- Column
- 問われるサイバーレジリエンス
【対談】工場の完全無人運営を視野にIT/OTセキュリティの再定義が必要に
「重要インフラ&産業サイバーセキュリティコンファレンス」より、IPA産業サイバーセキュリティセンター専門委員の佐々木 弘志 氏×青山 友美 氏
AIなど技術への期待が高まる一方で組織や体制面の課題も多い
OTセキュリティにおける現状の課題や将来展望については、「専門家からは多種多様な意見が発せられている」と青山氏は話す。具体的には、(1)レジリエンスをデザインする」、(2)オペレーションとセキュリティの融合、(3)データ、ML(Machine Learning:機械学習)、AI(人工知能)の発展、(4)OT-IT融合の先にあるOTセキュリティの再発見、(5)「設計基礎脅威(DBT:Design Basis Threat)との差分をとらえる、(6)多様なOTセキュリティ人材の育成の6つのテーマに集約されるという。
「特に技術に対して大きな期待があると感じた」と青山氏は述べる。例えば、データプラットフォームを構築し生産に関するデータをセキュリティに活用したり、逆にセキュリティのデータを生産の最適化や予防保全などに活かしたりなどが考えられている。そこには「個社それぞれの独自性を踏まえた上でOTシステムに対する攻撃経路を検討し、その影響度を把握することはこれまで困難だったが、そこをMLやAIによるシミュレーションで解決できるとの期待がある」(同)ようだ。
佐々木氏は、「OTセキュリティの課題の1つはリスクの可視化だ」と指摘する。「ITはWebやメールなど、どの組織も環境が似ているが、OTは業界によって作るものも違えば、リスクのとらえ方も現場ごとに違う」(同)からだ。それらを「MLやAIなど使って分析すればリスクに応じた対策が実現できる期待は確かにあるだろう」(同)という。
技術への期待が高まる一方で、「組織や体制面での課題も多い」と青山氏は話す。「技術は進んでも、人やプロセスはボトルネックになりやすい」(同)ためだ。佐々木氏も「サイバーセキュリティの目的はビジネスリスクの低減だ。そのためには、技術・人・プロセスの3つをバランスよく実施することが重要で、何かが欠けると取り組みが進まないというジレンマに陥りやすい」と同意する。
種々の阻害要因を排除し取り組みを進めるうえで重要になるのが、「レジリエンスのデザインだ」と青山氏は指摘する。サイバー脅威が発生したら対処するといった場当たり的な考え方ではなく「最初からビジネスリスクを低減できる体制、リスクが発生しても柔軟に解決できる体制を作る必要がある」(青山氏)という。
「DXが加速する一方で、OTセキュリティの予算が縮小される傾向もある。OTセキュリティ単体で取り組むのではなく、DX全体の予算のなかで解決していくためにもレジリエンスが重要だ。これまでは『ITセキュリティとOTセキュリティは違う』という意識が強かった。だがITとOTの融合が進むなかでは、『両者の違いは小さくなる』『新しいあり方が再発見される』とする見方も多い」(青山氏)
佐々木氏も、「工場が止まっても早く復旧できれば、損失を抑えられる、言い換えれば、その分、儲けられる。このビジネスリスクに着目し、お財布を工場設備投資といった別のところから取ってくるアクションが必要だ。ITとOTを同じフレームワークと考え方で対応できるとする考えも確かに登場してきている。リスクが異なるため個々の対策も異なるが、例えば工場が無人化すればするほど、ITとOTの線引き自体が無意味になっていく。OTセキュリティを特別視せず、ITと統合した形で再定義する必要性を感じる」と強調する。
規制対応をビジネスチャンスだととらえ戦略的にセキュリティを見直す
では、具体的に何にどのように取り組んでいけば良いのか。青山氏は、OTセキュリティ担当者やマネジメント層が2024年に取り組むべき課題を6つに整理した。(1)規制の波に乗ってセキュリティ戦略を強化する、(2)新しい技術へ過度に期待せず基本を地道に実践する、(3)OTベンダーとの責任共有モデル、(4)事業部への価値還元、(5)組織の重要機能について経営層と合意する、(6)机上演習を空論で終わらせないである(図3)。
6つの課題について佐々木氏は、こう解説する。
「今、取り組むべきはサプライチェーン周りである。そこでのリスクが高まっているだけに『規制の波に乗ってセキュリティ戦略を強化する』は今後も続く課題として取り組むことが重要だ。ステークホルダーが多様化するなかでは『OTベンダーとの責任共有モデル』の構築や『事業部への価値還元』『経営層と合意』も重要になってきている」
対策時のポイントとして青山氏は、「規制対応でチェックリストを作って終わりにするのではなく、規制対応をビジネスチャンスだととらえ、戦略的にセキュリティを見直していくことが重要だ」と指摘する。佐々木氏も、「ツールを導入したり、チェックリストでチェックしたりするだけではリスクは低減しない。ツールを導入したあとも随時見直すなど、リスクに紐付いた対策を採る考え方を常に持つことが重要だ」とする。
これらのまとめとして両氏は次の4つのポイントを挙げる。
ポイント1 :技術の発展スピードに合わせたセキュリティに関する人とプロセスの追従が大切
ポイント2 :IT/OTを区別せず、統合したセキュリティ管理プロセスの再定義が必要
ポイント3 :規制はOTセキュリティの起爆剤としては有効だが、実効性の確保も重要
ポイント4 :OTセキュリティ単独にとらえるのではなく、多様化するステークホルダーを巻き込むことが重要
両氏は、「これら4つのポイントを踏まえてOTセキュリティの取り組みを進めていただきたい」と強調した。