東京オリンピックパラリンピック競技大会を来年に控えた年が始まりました。
TPP(Trans-Pacific Partnership Agreement)が2018年12月30日に発効されて、2019年2月1日に日EU経済連携協定EPA(Agreement between the European Union and Japan for an Economic Partnership)が発効された。その先に東アジア地域包括的経済連携RCEP(Regional Comprehensive Economic Partnership)もあり、自由貿易の経済連携が進んでいきます。その中で、サプライチェーンの企業連携は今まで以上に強くなっていくでしょう。
その一方、米中露の大国保護主義やハイテク戦争などで、サイバー攻撃の技術が高まるだけでなく、サイバー攻撃をビジネスにしている犯罪組織も40を越え、アウトローは数え切れません。
インターネット環境で飛び込んでくるマルウェアの数に対し、アンチウイルスソフトでの検知率は既に10%前後となっており、情報セキュリティ技術だけでは防ぐことが難しい状況にあります。また今後の展開として、海外では当たり前に起きているサイバー攻撃被害による損害賠償請求訴訟が日本でも増えていきます。よって、事故での破損、人身事故や火災及び爆発事故となった場合の保険の損害賠償要因条件として、自然災害と同じようにサイバー攻撃被害も扱うようになってきます。そうなると、どのような対策を実施していたかが問われるようになります。
また、サイバー攻撃の被害を最小限にするシステムネットワークのゾーニング技術や境界を強化する多層防御を当たり前にし、短時間復旧対策をすることが経済産業省のサイバーセキュリティ経営ガイドラインの指示項目にも挙げられています。
重要インフラや製造業などでは、制御システムセキュリティ対策を求められます。そこで使われる制御装置や機械、ロボット、航空機、船舶、列車、自動車などには制御セキュリティや安全セキュリティ対策が必要となっています。
対策を取っていく上での予備知識として、サイバー攻撃を仕掛ける側の三つのパターンを押さえておきましょう。一つ目は軍事利用です。軍事面では、イラク戦争やウクライナ紛争であったように、敵のレーダー基地や重要インフラをサイバー攻撃して、通信・放送・エネルギー・燃料・交通機関などを停めることで有利な立場で攻めることができます。二つ目に犯罪での利用です。犯罪面では、企業機密情報の搾取及び売却、お金をもらって高度なサイバー攻撃を仕掛けたりすることでの資金稼ぎ、また犯罪がばれないように隠蔽・改ざんしたりといったことです。三つ目にサイバー攻撃のための高度なマルウェア開発及び販売です。開発された高度なマルウェアは、犯罪組織や軍事産業に販売されます。
このような状況下にあって、情報システム部門だけの対応でサイバー攻撃から企業全体を守れるのでしょうか?
事業所や工場のネットワークに沢山のインシデント監視IDSやIPS/FW/セキュアルータを入れるだけで満足していてよいのでしょうか?
今、日本企業には何が必要なのでしょうか?
制御システムセキュリティ対策ができる人材、制御セキュリティや安全セキュリティ対策ができる人材が社内にいるでしょうか?
「いません。」
では、それら人材は海外にいるでしょうか?
「いません。」
セキュリティベンダにいますでしょうか?
「制御システムセキュリティ対策を解っている人はいるにはいますが、制御セキュリティや安全セキュリティが解る人材はいません。」
では、どうしますか?
