IoT新時代に工場設備や制御装置や機械、ロボットもAIを活用した技術導入とサプライチェーンに参入しなければ注文が来ないという時代になって参りました。
生産設備や制御装置・検査装置においてコンピュータ機能を持つ部品が一つでも入っていると脆弱性を持つ生産設備になりますし、制御装置・検査装置になってしまいます。そこで、サプライチェーンで扱う情報に脆弱性情報やサイバーリスクアセスメント情報を明記し、認証制度の充実を図ろうという動きがEU参加国及び米国から出ております。
米国ではNIST(National Institute of Standards and Technology)策定のガイドライン「サイバーセキュリティフレームワーク」で“サプライチェーンリスクマネージメント”を明記しており、個別の制御システムにおけるサイバーリスクアセスメントの実施を促しております。特に防衛調達に参加する全ての企業に対してセキュリティ対策(SP800-171の遵守)を義務化しています。
欧州では単一サイバーセキュリティ市場を目指しており、国ごとの規制やルールが異なっているものを統一するべく調整が進んでおり、ネットワークに繋がる機器の認証フレームの導入検討に入っています。既に、重要インフラのエネルギー産業では事業者に対しセキュリティ対策(NIS Directive:The Directive on Security of Network and Information Systems)が義務化されています。
既に、セキュリティ要件を満たさない事業者、製品、サービスはグローバルサプライチェーンから外されており、グローバルサプライチェーンにつながる国内サプライチェーンにおいても急速に外されていくと推測されます。その結果、新しいサイバーセキュリティ認証フレームワークの構築が提唱されております。つまり、「つながる」ことを前提とするコネクティッドインダストリーにおいて、サイバーセキュリティの確保は必須条件ということです。
具体的には、EUのサイバーセキュリティ庁を創設し、予算・人員等を確保して、ENISAの機能強化を推進しています。EU各国はICT機器、サービスに対して今後規制を実施する際、既存の認証制度はENISA(European Network and Information Security Agency)によって定められた認証制度を採用するようになります。
生産設備や制御装置・検査装置においてコンピュータ機能を持つ部品が一つでも入っていると脆弱性を持つ生産設備になりますし、制御装置・検査装置になってしまいます。そこで、サプライチェーンで扱う情報に脆弱性情報やサイバーリスクアセスメント情報を明記し、認証制度の充実を図ろうという動きがEU参加国及び米国から出ております。
米国ではNIST(National Institute of Standards and Technology)策定のガイドライン「サイバーセキュリティフレームワーク」で“サプライチェーンリスクマネージメント”を明記しており、個別の制御システムにおけるサイバーリスクアセスメントの実施を促しております。特に防衛調達に参加する全ての企業に対してセキュリティ対策(SP800-171の遵守)を義務化しています。
欧州では単一サイバーセキュリティ市場を目指しており、国ごとの規制やルールが異なっているものを統一するべく調整が進んでおり、ネットワークに繋がる機器の認証フレームの導入検討に入っています。既に、重要インフラのエネルギー産業では事業者に対しセキュリティ対策(NIS Directive:The Directive on Security of Network and Information Systems)が義務化されています。
既に、セキュリティ要件を満たさない事業者、製品、サービスはグローバルサプライチェーンから外されており、グローバルサプライチェーンにつながる国内サプライチェーンにおいても急速に外されていくと推測されます。その結果、新しいサイバーセキュリティ認証フレームワークの構築が提唱されております。つまり、「つながる」ことを前提とするコネクティッドインダストリーにおいて、サイバーセキュリティの確保は必須条件ということです。
具体的には、EUのサイバーセキュリティ庁を創設し、予算・人員等を確保して、ENISAの機能強化を推進しています。EU各国はICT機器、サービスに対して今後規制を実施する際、既存の認証制度はENISA(European Network and Information Security Agency)によって定められた認証制度を採用するようになります。
引用元:欧州委員会のジャン=クロード・ユンケル委員長は2017年9月13日、欧州議会で一般教書演説を行った内容による。主な施策の一つに以下を上げている。
