製造業におけるサイバーセキュリティと規制:2017 年に求められるもの

    本ページは英語ドキュメントを翻訳したものです。

     


     

    製造業は、サイバー犯罪者にとって、医療分野に次ぐ 2 番目に大きなターゲットに選ばれている恐れがあります。製造業の中でも、最大の標的となっているのが、自動車の分野です。製造業に対する 2015 年の攻撃の約 3 分の 1 が自動車メーカーに対するもので、化学系メーカーがそれに続きました。

    Industrial Internet of Things(IIoT)の登場に伴い、製造業における知的財産、データ、製品がサイバー犯罪の脅威に晒されるようになってきています。推定では、製造業者の 21 % がサイバーセキュリティ攻撃による知的財産の盗難にあっています。

    AQ41829_resize3.jpg National Tools and Machining Association(NTMA)のロサンゼルス支部が最近投稿したブログによると、多くの製造業者がセキュリティの面で後手に回っているとされています。その原因の一端として、金融サービス部門における PCI DSS(クレジットカード データ保護基準)や、医療分野業界における、医療保険の相互運用性と説明責任に関する法令(HIPAA)と同様のコンプライアンス標準が、製造業者には課せられていないことが挙げられます。その結果、製造分野は全体として他の主要な業種よりも安全性に劣るとみなされているのです。

    Robinson+Cole 法律事務所の Linn Foster Freedman 氏は、ブログに次のように記しています。「製造業の企業の多くは、大量のユーザ データを保持していないことから、自社が標的となるとは想定していません。そのため、サイバーセキュリティに注力することがなく、脆弱なままとなっています」”しかし、そのような指摘がされるほど、製造業界も無知なままでいるわけではないようです。昨年の証券取引委員会(SEC)に対する情報開示の中で、製造業者の 92 % がサイバーセキュリティに関する懸念について言及していました。

    接続されている脆弱な製造現場

    ハッカーは、Heartbleed などのマシンの脆弱性を利用して攻撃を仕掛けています。また、スペア フィッシングなどのソーシャル エンジニアリング技術を使用して、人的な脆弱性も突こうとしています。しかし、主要な活動領域となっているのは、Internet of Things(IoT)に関連する攻撃です。

    これは、製造環境が今ではインターネットに接続されるようになったことが関係しています。これにより、製造業における攻撃対象が大幅に拡大しました。これまで製造業者は、「エア ギャップ」を設け、産業用ネットワークを業務用ネットワークやインターネットと切り離してきました。ところが、IIoT による新しいビジネス モデルのメリットを得る上で、エア ギャップはもはや取り得る選択肢ではありません。

    さらに、各産業用環境で運用されているコントローラには、認証や強力な暗号化などのセキュリティ制御が欠如していることが多く、これが問題となります。つまり、産業用制御システム(ICS)への攻撃においては、多くの場合ソフトウェアの脆弱性を悪用する必要すらないのです。ハッカーは単にコントローラにアクセスするだけでよく、そこから設定やロジック、ステータスを変更することが可能です。

    全米製造業者協会(NAM)は次のように記しています。「数十億のコネクテッド デバイスが、製造されたすべての製品や、製品の製造現場に広まっています。このテクノロジーにより大きなチャンスが生まれ、革新的な変化が促されています。すべての製造業者がテクノロジー企業となるのです」”

    ところが、一方で次のようにも述べています。「インテリジェントなマシンが製造現場に浸透すればするほど、そのようなマシンに蓄積されるデータが盗難の標的とみなされるようになります」”また、製品自体に通信機能が備え付けられるようになってきています。冷暖房の空調管理システムなどに通信機能が使用され、ユーザとメーカーが相互にやり取りするようことが可能となりました。

    こうした進展により、製造業者が売り切り型の販売モデルから経常的な収益モデルに移行することが可能となり、それ自体はよいことです。ただし、このようなプロセスの中で、製造業界における脅威の対象も拡大します。このような状況を受けて、業界グループおよび政府機関がこうしたコネクテッド デバイスや環境に対する保護策について検討を進めています。

    不公正な戦い

    国家レベルの攻撃に対抗するには、サイバーセキュリティ対策を講じるための莫大なりソースが必要です。しかし、製造業者、特に小規模業者にはそれだけのリソースはありません。製造業に対し、さまざまな国家がトップ レベルのサイバーセキュリティ脅威を突きつけていると、NAM は指摘します。

    国家安全保障担当の John Carlin 前司法次官補は、昨年のインタビューで中国からの攻撃について論じ、「公正な戦いではない。世界第 2 位の経済を誇る国のリソースに対して、一民間企業が対応することはできない」と述べました。”