ここでの一番の方法は、短期間で人材を「企業内に育てる」ことです。
それをお手伝いするのがICS研究所のオンデマンドビデオ講座eICSであり、人材育成コンサルティングです。
TPP(Trans-Pacific Partnership Agreement)が2018年12月30日に発効されて、2019年2月1日に日EU経済連携協定EPA(Agreement between the European Union and Japan for an Economic Partnership)が発効された。その先に東アジア地域包括的経済連携RCEP(Regional Comprehensive Economic Partnership)もあり、自由貿易の経済連携が進んでいきます。その中で、サプライチェーンの企業連携は今まで以上に強くなっていくでしょう。
その一方、米中露の大国保護主義やハイテク戦争などで、サイバー攻撃の技術が高まるだけでなく、サイバー攻撃をビジネスにしている犯罪組織も40を越え、アウトローは数え切れません。
インターネット環境で飛び込んでくるマルウェアの数に対し、アンチウイルスソフトでの検知率は既に10%前後となっており、情報セキュリティ技術だけでは防ぐことが難しい状況にあります。また今後の展開として、海外では当たり前に起きているサイバー攻撃被害による損害賠償請求訴訟が日本でも増えていきます。よって、事故での破損、人身事故や火災及び爆発事故となった場合の保険の損害賠償要因条件として、自然災害と同じようにサイバー攻撃被害も扱うようになってきます。そうなると、どのような対策を実施していたかが問われるようになります。
また、サイバー攻撃の被害を最小限にするシステムネットワークのゾーニング技術や境界を強化する多層防御を当たり前にし、短時間復旧対策をすることが経済産業省のサイバーセキュリティ経営ガイドラインの指示項目にも挙げられています。
重要インフラや製造業などでは、制御システムセキュリティ対策を求められます。そこで使われる制御装置や機械、ロボット、航空機、船舶、列車、自動車などには制御セキュリティや安全セキュリティ対策が必要となっています。
対策を取っていく上での予備知識として、サイバー攻撃を仕掛ける側の三つのパターンを押さえておきましょう。一つ目は軍事利用です。軍事面では、イラク戦争やウクライナ紛争であったように、敵のレーダー基地や重要インフラをサイバー攻撃して、通信・放送・エネルギー・燃料・交通機関などを停めることで有利な立場で攻めることができます。二つ目に犯罪での利用です。犯罪面では、企業機密情報の搾取及び売却、お金をもらって高度なサイバー攻撃を仕掛けたりすることでの資金稼ぎ、また犯罪がばれないように隠蔽・改ざんしたりといったことです。三つ目にサイバー攻撃のための高度なマルウェア開発及び販売です。開発された高度なマルウェアは、犯罪組織や軍事産業に販売されます。
このような状況下にあって、情報システム部門だけの対応でサイバー攻撃から企業全体を守れるのでしょうか?
事業所や工場のネットワークに沢山のインシデント監視IDSやIPS/FW/セキュアルータを入れるだけで満足していてよいのでしょうか?
今、日本企業には何が必要なのでしょうか?
制御システムセキュリティ対策ができる人材、制御セキュリティや安全セキュリティ対策ができる人材が社内にいるでしょうか?
「いません。」
では、それら人材は海外にいるでしょうか?
「いません。」
セキュリティベンダにいますでしょうか?
「制御システムセキュリティ対策を解っている人はいるにはいますが、制御セキュリティや安全セキュリティが解る人材はいません。」
では、どうしますか?
ここでの一番の方法は、短期間で人材を「企業内に育てる」ことです。
それをお手伝いするのがICS研究所のオンデマンドビデオ講座eICSであり、人材育成コンサルティングです。
◎日本でも損害賠償請求訴訟が当たり前の時代になる
企業連携を重要視したサプライチェーンを組んでいて、企業責任を果たしている場合はWin Winの関係を作ることができますが、その企業責任が果たせない場合は、他社へ切替られるという二社購買/四社購買という方法を取られます。できなかったら切り替えるという事業戦略です。サプライチェーンの構成企業参画基準にサイバーセキュリティ対策が入ってくることになります。
「わが社しかできない技術/製品を出せばそんなことは無い。」と言われる企業があります。それは一理あります。ところが情報セキュリティ対策ができていなければ企業機密情報は搾取され、制御システムセキュリティ対策ができていなければ生産技術情報は搾取され、結果的に同じ仕様の製品が市場に出回り、競争力を失うことにつながります。特許ライセンスがあるから知財戦略で勝てると考えていても、知財や特許ライセンスを守る国だけでサプライチェーンができていれば良いのですが、現実には性能が良い模倣品が出回り、価格競争に追い込まれてしまいます。供給する製品の制御セキュリティ/安全セキュリティ対策ができていなければ、サイバー攻撃によってサイバーインシデント検知もできないし、機能安全や機械安全を守ることもできない。よって、「工場や航空機、船舶、列車、自動車、建設機械などの安全は確保されない。」ということで、競争力どころか購買検討対象製品リストにも入れてもらえなくなる。市場から外されていくという企業存続問題に発展するリスクが出てきます。
