2018年2月8日（木） 

IoT時代、サイバー空間の脅威からものづくり日本をどう守る？

 日本スマートフォンセキュリティ協会（JSSEC）
 利用部会　部会長　後藤　悦夫（株式会社ラック）

 
　大きな工場の操業が停止する事態が全国的に発生している。工場の中で異常な通信が大量に発生しているためだという。原因はまだ特定されず、やむなく工場の全工程をいったん停止したとのことだ――。
 
　これは架空の話である。しかし、将来にわたって「単なる架空の話」で終わらせるには多くの人の努力が必要となる。
 
　2020年の東京オリンピック・パラリンピックとともにやって来るIoT時代には、利便性の裏に潜むリスクへの対応、つまりサイバーセキュリティ対策が重要となる。しかし、リスクに対する認識は依然低く、社会全体で広く共有できていないのが現状だ。さらに各企業では、セキュリティ対策の推進体制をどうするかなど、多くの課題が山積している。サイバー空間の脅威からものづくり日本の将来をどう守るか、工場へのIoT導入を例に考えたい。
 
■工場にIoTを導入するときには
　工場の生産設備などには、多くのコンピュータやマイコンチップがすでに使われている。これらは「組込系」と呼ばれ、外部と通信しない前提で開発されている。そのため、外部からの攻撃などは想定されていないことが多いと言われている。
 
　そうした組み込み系にも今後、IoTが導入され、「つながる工程」となるが、そもそもつながることを前提としない組込機器をネットワークにつなげるとどうなるのか、セキュリティ上の影響の有無を確認する必要がある。IoT機器導入時にセキュリティ面での考慮を疎かにした場合、何者かに組込系機器が乗っ取られ、工場全体のネットワークに攻撃を仕掛けてくる恐れがあるからである。
 
■企業のセキュリティ推進体制の課題
　工場部門では、設備機器（ハード）の保全には十分な意識が払われているが、組込システム（ソフト）の保全に関しては設備メーカーの問題だと考え、関心も薄い。
 
　一方、企業の情報セキュリティ対策を長年推進してきた情報部門や総務部門では、情報資産を守る取り組みが中心で、工場の設備の一部である組込系や組込システムは対策の対象とはみなしてこなかった。これは情報部門、総務部門とも組込系などについての知見がなかったことなどが理由だ。
 
　部門間の壁にはばまれ、全社的な取り組みが難しかった企業のサイバーセキュリティ対策だが、IoT導入は部門間の“溝”を埋める絶好のチャンスとなる。早急に推進体制を整備し、部門間の歩み寄りを図ることが重要だ。
 
■歩み寄りを加速するための第一歩は
　2020年まであと2年を切った。IoTのセキュリティ対策は情報セキュリティと異なり、後追いでは収拾のつかない事態となる。しかし企業合併の例を挙げるまでもなく、別々の組織文化を歩んできた人が短期間で意識を合わせるのは並大抵のことではない。協調して実効性のあるセキュリティ対策を進めるには、一方の考えを押し付けることなく、多くの時間をかけて相互理解を図る努力が必要となる。
 
　IoTの導入を検討する多くの企業が今後、工場と情報・総務の両部門との歩み寄り方策を模索することになるだろう。まずは何を議論するのかを決めるところから始めたい。その際、どのようなことを検討すべきか、網羅されたものがあれば歩み寄りを加速することが出来る。
 
■JSSECの取り組み
　以上のような問題意識から、JSSEC利用部会ではチェックシート「IoTを企業へ導入する時に検討すべき事項」を作成し、3月9日の「JSSECセキュリティフォーラム2018」にて公表した後、ホームページで公開する予定にしています。こうしたものも活用していただきながら、社会全体で、検証（POC）フェーズなど導入の早い段階からセキュリティ対策の議論が進むことを願っています。
 
　※JSSECホームページ：https://www.jssec.org/
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。