○サイバーセキュリティに関する研究開発拠点や、EUレベルの製品・サービスのサイバーセキュリティ認証制度の創設など、産業のサイバーセキュリティ強化に向けたパッケージ
EUの製造業を代表する92団体は2017年2月16日、欧州委員会に対して製造業が直面する課題に取り組むための政策策定を求める共同声明を発表した。欧州自動車工業会(ACEA)や欧州化学工業連盟(Cefic)、欧州自動車部品工業会(CLEPA)、欧州鉄鋼連盟(EUROFER)、欧州工作機械工業連盟(CECIMO)、欧州機械・電気・電子・金属産業連盟(ORGALIME)などが署名した。この声明は、EU製造業の世界市場での競争力低下に懸念を表明している。署名団体は2月末時点で125団体に増えた。この経緯からして、EUにおける産業サイバーセキュリティ強化は、ほとんどの業界に急激に拡がっていくことが推測される。
○サイバーセキュリティに関する研究開発拠点や、EUレベルの製品・サービスのサイバーセキュリティ認証制度の創設など、産業のサイバーセキュリティ強化に向けたパッケージ
EUの製造業を代表する92団体は2017年2月16日、欧州委員会に対して製造業が直面する課題に取り組むための政策策定を求める共同声明を発表した。欧州自動車工業会(ACEA)や欧州化学工業連盟(Cefic)、欧州自動車部品工業会(CLEPA)、欧州鉄鋼連盟(EUROFER)、欧州工作機械工業連盟(CECIMO)、欧州機械・電気・電子・金属産業連盟(ORGALIME)などが署名した。この声明は、EU製造業の世界市場での競争力低下に懸念を表明している。署名団体は2月末時点で125団体に増えた。この経緯からして、EUにおける産業サイバーセキュリティ強化は、ほとんどの業界に急激に拡がっていくことが推測される。
IEC62443の規格を推進しているIEC TC65 WG10において、IEC62443-4-2の制御システムを構成するコンポーネントのエンジニアリングツールやHMI作画ツール含め周辺コンピュータのセキュリティ管理基準が定まったので、次のテーマとしてIEC62443-2-4がスタートします。
これに対して日本の産業界は、市場動向情報として調査はするものの日頃のグローバル人脈ができていないことから、公開された情報をかき集めて社内報告するのが精一杯で、経営者自身が国際標準化動向や欧州、北米、アジアなどの政府機関の動向情報を入手して、どのようなIoT新時代が来るのかについて理解が進んでいないのが実状ではないでしょうか。
制御システムセキュリティ対策は企業負担が大きいからと言って何もしない、自社には得意とする技術があるからいつの時代でも心配いらないとする日本企業はこのままではこのグローバル市場からはじき出される可能性が出ています。
制御製品がインターネットにつながっていないから大丈夫と言う幻想は、2010年のStuxnetの登場で打ち砕かれ、爆発事故まで起こせることは過去のサイバー攻撃による事故事例が証明しています。事業操業を停止する事例は、国内外で実際に起きています。
重要なことは、注文を出す企業で求められる課題が何かだと思います。2020年に東京オリンピックパラリンピック競技大会があります。その時に競技場の設備を標的にサイバー攻撃が集中するであろうことは皆さん感じるところだと思います。その設備を構成する制御システムにどのような制御機器が使われているかわかれば、それにどのような脆弱性があるか、どのような攻撃方法があるかが分かってきます。設備の構成部品でコンピュータ機能を有する部品の数の多さ、そしてその中の一つの脆弱性の情報がサイバー攻撃側に知れて、攻撃マルウェアを作られ、ばらまかれ、いろんな侵入ルートがあって、・・・・。そのような設備のリスクをアセットオーナーが全て背負う訳にいかないと考えられます。
それより、各メーカーや各ベンダが脆弱性対策やセキュリティ機能やセキュリティ性能を持った制御製品を開発し、供給でき、それらを扱う中間業者も情報伝達の責任を負い、サプライチェーンのIoT技術で管理できるインフラがあれば、設備のアセットオーナーのリスクへの負担は軽減されるというものです。それを目的とした認証制度が必要であるという考えが欧州及び米国の新しい潮流として急速に拡がっているのです。
制御製品やIoTにつながる機器の製品開発プロセスで脆弱性対策がなされ、セキュリティ機能やセキュリティ性能を有し、制御システム設計のサイバーリスクアセスメントが実施されることで、設備の現場で対処できる残留リスクで収まるように総合セキュリティ管理が実現できれば、安心安全の社会が実現する一因になる訳です。
企業がそれに取り組まない根本的問題は何かというと、企業内の技術者にサイバーリスクアセスメントを実施した制御システム設計や制御製品開発をした経験者がいないということです。だから、企業内の技術者が「本格的にやろうとすると大変ですよ。」と言う。実施した経験が無いから多めに見積もってしまう。やった経験があって、当たり前に設計できるのであれば、その見積もりも桁違いに違ってきます。問題はこの違いです。
