアの「InTouch Machine Edition」における、リモートコード実行による脆弱性を発見して報告した。シュナイダーはこの報告を受け、両ソフトウェアの修正パッチを速やかに公開。2018年4月23日には全てのパッチ対応が完了していた。もし気が付かずに未対処であれば、このリモートアクセス時の脆弱性をついて、悪意ある第三者により任意コードを実行されてしまい、InduSoft Web StudioやInTouch Machine Editionのサーバが重大な危機にさらされる可能性があった。

Tenable Researchによる分析と実証のイメージ（出典：テナブル）

　IoT（モノのインターネット）の仕組みにまで及ばなくとも、現在、世界のメーカーにおける工場の機器はなんらかの形でインターネットにつながっていることが多い。その脆弱性を突いたサイバー攻撃による被害は世界で増加傾向である。また大手メーカーの組織形態は複雑であり、全ての部署に一気に共通のパッチを当てることは不可能だ。システムに潜んだ脆弱性を見落とす、あるいは発見した脆弱性に対して適切な対処が速やかに行われなければ、特にメーカーの場合は工場の生産に深刻な問題を及ぼす恐れがあって、ビジネスに大きく響いてくる。テナブルでは、シュナイダーの事例のようなサイバーエクスポージャ分析による速やかな対処が、今後より重要になってくると考える。

　テナブルではシュナイダーの他にもTenable Researchによるサイバーエクスポージャ分析を世界のメーカーに対して提供している。現在、日本においてもサイバーエクスポージャ分析における協業先を検討中である。「日本には数多くのメーカーが存在しており、IoTや自動化技術もいたるところに導入されている。テナブルでは日本市場に重きをおく。サイバーエクスポージャ問題への意識を高め、製品を広めていきたい」とテナブルの日本法人、テナブル・ネットワーク・セキュリティ・ジャパン カントリーマネジャーであるダグ・ニューマン氏は述べている。

　日本法人においてはデータサイエンティストを中心にスタッフ増強を図っている。パートナー候補企業ともコンタクトしながら、エンジニアのトレーニングも実施している。日本市場は新しい仕組みに対して保守的かつ独特（※）であることから、市場調査にあたるデータサイエンティストの力で確実にローカライズしていくことが肝要であるという。細やかで幅広い日本市場に対して、数で勝負の人海戦術の販売サポートで挑むのではなく、質の高いパートナー企業少数と契約し、着実な教育と啓蒙、拡販を目指すということだ。

　テナブルが米国で2018年3月に発表した新プラットフォーム「Tenable.io Lumin」は、脆弱性管理、コンテナセキュリティ、Webアプリケーションスキャン、インダストリアルセキュリティに対応する、新しいサイバーエクスポージャプラットフォームであるという。これまでのTenable.ioをベースに、メーカーに対するサイバーエクスポージャに分析に特化して、視覚化、分析、測定などの機能を提供するという。企業に在籍するCISO（最高情報セキュリティ責任者）自身が操作でき、サイバーリスクを定量化したり理解したりが容易に可能だという。同製品は同年10月に全世界でリリース予定である。

今回の取材に応じた、テナブルの日本法人、テナブル・ネットワーク・セキュリティ・ジャパン カントリーマネジャーであるダグ・ニューマン氏（左）、Tenable本社のアジアパシフィック担当バイスプレジデント ゲリー・ジャクソン氏（右）