~シスコ2018年次サイバーセキュリティレポートが警鐘を鳴らす日本企業の課題~「5分で分かる橋川ミチノリの業務改善」コラム第20回特別号

はじめに

今月発生しました豪雨災害により被災された皆さまに心よりお見舞いを申し上げます。私の郷里である広島も甚大な被害を受け実家のある地域でも大規模な土砂災害にみまわれました。この度の災害で被害が拡大した原因のひとつは「これまで大丈夫だったから今回もきっと大丈夫だろう」という考えから避難行動に移るまでに時間が掛かってしまったことであると言われています。サイバーセキュリティの世界も同様で、これまでの常識では考えられなかった手法で攻撃を受ける可能性が高まっているなかで 「これまで大丈夫だったから自分の会社はきっと大丈夫だろう」という考えから十分な対策がとれていない企業がたくさんあります。今回の「5分で分かる橋川ミチノリの業務改善」コラムは第20回特別号として、5月に発表された「シスコ2018年次サイバーセキュリティレポート」の内容を基にシスコシステムズ社が警鐘を鳴らす日本企業の課題についてご説明いたします。

 

ランサムウェアWannacry(ワナクライ)が流行したのはなぜか?

昨年5月に流行したランサムウェアWannacry(ワナクライ)が話題になったのは自己増殖するワーム型だったからです。2017年当初から「今年中にワーム型のランサムウェアが流行するであろう」と予測されていましたがその通り5月に流行してしまいました。

※マルウェアの種類については
 「業務改善へのミチノリ」コラム 第3回「マルウェアは万病の元!ネットワーク視点による対策の重要性」でご説明していますので宜しければご覧ください。

確かにワーム型のマルウェアは自己増殖して自らコンピュータ内のファイルに入り込んでいく恐ろしいマルウェアですが、他のコンピュータに感染・拡散していく過程では最終的に「人間の操作」が必要です。 「人間の操作」の実例を挙げますと、データのダウンロード、電子メール(開封・URLや添付ファイルのクリック)、物理メディア(USBメモリ接続)といったものです。 「Wannacry(ワナクライ)」も、そのマルウェア単体では恐らくあれほどまでの被害は出なかったと思われます。大流行となった真犯人はハッキングツールである「EternalBlue(エターナルブルー)」です。

善意のツールも悪用されればハッキングツールになる

「EternalBlue(エターナルブルー)」は、エクスプロイトキットというハッキングツールに分類されます。元々「エクスプロイト」とは「OSやソフトウェアのコード上のセキュリティ脆弱性(セキュリティ・ホール)が仮に攻撃された場合の影響範囲を確認し、コード書き換え等によって対策を講じる行為」であり、自社システムの安全性確認のために利用するのであれば違法ではありません。このツールがWannacry(ワナクライ)を感染拡大させるコード書き換えツール「エクスプロイトキット」として悪用されたのが「EternalBlue(エターナルブルー)」です。

EternalBlue(エターナルブルー)によるマルウェア感染イメージ

この攻撃で注目すべきは、

1.同じ脆弱性を持ったOS・ソフトウェアで動作するシステムに次々と感染していく
→感染した機器のコードを書き換えて上位の操作権限を勝手に取得して感染を広める。

2.火災警報パネルやドアロックなど、人命に関わるようなシステムに影響を及ぼす
→人的被害や長期操業停止に追い込まれてしまうような事態に直結する。

3.業務改善のために導入したはずのIT(情報技術)/OT(運用技術)が攻撃の拠点にされている
→工場で利用されているIT/OT機器はオフィスで利用されている機器と比べてセキュリティの確保が難しい。

という点です。一昔前までは考えられなかった規模の被害をもたらすハッキングツールであることがお分かりいただけると思います。

OT(運用技術)のセキュリティ確保が難しい理由

一般的なオフィスで利用されているIT(情報技術)と比較して、工場や倉庫で利用されているOT(運用技術)のセキュリティ確保が難しいのはなぜでしょうか?
・IT機器と比較して、OT機器・IoT機器は脆弱性が発見されてもセキュリティパッチの公開が遅い
(製品によってはそもそもセキュリティパッチが存在せず公開すらされないものもある)
・セキュリティパッチ適用のために一定時間操業を停止しなければならない(生産性が低下するため現場に敬遠される)
・現行システムにセキュリティパッチを適用すると動作しなくなる可能性があるのでなかなか実施できない。

IT/OT製品を導入するときは、導入後のセキュリティ対策・運用も視野に入れて製品選定段階から慎重に行なわなければならないのです。

ものづくり大国・・・ですよね?

