サイバー攻撃は「避けられない前提」で対策すべき 防御とともに意識したい「予測と回復」のススメ

ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小
伊藤氏と扇氏
昨今破壊力を増すサイバー攻撃に対する施策として、攻撃によって事業が障害や停止に見舞われてもその影響を最小限に抑え、すぐに回復する能力を重視する「サイバーレジリエンス」の強化が注目を集めている。多くの企業にとって脅威となっているサイバー攻撃に対して事業継続性を高めるためのサイバーレジリエンスにおける重要なポイントとは。日立ソリューションズ 執行役員 セキュリティソリューション事業部長の伊藤裕規氏と、チーフセキュリティエバンジェリストの扇健一氏に話を聞いた。

「サイバーレジリエンス」が企業と社会に必要な理由

社内のサーバーに保存されたデータを暗号化され、解除のために身代金を要求される「ランサムウェア」をはじめとしたサイバー攻撃による被害が、各企業にとって大きな脅威となっている。ここ数年に限っても、国内のさまざまな業界・業種において被害が相次いでいるのは記憶に新しい。

つねに最新の手法を用いて、セキュリティの隙を突いてくるサイバー攻撃を完全に防御することは、もはや難しい。そこで注目されているのが、仮に攻撃を受けても、ダメージを最小限に抑えて事業を継続し、企業活動を安定して持続させるための「サイバーレジリエンス」という考え方だ。

NIST(米国立標準技術研究所)では、SP 800-160 Vol.2 Rev.1の中で企業が備えるべきサイバーレジリエンスの能力として予測・抵抗・回復・適応の4つを定義している。

攻撃への備えや、それを見越した事業継続性の担保を含めたサイバーレジリエンスの強化において重要なのは、自社のみならずサプライチェーン全体を包括的にカバーすることだと指摘するのは、日立ソリューションズ 執行役員 セキュリティソリューション事業部長の伊藤裕規氏だ。

「従来のサイバーセキュリティの対象はITの世界だけでした。つまり、企業や組織内のITシステムで情報資産だけを守ることに専念していたのですが、これからはそれに加え、企業が生み出す商品・サービスや、それをつくるためのOTシステムを含めたサプライチェーン全体を守ることが必要になっています。その背景には、法規制の整備の影響もあるでしょう」

伊藤氏
日立ソリューションズ
執行役員 セキュリティソリューション事業部長
伊藤 裕規

企業を襲うサイバー攻撃の影響は、攻撃を受けた企業にとどまらず、取引先を含めたサプライチェーン全体へと波及する可能性がある。また、攻撃により商品・サービスが損失を被るリスクについて、チーフセキュリティエバンジェリストの扇健一氏は、こう説明する。

「もし、自社が製造した商品やサービスにセキュリティの脆弱性が含まれていた場合、その製品を利用する顧客がサイバー攻撃の対象になってしまいます。製造当初は問題なくても、商品やサービスの提供後に新たな脆弱性が見つかればリコールを行う必要があります。速やかに対処しなければ企業は社会的信用を失い、事業に深刻なダメージを与えることになるのです」

扇氏
日立ソリューションズ
セキュリティソリューション事業部 企画本部 チーフセキュリティエバンジェリスト/
Security CoE センタ長 扇 健一

企業が事業を継続するためには、従来の「情報を守る」サイバーセキュリティだけでは不十分となりつつある。それに加えて「商品、サービスを守る」「サプライチェーンを守る」という3つの領域全体で、サイバーレジリエンスを高めることが、いつ来るかわからないサイバー攻撃に備える重要なカギとなるだろう。

海外における法規制が、国内企業に与える影響

海外ではすでに、サイバーレジリエンスに関するさまざまな法規制の動きがある。中でも欧州で2024年に施行される予定のEUサイバーレジリエンス法は、「商品・サービス」のサイバーレジリエンスを対象にした法令として製造業に大きなインパクトを与えている。

同法では、EU圏内で販売するネットワーク機器やデジタル製品に対して、製品の部品構成などを記した情報の開示や、脆弱性が発見された際の速やかな報告などセキュリティ要件を定めている。さらに、脆弱性が発見された後の修正など、EUが求める要件への適合性評価を義務づけるものだ。

「別の標準規格でサイバーレジリエンスの規定が定められている自動車、医療、民間航空機などに関連する製品は除外されていますが、例えば工場で使うロボットや制御機器、セキュリティ関連ソフトウェアなど、ネットワークに直接的/間接的に接続するような製品は対象と見られており、影響範囲はかなり広いと思われます。実際に当社への問い合わせも増えています」(扇氏)

対象は、製品そのものを販売している大手メーカーだけでなく、その製品に組み込まれたハードウェア・ソフトウェアを提供している中堅・中小企業にも、部品構成や脆弱性の情報提供が必要となる。まだ不透明な部分が多いが、こうした動きはEUだけでなく、今後米国をはじめ各地域に拡大する可能性が高く、企業のグローバル進出において、サイバーレジリエンスに関する規制への対応が求められそうだ。

現場へ負担をかけない「自動化・効率化」がカギに

また企業がサイバーレジリエンスに取り組むに当たり、懸念として持ち上がるのがセキュリティ人材の不足だ。伊藤氏はこう指摘する。

「とくに製造業では、商品やサービスを出荷した後のライフサイクルを含めセキュリティを担保する仕組みを導入しなければ、サイバーレジリエンスは実現しません。サプライチェーン全体で見ると、大手は対策が進んでいますが、サプライチェーンを構成する多くのサプライヤーはセキュリティ人材が不足しており、セキュリティ対策までやる体力がないのが実情です」

