IoTは社会インフラや産業分野に大きな変革をもたらそうとしている。だが、一方で懸念されるのがセキュリティである。多種多様なシステムと膨大な設備と機器、無数の利用者がつながるこの仕組みに乗じて、これまで予想もしなかった新たな脅威が出現しようとしているのだ。これまで外部のネットワークから隔離された状態で運用することで安全性を担保してきた工場のOT(制御・運用技術)系システムがIoTネットワークとつながることで、サイバー攻撃の対象になる恐れがでてきた。そうした中で、IoTシステムの設計や開発を担うエンジニアに向けて書かれたのが「IoTシステムとセキュリティ」(科学情報出版)である。企画・編集・執筆を担当した岡田 光司氏と斯波 万恵氏に、本書の読みどころを伺った。
株式会社 東芝
技術企画部
サイバーセキュリティセンター
参事
斯波 万恵氏(本書の執筆時は東芝デジタルソリューションズ株式会社に在籍、2019年4月から株式会社東芝に出向)
株式会社 東芝
技術企画部サイバーセキュリティセンター
参事
岡田 光司氏(本書の執筆時は東芝デジタルソリューションズ株式会社に在籍、2019年4月から株式会社東芝に出向)
執筆している最中にも、セキュリティを取り巻く状況が変化していく
――2019年6月21日に発刊された「IoTシステムとセキュリティ」について、まずは出版の経緯をお聞かせください。
「IoTシステムとセキュリティ」(科学情報出版)
斯波氏: 2017年に科学技術出版から「IoTのセキュリティに関する書籍を出版しませんか」とお声がけをいただいたのが、そもそものきっかけです。
岡田氏: 東芝グループが携わっている多くの社会インフラや電力システムにもIoTの波が到来しており、先行してセキュリティを検討してきた経験があります。そうしたなかで培った知見をグループ内のエンジニアだけでなく、社外にも広く提供することは、私たちの取り組みのアピールにもつながると考えました。
斯波氏: もっとも、スムーズに事が進んだとは言えず、2年をかけてようやく今回の出版に至りました。東芝が提案するリファレンスアーキテクチャーを掲載するところまでは、既存の論文などをベースに内容をほぼ決めていたのですが、IoTシステム開発者向けに「どのような価値を提供できるか」で議論が沸騰し、なかなか筆が進まず、出版を断念しようと考えたこともありました。
――多くの苦労があったのですね。
岡田氏: 私たちも試行錯誤している段階でした。IoTのセキュリティそのものが、新しい規格が提唱されたりガイドラインが発表されたりと、執筆している最中にも状況が大きく変化していきましたので。どの時点までの情報を取り入れるべきなのか、常に大きな葛藤がありました。
株式会社東芝 技術企画部 サイバーセキュリティセンター 参事 斯波 万恵氏
実際のIoT開発で熟慮したセキュリティの知見を盛り込む
――本書の「1章 はじめに」には、「IoTシステムの開発者向けに、セキュリティ設計の考え方を紹介する」と記されていますが、より具体的な読者のターゲットを教えていただけますか。
斯波氏: 本書はシステム開発者向けの参考書という位置付けですが、IoTシステム設計者、セキュリティ開発プロセス整備担当者、研究者など、さまざまな立場でIoTシステムのセキュリティに携わる技術者に読んでいただきたいと考えています。
――かなりハイレベルな内容になっているのでしょうか。
岡田氏: 決してそういう訳ではありません。東芝をはじめ、日本の多くの製造業のエンジニアはOT(制御・運用技術)系のシステムの運用に悪影響を及ぼすことを常に危惧しており、そもそも生産ラインを構成する各装置や機器、それらを制御するPLC(プログラマブル・ロジック・コントローラ)などからデータを取得すること自体に、あまり前向きな考え方を持っていません。そうしたことから、IoTシステムのセキュリティを設計するといっても、「何から考えれば、どこから手を付けたらいいのか、分からない」のが本音です。本書はそんなOT系システムに携わっているエンジニアの疑問や悩みに、さまざまなパターンで答えていく構成となっています。
斯波氏: 大きく分けると、前半はインダストリアルIoTに関わる国際標準規格やガイドライン、デジタルトランスフォーメーションの進化に伴うセキュリティの考え方・方法論などをまとめており、ビジネス系やエンジニアリング系の読者にお勧めします。また、後半はIoTシステム開発におけるリスクアセスメント手法について詳細に記載しており、ベンダーの開発者にお勧めです。
岡田氏: 特に各章に記載している「NOTE」や4章の「ポイント」、6章の事例などは、私たちが実際のIoTシステム開発で経験した苦労から見出した、“コツ”的な情報も多く含まれています。読者の方々の実務に役立つ、読みどころになると考えています。
斯波氏: 東芝デジタルソリューションズでは、産業用機器の遠隔監視による故障検知やエネルギーマネジメントなど、製品・機器からのデータ収集から見える化までトータルで実現する「IoTスタンダードパック」というクラウド型サービスを提供すると共に、これをコアとしたソリューションビジネスを展開しています。そうした中で熟慮してきたセキュリティの知見を、4章以降に盛り込んでいます。
設計フェーズや実装・構築フェーズ以降のステップは個別の相談にも対応する
――本書を出版するにあたって、強くこだわってきたポイントがよく分かりました。ただ一方で、さまざまな葛藤を抱えながら執筆してきたというお話も伺いました。その意味で、どうしても本書に収録できなかった情報(内容)もあるのでしょうか。
斯波氏: セキュリティ要件を定める上で重要なウエイトを占めるIoTシステムの脅威分析やリスクアセスメントまでは言及しているのですが、その先のステップまでは踏み込めていません。
