OTセキュリティの推進は罰則よりもメリットを–識者に聞く米国の現状

今回は「OTセキュリティの推進は罰則よりもメリットを–識者に聞く米国の現状」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　経済産業省が4月に「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」を発行するなど、国内で重要インフラを含む制御系システム（OT）領域のセキュリティ推進に向けた環境整備が一段と加速している。米国では、2021年5月に発生した石油パイプライン大手Colonial Pipelineに対するサイバー攻撃を契機にOTセキュリティの強化が重要課題になった。その米国の現状はどうか――米連邦政府機関で要職を歴任した米Tenable 重要インフラ・OT/IoT担当 副CTO（最高技術責任者）のMarty Edwards氏に聞いた。

　Edwards氏は、米エネルギー省のアイダホ国立研究所で制御システムのセキュリティプログラム、米国土安全保障省では「ICS-CERT」ディレクターや同省の制御システム作業グループ共同議長などを歴任した。2019年からTenableでOTセキュリティをけん引し、2022年から米国家安全保障電気通信諮問委員会（NSTAC）でIT/OT融合に関する大統領報告書作成ワーキンググループのリーダーも務めた。

　まずOTを狙う攻撃者の主な動機には、「設備の破壊」「スパイ行為」「金銭獲得」の3つがあるという。OTへのサイバーの脅威が最初にクローズアップされたのは、2011年に発生したイランの原子力関連施設に対する「Stuxnet」攻撃で、これは施設の設備の破壊が目的だったとされる。2015～2017年にはウクライナの発電所などを狙った攻撃が注目され、2020年代からはColonial Pipelineに対する攻撃や、国内でも自動車部品メーカーや港湾貨物施設が狙われた攻撃ではランサムウェアを使った金銭獲得が目的だとされる。

　Edwards氏は、「ランサムウェアを使うような攻撃組織は、明確に金銭が動機となる。OT関連組織の被害は市民の生活や生命にも影響しかねず、攻撃組織は一般的な組織を狙うよりもOTの組織を狙う方が、はるかに大きな金額を手にする機会が高いことを理解している。一方で、国家的な支援を受けている攻撃組織は、破壊やスパイ行為を動機にしていることが多い」と解説する。

　同氏によれば、これら動機を基にした攻撃はいずれも増加傾向にあり、特にColonial Pipelineに対する攻撃では、同社の米国東部における石油輸送機能が長期間停止したことで、自動車に給油できなくなるなど多くの米国市民も巻き込む影響が生じたことから、OTセキュリティの重要性が大きく認知されたという。

　OTセキュリティを推進する立場のEdwards氏は、「Colonial Pipelineの事件は、政府レベルでOTセキュリティに関する議論の必要性を意識させることになった。しかし、われわれが期待するほどには進んでいない」と明かす。

　その一因にOTセキュリティに関する法規制、ガイドライン、ルールなどの複雑さがあるという。近年は、国際電気標準会議（IEC）や米国立標準技術研究所（NIST）などを中心にOTセキュリティに関するガイドラインが多数整備され、業界ごとやOTシステムの各種領域ごとにもきめ細かく整備が進んだ。一見すると事業者側が順守すべき事柄が明確化したように映るが、種類や数が多く内容も複雑で、事業者側の対応の足かせにもなっているとEdwards氏は指摘する。

　「主要なガイドラインを見ると、実際には内容の8割が重複している。私は常々基本に立ち戻るべきだと提言しており、内容を整理すれば、事業者がやるべき事柄がシンプルになり、理解しやすくなり、対策の導入を促すことにつながる」

　また、事業者の順守を促す方法には、当局による認可・認定などの審査もあるだろう。ここでは順守しない事業者に罰則を科すようなデメリット、あるいは順守する事業者にインセンティブを付与するといったメリットの2つアプローチがある。

　Edwards氏は、「米国では基本的にサイバーセキュリティは、標準やガイドラインなどによって事業者に対応を促すようにしている。しかし、電力など一部の業界では厳格な規制を定めて、事業者が順守しない場合に制裁金など厳罰を科している」と解説する。その上で同氏は、私見として事業者がメリットを享受できるアプローチが望ましいと述べ、米国内でも同様の声は根強いという。

　「例えば、化学業界では安全性を毀損（きそん）しかねない事象を報告した従業員をたたえる“文化”があり、組織を挙げてより安全なものしていくという意識が強い。他方で、サイバーセキュリティは、例えば、フィッシングメールを何度か開封して問題を繰り返してしまう従業員は解雇するといった罰則ありきの面がある。そうではなく、トレーニングでミスをした従業員には丁寧な教育と理解を促し、ミスを繰り返さないように機会を提供することが望ましい」

　また、脅威への備えと並んで万一のインシデントへの対応も重要になる。ITとOTでは、システム自体の性質や考え方、仕組み、運用プロセスなど多くの部分で違いがあり、双方の違いを踏まえた上で、適切なインシデント対応（IR）体制を整備しておくことが求められる。

　Edwards氏は、「OTのIRは、その計画や可視化、体制も含めてITよりも準備が遅れている」と指摘し、まず必要なことは、インシデントが起こり得る対象の可視化だと話す。

　「ICS-CERTのディレクターを経験した立場で言えるのは、IRチームが最初に知りたいことは、どんなデバイスがあるのか、そのデバイスの設定がどうなっているのか、デバイス間でどのような通信を行っているのか。デバイスにどのような対策を実施しているのかといった情報であり、インシデント発生時にこうしたIRチームの求める情報を迅速に提供できることが組織にとって大事だ」

　最近のOTシステムでは、汎用的なITシステムのソフトウェアやハードウェアを部分的に採用するケースが増えてきている。一方で、生産用ロボットなどOTならではのデバイスもあり、OTとITのシステムがコンピューターやネットワークを介して接続され、データをやりとりする。

　Edwards氏は、OT側の担当者にITの知見が少なければ、IT側の担当者と協力しながら、守るべき環境の実態把握と可視化を図るべきだとアドバイスする。米国では、ITセキュリティを所管する最高情報セキュリティ責任者（CISO）や最高セキュリティ責任者（CSO）がOTセキュリティも同時に所管しているケースがあるそうだ。日本では伝統的に工場長など現場の総責任者がOT環境を所管しており、こうした立場の責任者がOTとITのサイバーセキュリティを主導していくアプローチも取り得るという。

　Edwards氏は、セキュリティ対策では「人」「プロセス」「技術」の3つが基本的で大切な要素だと述べる。新しい領域のOTセキュリティにおいても、この3つの要素を基本に、脅威から守るべきものを明確にし、脅威に対応する上で保護するものの状況を可視化するという基本の徹底こそが大事だと説いている。