近年ではあまり言われなくなりましたが日本は「ものづくり大国」です。ところがバブル崩壊以来25年間、生産系設備投資額は低迷しており、前年投資額を上回った年は半分もありません。しかし、バブル崩壊から数年遅れでITバブルが起きたため、工場や倉庫にIT投資をする企業が増えました。現在はIoT導入やWindows系OSサポート終了で一時的に投資額が増えることはありますが、残念ながら「継続的にサイバーセキュリティに投資する文化」が日本の企業に根付かないまま何とか不況を乗り切っている状態が今も続いているのです。また、「日本は世界一安全な国である」という「安全神話」に捉われて、インターネットを電気・水道・ガスと同質のインフラと見做してセキュリティ投資を渋る経営層が多いのも現実です。そのことをハッカーも知っているのか、日本向けサイバー攻撃の重点対象は下図の通り既にIT(情報技術)からOT(運用技術)にシフトしています。

 

OT と IT に対するサイバー攻撃予測(国または地域別)

出典:シスコ 2018 セキュリティ機能ベンチマーク調査

組織的にサイバーセキュリティに取り組めていないのは日本だけ

サイバーセキュリティに対する意識の低さはそのまま企業の組織・文化に如実に表れています。下図から分かる通り、ほとんどの日本企業は全社統合的な情報セキュリティフレームワークを意識することなく、各部門がバラバラのポリシーで(或いは無秩序に)でシステムやネットワークを導入して運用しているのです。これではハッカーに狙われて当然ですね。。

標準的な情報セキュリティフレームワークに対する準拠率が高いと認識している組織の割合(国または地域別)

出典:シスコ 2018 セキュリティ機能ベンチマーク調査

サイバーセキュリティ対策は組織的に取り組みを

この状況に対応するために、「シスコ2018年次サイバーセキュリティレポート」では、情報システム部門から「サイバーセキュリティ分野」を分離してサイバーセキュリティ部門を設置するよう提言しています(筆者はこれを上位組織にすればなお良いと考えます)。各部門は新たに機器(デバイス)・ツール・システム・ネットワーク等を導入する場合には必ずサイバーセキュリティ部門の承認を得てから導入し、運用上の問題点や脆弱性が無いかの監視を受けます。もし問題点や脆弱性が見つかった場合は、 サイバーセキュリティ部門からの指示により、直ちに対策を実施しなければならないルールにするのです。

「情報システム部門」と「サイバーセキュリティ部門」を分離する組織運用イメージ

ただし、この運用方法だとサイバーセキュリティ部門の負担が大きくなるので、情報システム部門が運用・監視システムに機械学習・自動化システムを取り入れ負担を減らしていく必要があります。Cisco DNAは将来的には完全自動化し、前述の業務を助けるソリューションのひとつとして注目されています。

Cisco DNA関連コラムは

・「業務改善へのミチノリ」 第10回 「情報システム部門は非生産的」な考えを撲滅!(1)

・「業務改善へのミチノリ」 第11回 「情報システム部門は非生産的」な考えを撲滅!(2)

・「業務改善へのミチノリ」 第12回 「情報システム部門は非生産的」な考えを撲滅!(3)

・5分で分かる橋川ミチノリの業務改善 第18回「Cisco ISE(シスコ・アイス)によるワークスタイルの変革」

をご覧ください。

 

ディーアイエスソリューションの「サイバーセキュリティ個別無料相談会」

とは言っても、いきなり組織改正やルール策定をするのは非常に難しいことです。そこで弊社では、皆様の現在のお悩みや課題をお伺いし少しでもお役にたてるよう「サイバーセキュリティ個別無料相談会」を開催しています。

・セキュリティ投資をしたいが上層部を説得できずにお困りの方

・セキュリティポリシーや規定を作成したいが何から手を付ければいいか分からない方

・自社のセキュリティ投資が過剰なのか不足なのか判断が付かない方

どうぞお気軽にご相談ください。

「サイバーセキュリティ個別無料相談会」のページはコチラ

 

Related post

更新情報

最新コラム

  1. こんにちは。吉政創成の吉政でございます。 クラウドの市場データを追いかけている方は、そろそろ気…
  2. はじめに 今月発生しました台風21号、北海道胆振東部地震により被害にあわれました方に心よりお見舞い…
  3. こんにちは。吉政創成の吉政でございます。今日は「広告に頼るWebサイト集客はやはり厳しい件。コンテン…

ログインステータス

You are not logged in.
Return Top