インタビュー
» 2020年05月29日 08時00分 公開

産業制御システムのセキュリティ:社内にマルウェアが常駐する製造業、セキュリティ対策は何から始めるべきか (3/3)

[池谷翼,MONOist]
前のページへ 1|2|3       

IoT機器へのデバイス証明書組み込みが進む?

MONOist セキュリティ対策を進める上で参考になる資料はありますか。

扇氏 情報処理推進機構(IPA)が公開する「サイバーセキュリティ経営ガイドラインVer2.0 実践のためのプラクティス集」が参考になる。セキュリティ担当者の実際の取り組みをまとめた資料集だ。例えばIoT機器の「シャドーIT化」を取り上げた章では、シャドーIT化問題の解決に向けて担当者が取り組んだ事柄が記載されている。情報システム部門と工場生産部門の体制面での未整備が原因だったようだが、こうしたトラブルが生じ得るということを事前に知っておけるのは便利だ。

 また社内でのセキュリティ推進の方法に悩む人は多いが、まずは社内でセキュリティの重要性をしっかり認知してもらうことが重要だ。そこで役立つのが日本ネットワークセキュリティ協会(JNSA)が公開している「MY CISO ハンドブック」である。「経営者にはインシデントの発生回数などを定期的に報告しておくべき」といった指針をIT部門向けに記載している。

 経営層の理解を得るという点では、同じくセキュリティの基礎的な知識などを問う「セキュリティの理解度チェック」テストを定期的に社内で実施することも大切だ。社内だけでなく他社や役職内、部署間で結果を比較できるセキュリティテストをサービスとして提供する企業もある。セキュリティ意識を社内に根付かせる「セキュリティ教育」を実践する上で、競争を導入するのは1つの有力な手法となり得る。教育環境がなければ、セキュリティ対策への意識は社内に広がらないだろう。

MONOist 今後、製造業のサイバーセキュリティ対策はどのように進むでしょうか。

扇氏 まずは工場のIoT化を軸としたネットワークセキュリティ対策が進むと予測している。現時点ではティア1サプライヤーなどで取り組みが先行しているが、今後はティア2でも同様に進む。また、現在はIoT機器に個別にシステムベンダーがセキュリティパッチを当てているという状況だが、いずれは製造業者がクラウドプラットフォーム上から自社に最適なセキュリティパッチを直接選択して、各IoT機器に導入するようになる。

 ただ、そうなるとマルウェア対策が必要なセキュリティ上の弱点が増加することにもつながりかねない。そこで将来的にはデバイス証明書をIoT機器に直接組み込んで、不正アクセスを防止する仕組みを構築することになると考えている。攻撃者の侵入口を全てふさぐのではなく、IoT機器に自ら身を守る仕組みを導入するという発想だ。IoT機器のファームウェアに暗号化の仕組みや改ざんを防止するためのセキュリティ対策を入れ込むことは必須になると思う。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.