企業間のサプライチェーン全体でサイバーレジリエンスを高めるために、国内でも2025年度から企業のサイバーセキュリティ対策状況を格付けしようとする制度をつくる動きがある。そのため、サプライチェーンのレジリエンスを高めるためには各企業がそれぞれに対策を強化することが前提ともいえる。とくに、障害や攻撃からの復旧は、人海戦術に頼る場合が多いが、人手不足の問題からいかに自動化・効率化するかが課題だ。

診断から社員教育まで、豊富なサービスを用意

サイバーレジリエンスに対応すべきことはわかっていても、リソース不足が課題で対応できない企業のために、日立ソリューションズは、企業に対して支援サービスを充実させている。

まず、企業が新たに取り組まなければいけない商品・サービスのサイバーレジリエンスにおいては、「PSIRT(Product Security Incident Response Team:ピーサート)」を構築するための支援サービスを提供する。

PSIRTとは、自社が製造するIoT関連製品などについて、その開発段階から使用に至るまで、脆弱性を残さずセキュリティレベルを高めるための対策組織である。商品・サービスに脆弱性が発見された際は、サプライチェーンを含む製造部門などとの連携を担う。

「一般的にPSIRTは、社内の品質管理部門と情報セキュリティ部門が連携して運用しているケースが多いですが、品質管理部門はこれまでサイバーセキュリティを意識する機会が少ない場合も多く、教育や訓練を含めて支援するサービスを提供します」(扇氏)

「経営層も、品質保証におけるサイバーセキュリティの重要性を意識して組織づくりを行っていただけるよう働きかけていきたいと思います」(伊藤氏)

サイバーレジリエンス強化をワンストップで支援

サプライチェーンのサイバーレジリエンスでは、取引先、海外拠点のセキュリティ評価などのサービスを提供する。これらを従来提供していたITセキュリティ、OTセキュリティのサービスと組み合わせ、企業のサイバーレジリエンスを高めるためのトータルサポートを実現しているのが同社の強みだ。すでに多くの企業で採用されている中、扇氏は2社の特筆すべき事例を紹介する。

「1社目は、重要インフラ向けの産業機器メーカーです。製品の性質上、事業を止めることが大きなリスクにつながるため、サイバーレジリエンスをどう維持すればいいか、ご相談をいただきました。それを受けて当社ではアセスメントを実施。まずPSIRTを構築しました。その後、セキュリティを考慮した設計の現場教育などに支援範囲を拡大しています。

またもう1社も、同じく産業機器メーカーです。海外の取引先からセキュリティを強化しなければ取引を停止すると通告を受け、トップの指示の下で急きょ対策に乗り出しました。セキュリティリスク対策に関する現状分析から始め、現在では国際標準を意識したセキュリティポリシー策定、クラウド化による全社セキュリティ基盤の構築などまで進めています」

日立ソリューションズでは、このように上流のコンサルテーションから顧客の商品・サービスに対するサイバーセキュリティ法規対応やセキュリティ設計支援など、ワンストップで支援する。

レジリエンスの「エコシステム」で事業継続力強化へ

同社では、自社研究開発とアメリカシリコンバレーでのスタートアップ商材の発掘活動により、最新のセキュリティソリューションを提供している。コンサルティングからシステム導入、社員の教育まで、幅広くサイバーレジリエンスの強化を支援できる強みがあるのが、同社のソリューションの大きな特長だ。

さらに、さまざまな手段で行われるサイバー攻撃に対してサイバーレジリエンスをより向上させるうえでは、多角的な対策が必要となる。そこで伊藤氏が重要なポイントとして挙げるのが、サイバーレジリエンス強化におけるエコシステムの構築だ。

「サイバーレジリエンスは非常に広範囲にわたる対応が求められるため、当社がすべての領域でソリューションを提供することは不可能です。例えば、当社が対応できていないサイバーレジリエンス強化のための運用支援などは、強みを持つ企業と連携するなど、エコシステムを構築し、お客様のレジリエンスを高めていきたいと考えています」

エコシステムの実現により、人員体制や費用の課題に応える低コストのサービス基盤の提供などが考えられるという。

「今後はエコシステムもつくりながら、サイバーレジリエンス強化をさらに効率化、迅速化するためのソリューションに拡充していきたいと考えています」(扇氏)

「これからはビジネスにおける生成AI活用が活発になっていくと思います。そのデータやシステムについても、重要性が高まると考えています。われわれは生成AIにも対応したセキュリティを通じて、お客様の事業継続をご支援していきたいと考えます」(伊藤氏)

企業がサイバー攻撃などの非常事態に対して、被害を最小限に抑え、速やかに回復するサイバーレジリエンスを備えることは、事業を安定的に推進するために必要不可欠な取り組みと言っていいだろう。サイバー攻撃という不測の事態にも混乱しない、強い組織をつくりたい。そんな企業に対して日立ソリューションズは、経験豊富なパートナーとして心強い味方になるはずだ。

>日立ソリューションズの「サイバーレジリエンスソリューション」について詳細はこちら