岡田氏: そうですね。本当はリスクアセスメントの結果を受けた設計フェーズや実装・構築フェーズの在り方、セキュリティ試験、運用の進め方まで盛り込むことができれば理想的なのですが、そこまでは手が回りませんでした。
斯波氏: かなり悩んだのですが、やはり設計フェーズや実装・構築フェーズ以降のステップについては企業ごとの課題、あるいは対象システムによって異なるため、一般論として落とし込むのが困難なのです。
株式会社東芝 技術企画部 サイバーセキュリティセンター 参事 岡田 光司氏
――そこを何とか知りたいという読者は、どうすればいいですか。
岡田氏: ぜひ東芝デジタルソリューションズに個別にご相談いただければと思います。
――確かに! 評論家やジャーナリストが書いた書籍と違って、その先の具体的なソリューションまでつなげられる点は、実際にIoTシステム開発を手掛けている東芝ソリューションズが執筆した書籍ならではの強みですね。
斯波氏: ありがとうございます。とはいえ、いきなり問い合わせるのも勇気がいるものですから、そんな場合は東芝デジタルソリューションズのWebサイト(https://www.toshiba-sol.co.jp/)や東芝グループの技術情報誌などもぜひご参照ください(編集部注:本記事の末尾に、ウェブ上で参照できる情報へのリンクをまとめています)。これらのメディアを通じても、IoTシステムのセキュリティに関するさまざまな情報発信を行っています。また、本書の巻末には「参考文献」とそのURLを掲載しています。これらの情報は特別なコネクションがなければ得られない学術論文などではなく、普通にインターネットでアクセスできるものばかりですので、読者の皆様の業務にも役立つと考えています。
――IoTシステムを取り巻く環境や技術は、現在も急速なスピードで進化し、変化を続けています。本書を出版されてからまだそれほど時間がたっているわけではありませんが、現在までの間にも生じている変化があれば、その最新情報を教えてください。
斯波氏: 本書では「セキュリティライフタイムプロテクション」という考え方を提示しており、IoTシステム開発者にとっては設計・防衛のフェーズが特に重要と記載しました。しかし、企業全体の課題を俯瞰してみると、セキュリティ運用(セキュリティ監視やインシデント対応・復旧)、セキュリティ評価・検証、教育・訓練といったその他のフェーズの重要度がさらに増しています。
そうした中で、セキュリティ監視やインシデント対応・復旧の自動化技術、脅威インテリジェンスを活用したプロアクティブなセキュリティ対策がより強く求められるようになり、攻撃者視点のセキュリティ試験なども行われるようになりました。また、サイバー攻撃自体がどんどん多様化・巧妙化しているため、それに合わせてセキュリティ対策も新しい考え方や方法論がアップデートされています。
さらに最近では、米国NIST SP 800-171およびそれに準拠した国内防衛調達基準の他産業への広がり、経済産業省の産業サイバーセキュリティ研究会を中心とした電力、ビルのセキュリティ認証、働き方改革やクラウド利用の広がりに伴う日本企業セキュリティ対策の変化といった業界や社会的な動向にも注目する必要があります。
とはいえ、繰り返しになりますが、IoTシステムの設計者や開発者に最も要求されるセキュリティリスクアセスメントの考え方は普遍的なものですので、今後も本書を参考にしていただければ幸いです。
――本日は有益なお話をありがとうございました。
IoTシステムとセキュリティ -サイバーセキュリティの実践- (設計技術シリーズ)(販売サイト(Amazon)へのリンク)
著者:東芝デジタルソリューションズ株式会社
出版社:科学情報出版
定価:2,800円+税
出版日:2019年6月21日
ISBN-10:4904774736
ISBN-13:978-4904774731
※当サイト(plazma.red)はアフィリエイト広告を組み込んでいませんので、記事内のAmazonへのリンクから書籍が購入されても、当サイトに紹介料が還元されることはありません。
東芝グループが発信するIoTセキュリティ関連の技術情報の一部を紹介します。
東芝広報メディア「TOSHIBA CLIP」
「ハッカーから社会インフラを守れ! サイバーセキュリティ最前線」
https://www.toshiba-clip.com/detail/7338
東芝デジタルソリューションズ情報誌「T-SOUL」:Vol.25 社会インフラシステムのデジタルトランスフォーションを支える 東芝のインダストリアルIoTセキュリティ
社会インフラを守る、東芝のインダストリアルIoTセキュリティ
http://www.toshiba-sol.co.jp/articles/tsoul/25/001.htm
CISOの指揮の下、サイバー攻撃に対応するシステム、技術、人財を生み出す 東芝の「サイバーセキュリティセンター」
http://www.toshiba-sol.co.jp/articles/tsoul/25/002.htm
サイバー攻撃の脅威から自社を守り、お客さまと社会を守る サイバーセキュリティの社内実践
http://www.toshiba-sol.co.jp/articles/tsoul/25/003.htm
IoTセキュリティの革新的なフレームワーク 東芝が提唱するセキュリティリファレンスアーキテクチャー
http://www.toshiba-sol.co.jp/articles/tsoul/25/004.htm
止まることが許されない重要インフラシステムを、革新的な手法で守る 制御システムの最新セキュリティ対策
http://www.toshiba-sol.co.jp/articles/tsoul/25/005.htm