    AQ16705.jpg 民間のサイバーセキュリティ支出の通常のレベルを超える規模の投資を促すために、NAM は官民でのパートナーシップを提唱しています。また、NAM は、全米科学財団(NSF)、米国国防高等研究計画局(DARPA)、米国土安全保障省(DHS)の調査部門に対して、IoT のセキュリティ研究に優先的に投資することも求めています。

    法規制面での動き

    米国では 1 月に、連邦通信委員会(FCC)が IoT デバイスの製造業者に対し、サイバーセキュリティ上の責任の負担を求めました。また、ホワイト ペーパーを発行し、調査通知を公開して、議論を促しています。

    FCC は、広範な分野に及ぶ IoT ベンダーは、競争力を維持する上でデバイスの価格を低く維持する必要があると指摘しています。その結果、自発的にデバイスにセキュリティを組み込もうとする強いインセンティブはないとしています。そのため、FCC はそのようなインセンティブの創出に取り組んでいます。

    5 月 11 日にホワイトハウスは、以前から予想されていた、Presidential Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure(連邦ネットワークおよび重要なインフラストラクチャに対するサイバーセキュリティの強化に関する大統領令) [英語] への署名を実施しました。これは、前政権が署名した大統領令 Improving Critical Infrastructure Cybersecurity in February 2013(重要なインフラストラクチャのサイバーセキュリティの改善 2013 年 2 月)以来、サイバーセキュリティ分野において最も重要な大統領令です。この新しい大統領令では、各分野のサイバーセキュリティ問題に関する 9 つのレポートの作成が命じられており、国家のサイバーセキュリティ、重要なインフラストラクチャのサイバーセキュリティ、連邦ネットワークのサイバーセキュリティが対象となっています。

    この大統領令の中で特に興味深いのは、レポートの目的として、「将来における米国のサイバーセキュリティ人材に対する教育と訓練の取り組みの範囲と充足率を評価すること。初等教育から高等教育に至るサイバーセキュリティ関連の教育カリキュラム、訓練、実習プログラムを含む」と規定している点です。ホワイトハウスは、「国家のサイバーセキュリティ人材を、公的機関および民間企業の両方で増員して維持できるようにサポート」するための推奨案を求めているのです。

    さらに、米国の州レベル、世界各国での連邦レベルでの法律上の取り組みも求められています。National Conference of State Legislatures によると、昨年、米国の少なくとも 28 の州で、サイバーセキュリティに関する法律が検討または導入されました。

    欧州連合は、防御の強化を企業に強制するサイバーセキュリティ関連規則を承認しました。オーストラリアでも、行政と民間組織が協力してサイバーセキュリティに取り組むことができるようにするための国家戦略が構築されています。

    総合的サイバーセキュリティ アプローチ

    製造業者は、サイバーセキュリティにおいて、何が起ころうとしているか自覚する必要があります。まだ関与していない事業者の中には、サイバーセキュリティ関連の規制内容が決定される前に、声を上げようとする企業もあるかもしれません。しかし、技術的なイノベーションの進む速度に比べ、立法プロセスには時間がかかります。法規制はテクノロジーの進歩に比べ、一般的に 3 年から 4 年ほどの遅れをとることを念頭に置いておく必要があります。

    つまり、強固なセキュリティ ポスチャの構築を目標とするのであれば、企業は単なる法令順守に留まるのではなく、さらにその先を見据えた対策をとるべきです。今日求められているのは、現行規制の遵守や最新規制への対応だけではなく、包括的なサイバーセキュリティ戦略の立案に関して理解して積極的に取り組み、重要データの安全が維持されるように、人員、プロセス、テクノロジーを確実に配置することです。

    熟練したサイバーセキュリティの専門家への需要が高まっているのは、医療業界や製造業界だけではありません。事実、サイバーセキュリティは、セキュリティ チームにとってだけではなく、急速な勢いですべての人にとっての課題となろうとしています。サイバーセキュリティの詳細をご覧ください。また、ご自身の業務領域でサイバーセキュリティがより大きな問題となってきているようであれば、コメントをお寄せください。

     

    2017CybersecurityReport_LeadGen_Banner.jpg

     

    最新の IT 業界のニュースとシスコだけの教育サービスをご確認ください。今すぐ登録

     

    Tom Gilheany_final_thumb.jpg Tom Gilheany は、シスコのセキュリティ トレーニングおよび認定担当プロダクト マネージャです。Fortune 100 の多国籍企業における新規事業に関わった多様な経歴を持っています。Tom はプロダクト マネジメントとテクニカル マーケティング分野に 20 年以上携わり、また 10 年を超える IT および運用部門での経歴を通じて、先進的テクノロジー、サイバーセキュリティ、通信分野で 50 近い製品の発売を指揮してきました。Tom は Certified Information Systems Security Professional(CISSP)であり、MBA を取得しています。また、Silicon Valley Product Management Association と Product Camp Silicon Valley の役員でもあります。

    CLNBanner