だからといって全て勉強して研究して全て知見にならないと実現できないと考えていると何年経っても実現できません。それを待っていては、顧客から注文が来なくなってしまいます。さらに現在は、制御システムセキュリティ対策技術だけでなく、AI技術の活用が急速に進んでいるように新たな技術を取り入れる準備も同時に取り組む必要があることも付け加えておきます。
制御システムセキュリティ対策は企業負担が大きいからと言って何もしない、自社には得意とする技術があるからいつの時代でも心配いらないとする日本企業はこのままではこのグローバル市場からはじき出される可能性が出ています。
制御製品がインターネットにつながっていないから大丈夫と言う幻想は、2010年のStuxnetの登場で打ち砕かれ、爆発事故まで起こせることは過去のサイバー攻撃による事故事例が証明しています。事業操業を停止する事例は、国内外で実際に起きています。
重要なことは、注文を出す企業で求められる課題が何かだと思います。2020年に東京オリンピックパラリンピック競技大会があります。その時に競技場の設備を標的にサイバー攻撃が集中するであろうことは皆さん感じるところだと思います。その設備を構成する制御システムにどのような制御機器が使われているかわかれば、それにどのような脆弱性があるか、どのような攻撃方法があるかが分かってきます。設備の構成部品でコンピュータ機能を有する部品の数の多さ、そしてその中の一つの脆弱性の情報がサイバー攻撃側に知れて、攻撃マルウェアを作られ、ばらまかれ、いろんな侵入ルートがあって、・・・・。そのような設備のリスクをアセットオーナーが全て背負う訳にいかないと考えられます。
それより、各メーカーや各ベンダが脆弱性対策やセキュリティ機能やセキュリティ性能を持った制御製品を開発し、供給でき、それらを扱う中間業者も情報伝達の責任を負い、サプライチェーンのIoT技術で管理できるインフラがあれば、設備のアセットオーナーのリスクへの負担は軽減されるというものです。それを目的とした認証制度が必要であるという考えが欧州及び米国の新しい潮流として急速に拡がっているのです。
制御製品やIoTにつながる機器の製品開発プロセスで脆弱性対策がなされ、セキュリティ機能やセキュリティ性能を有し、制御システム設計のサイバーリスクアセスメントが実施されることで、設備の現場で対処できる残留リスクで収まるように総合セキュリティ管理が実現できれば、安心安全の社会が実現する一因になる訳です。
企業がそれに取り組まない根本的問題は何かというと、企業内の技術者にサイバーリスクアセスメントを実施した制御システム設計や制御製品開発をした経験者がいないということです。だから、企業内の技術者が「本格的にやろうとすると大変ですよ。」と言う。実施した経験が無いから多めに見積もってしまう。やった経験があって、当たり前に設計できるのであれば、その見積もりも桁違いに違ってきます。問題はこの違いです。
だからといって全て勉強して研究して全て知見にならないと実現できないと考えていると何年経っても実現できません。それを待っていては、顧客から注文が来なくなってしまいます。さらに現在は、制御システムセキュリティ対策技術だけでなく、AI技術の活用が急速に進んでいるように新たな技術を取り入れる準備も同時に取り組む必要があることも付け加えておきます。
企業内の技術者が制御システムセキュリティ対策技術を学んでから対策を始めるのでは間に合いません。今必要なことは、対策を進めながら学ぶことです。そこで、日常の仕事の中で制御システムセキュリティ対策技術を使えるようにするために、オンデマンドビデオ講座eICSを見ることで、制御システム設計や製品開発で必要な技術を確認することができ、仕事を進めることができるようにしました。
このIoT時代を越えていくために、走りながら企業内の技術者の能力を高める人材育成投資に効率良い教材として、是非検討してください。
このIoT時代を越えていくために、走りながら企業内の技術者の能力を高める人材育成投資に効率良い教材として、是非検討してください。
制御システムセキュリティ対策技術を使えるようになるオンデマンドビデオ講座eICSの情報はこちらのサイトで確認してください。
サイバーリスクアセスメントを2018年1月~3月に開催する研修で学んで、eICSを受講されると効果的です。
2018年1/31(水)開催
サイバー攻撃から制御システムを守る 制御セキュリティ対応のシステム設計研修(有料)
2018年2/27(火)開催
サイバー攻撃から制御システムを守る 制御セキュリティ対応のシステム設計研修(有料)
2018年3/23(金)開催
サイバー攻撃から制御システムを守る 制御セキュリティ対応のシステム設計研修(有料)