反日教育を国として行っている国でのサプライチェーンでは尚のこと、納品した製品の模倣品に市場を奪われ、納品した製品のサイバーセキュリティ対策が不充分で損害賠償請求訴訟をその国で起こされたために、その国での企業利益を失っていく。そんな経営戦略/事業戦略上の懸念があると思います。
「サイバーセキュリティ対策投資は持ち出しだから、できれば避けていきたい。」という企業がこれまでは多かったのではないでしょうか? 保護貿易であろうが自由貿易であろうが、サプライチェーン参画が当たり前の時代に入ってくると、その国の法律や施策を遵守し、企業責任と企業利益を守るために、今やサイバーセキュリティ対策(情報セキュリティ/制御システムセキュリティ/制御セキュリティ/安全セキュリティ)に投資するのが当たり前の時代となります。この先の市場参画で顧客企業からサプライチェーン参画を要望され、信頼される企業に育っていただきたいと存じます。それら企業責任を果たし、顧客にも信頼される技術/製品を提供することで、「ものづくり力」を示していけると思います。
「わが社しかできない技術/製品を出せばそんなことは無い。」と言われる企業があります。それは一理あります。ところが情報セキュリティ対策ができていなければ企業機密情報は搾取され、制御システムセキュリティ対策ができていなければ生産技術情報は搾取され、結果的に同じ仕様の製品が市場に出回り、競争力を失うことにつながります。特許ライセンスがあるから知財戦略で勝てると考えていても、知財や特許ライセンスを守る国だけでサプライチェーンができていれば良いのですが、現実には性能が良い模倣品が出回り、価格競争に追い込まれてしまいます。供給する製品の制御セキュリティ/安全セキュリティ対策ができていなければ、サイバー攻撃によってサイバーインシデント検知もできないし、機能安全や機械安全を守ることもできない。よって、「工場や航空機、船舶、列車、自動車、建設機械などの安全は確保されない。」ということで、競争力どころか購買検討対象製品リストにも入れてもらえなくなる。市場から外されていくという企業存続問題に発展するリスクが出てきます。
反日教育を国として行っている国でのサプライチェーンでは尚のこと、納品した製品の模倣品に市場を奪われ、納品した製品のサイバーセキュリティ対策が不充分で損害賠償請求訴訟をその国で起こされたために、その国での企業利益を失っていく。そんな経営戦略/事業戦略上の懸念があると思います。
「サイバーセキュリティ対策投資は持ち出しだから、できれば避けていきたい。」という企業がこれまでは多かったのではないでしょうか? 保護貿易であろうが自由貿易であろうが、サプライチェーン参画が当たり前の時代に入ってくると、その国の法律や施策を遵守し、企業責任と企業利益を守るために、今やサイバーセキュリティ対策(情報セキュリティ/制御システムセキュリティ/制御セキュリティ/安全セキュリティ)に投資するのが当たり前の時代となります。この先の市場参画で顧客企業からサプライチェーン参画を要望され、信頼される企業に育っていただきたいと存じます。それら企業責任を果たし、顧客にも信頼される技術/製品を提供することで、「ものづくり力」を示していけると思います。
◎脆弱性情報から知る制御ベンダの製品開発の実状
脆弱性情報のCWE識別子が示す内容で、メーカーにおける製品開発のセキュリティ対策環境やセキュアコーディングチェック及び静的解析/動的解析の対策におけるマネージメントシステムが機能しているかどうかの程度が解ります。
特に、・・・
【続きはeICS受講者のみログイン後、閲覧可。】
・具体的に脆弱性情報のCWE識別子 11個を例に挙げて、施すべき制御セキュリティ管理を解説。
今後、制御装置や機械のインシデント検知機能や性能やログ機能が要求され、サイバー攻撃被害と脆弱性の因果関係を明らかにすることが求められます。つまり、損害賠償の請求先の境界を明確にすることが当たり前の時代となっていきます。また、保険契約の条件どうするか検討している保険会社も多くなっていると思います。制御システムセキュリティ/制御セキュリティ/安全セキュリティ対策のマネージメントシステムが機能しているかどうかで、企業責任を果たしているかが決まっていきます。実際の製品構造やアーキテクチャーやファームウェアを理解せずにマネージメントシステムの構築は出来ません。これまでに製品開発や設計をしてきた人材であっても、サイバーセキュリティ対策のマネージメントシステムまで構築できる人材はなかなかいません。製品開発環境やプロセスを理解し、マネージメントシステムを理解し、制御セキュリティ/安全セキュリティ対策を理解し、検証ツール仕様及び認証基準と検証システム仕様を理解したコンサルティングが必要とされています。そういう人材は今世界的に不足しています(数十人程度しかいない)。
