さとうです。

2017年にトレンドマイクロ社からIIoT(*1)のセキュリティに関する考え方を提言している
「次世代コンバージド環境におけるIIoT戦略のためのセキュリティ」
が公開されています。
*1 IIoT(産業用IoT):機械学習、ビッグデータ分析、およびマシン間(M2M)通信プロトコルを用いた、産業用途におけるIoT技術の利用や組み込みを指すもの。

57


当文書は、企業、IoT/IIoTソリューションプロバイダ、および産業全体に、こうした次世代のコンバージド環境に対するセキュリティの理解を深めるための指針を提示しています。


■IIoTのセキュリティ課題
IIoTは、その構成要素ごとに以下のセキュリティ上の課題があるとしています。

• ICSの各端末、機器からデータを収集してローカルで処理するためのLAN
 ⇒セキュリティ課題:プロセス入出力ユニットの認証、その他セキュリティの不備。

• ゲートウェイ経由でのクラウドへのデータ転送
 ⇒セキュリティ課題:プロトコルおよびゲートウェイのセキュリティの不備。

• 適切なプラットフォームや特定のアルゴリズムによるクラウド内データの処理と保存(ビッグデータなど)
 ⇒セキュリティ課題:データセキュリティの不備。

• プラットフォームとエンドユーザ間の監視用インタフェース(HMI)
 ⇒セキュリティ課題:セキュアな通信プロトコルの欠如。

また、運用上の課題として、情報漏えいが機器損傷、規制上の問題、個人の安全上の問題につながる可能性があるとしています。
IIoTネットワークで使用されるカスタムプロトコルや汎用プロトコルの中には、セキュリティが十分に考慮されていないものがあると警告しています。


■IT/OT環境におけるベストプラクティス

IIoT環境のためのセキュリティ対策検討に役立ついくつかの基本的なガイドラインとして以下のものを示しています。

• 事業計画の構想、戦略、実施にセキュリティ、信頼性、安全性の観点を盛り込む
 -ビジネス企画段階でのセキュリティバイデザインを推奨しています。

• セキュリティは、ITとOT(*2)の両方に責任を持つ1人の役員が「オーナー」となる
 -ITとOTを別々に考えるのではなく、統合的に取り扱うことを推奨しています。
*2 OT(運用技術):監視制御・データ収集(SCADA)、分散制御システム(DCS)、プログラマブルロジックコントローラ(PLC)などの産業制御システム(ICS)や運用プロセスに関連するネットワーキングを含む技術。

• IT/OT環境全体にわたる技術と脅威を具体的に把握する
 -IT環境とOT環境それぞれの違いに基づく脅威と技術的対策を考慮することを推奨しています。

• 常に最新の脅威に関して情報を把握したうえで備えることができるように、脅威インテリジェンスの枠組みを確立する
 -最新の脅威情報の収集・分析の仕組みを備えることを推奨しています。

• ベースラインのセキュリティ対策を自社環境のフルレイヤーに導入する
 -最低限のベースとなるセキュリティ対策をまんべんなく導入することを推奨しています。

• 脆弱性を把握し、対策を実装するために、すべての環境を対象に定期的なリスク評価を実行する
 -国際的な標準ガイドラインを活用してリスク評価を行うことを推奨しています(NIST SP 800-82 Rev2など)

• 脆弱性により適切に対処するためにセキュリティ更新プログラムの適用プロセスを確立または更新する
 -IEC TR 62443-2-3(Patch management in the IACS environment)などを参考にすることを推奨しています。

• ITセキュリティ、物理的安全性、および事業継続性と整合性のとれたICS固有のポリシーおよび手順を策定する
 -制御系システムのポリシーや手順は、他のポリシーや手順と合わせることを推奨しています。


通常のITセキュリティは今ではある程度普及していますが、OT環境におけるセキュリティを組み合わせるためには、OT環境の技術の理解が欠かせないといえそうです。


さとう