この分野のSSA認証/EDSA認証の認証ツールで何を検証しているかを知り、IEC62443国際標準規格の内容を知り、制御製品DCS/PLC/各種コントローラ製品のアーキテクチャーを知り、製品開発の経験を持ち、製造システムから制御装置の制御システム設計経験を持ち、NIST SP800-82、-53、-171、Cybersecurity Frameworkを使った管理方法を知り、それぞれの制御システムセキュリティ対策改善の経験を持ち、サイバーインシデント事故から回復作業までを経験している人材となると、ISA Secure認証の公益財団法人日本適合性認定協会JABで技術研究組合制御システムセキュリティセンターCSSCの認証ラボセンターを審査する技術専門家を兼任しておりますICS研究所の村上正志になります。
ICS研究所のコンサルティング対応は、何年間も企業の一部の機能を担うという継続的な受注コンサルティングではなく、企業のコアとなる組織の立ち上げをお手伝いし、その組織人材が情報セキュリティから制御システムセキュリティ対策を実施できるように手助けし、企業内のマネージメントシステムが機能するように育てる人材育成コンサルティングです。ですから、コンサルティング期間も数か月間から半年間という短い期間契約となります。コンサルティング契約するにあたり、口座開設や手形支払いが必要となる場合は、ICS研究所指定の商社を間に入れての契約となります。もちろん、その組織人材には知見の底上げとしてオンデマンドビデオ講座eICSを受講していただくことが条件となります。
特に、・・・
【続きはeICS受講者のみログイン後、閲覧可。】
・具体的に脆弱性情報のCWE識別子 11個を例に挙げて、施すべき制御セキュリティ管理を解説。
今後、制御装置や機械のインシデント検知機能や性能やログ機能が要求され、サイバー攻撃被害と脆弱性の因果関係を明らかにすることが求められます。つまり、損害賠償の請求先の境界を明確にすることが当たり前の時代となっていきます。また、保険契約の条件どうするか検討している保険会社も多くなっていると思います。制御システムセキュリティ/制御セキュリティ/安全セキュリティ対策のマネージメントシステムが機能しているかどうかで、企業責任を果たしているかが決まっていきます。実際の製品構造やアーキテクチャーやファームウェアを理解せずにマネージメントシステムの構築は出来ません。これまでに製品開発や設計をしてきた人材であっても、サイバーセキュリティ対策のマネージメントシステムまで構築できる人材はなかなかいません。製品開発環境やプロセスを理解し、マネージメントシステムを理解し、制御セキュリティ/安全セキュリティ対策を理解し、検証ツール仕様及び認証基準と検証システム仕様を理解したコンサルティングが必要とされています。そういう人材は今世界的に不足しています(数十人程度しかいない)。
この分野のSSA認証/EDSA認証の認証ツールで何を検証しているかを知り、IEC62443国際標準規格の内容を知り、制御製品DCS/PLC/各種コントローラ製品のアーキテクチャーを知り、製品開発の経験を持ち、製造システムから制御装置の制御システム設計経験を持ち、NIST SP800-82、-53、-171、Cybersecurity Frameworkを使った管理方法を知り、それぞれの制御システムセキュリティ対策改善の経験を持ち、サイバーインシデント事故から回復作業までを経験している人材となると、ISA Secure認証の公益財団法人日本適合性認定協会JABで技術研究組合制御システムセキュリティセンターCSSCの認証ラボセンターを審査する技術専門家を兼任しておりますICS研究所の村上正志になります。
ICS研究所のコンサルティング対応は、何年間も企業の一部の機能を担うという継続的な受注コンサルティングではなく、企業のコアとなる組織の立ち上げをお手伝いし、その組織人材が情報セキュリティから制御システムセキュリティ対策を実施できるように手助けし、企業内のマネージメントシステムが機能するように育てる人材育成コンサルティングです。ですから、コンサルティング期間も数か月間から半年間という短い期間契約となります。コンサルティング契約するにあたり、口座開設や手形支払いが必要となる場合は、ICS研究所指定の商社を間に入れての契約となります。もちろん、その組織人材には知見の底上げとしてオンデマンドビデオ講座eICSを受講していただくことが条件となります。
