右から富士通 サイバーセキュリティ事業戦略本部 エバンジェリストの太田大州氏、同ネットワークサービス事業本部 IoTビジネス推進室 商品企画部長の寺崎泰範氏

昨今、市場が拡大傾向にあるIoT。多種多様な企業が、自社の価値向上につなげるべく活用しているが、利便性を追求するあまり、セキュリティがおろそかになっている可能性も否めない。実際、マルウェア「Mirai」なども登場しており、今後IoTを活用していくためにもセキュリティ対策は、もはや喫緊の課題になりつつある。

「近年、デジタル技術の第3の波としてIoTが増加していることに加え、第4の波としてIoTで集めたデータを使用し、AIとロボティクスの活用領域も増加している。これらの技術を活用する場合、データの信憑性、可用性の面でシステムが停止することを避けなければならない」と、語るのは富士通 グローバルサイバーセキュリティ部門 サイバーセキュリティ事業戦略本部 エバンジェリストの太田大州氏だ。

今後、求められる企業・組織としての価値

太田氏は「われわれはクラウドやモバイル、IoT、AIなどを活用し、企業のデジタルトランスフォーメーションを支援しているが、セキュリティと一体となったものを提供しなければならないため、セキュリティはセキュリティで別に考えるという話ではない。セキュリティ自体は概念が広く、われわれの事業はスマートフォンからPC、サーバ、スーパーコンピュータ、ソフトの領域と多岐にわたるため、全方位で取り組む必要がある」と力を込める。

この傾向は15年前から同じであり、同社ではセキュリティの課題は解決されていないと認識しており、新しい考え方としては「事故前提の対策」により、リスク低減を図ることに取り組んでいる。これまでのセキュリティは情報保証(IA)のみだったが、これからのセキュリティは可用性や完全性まで範囲を広げていくことが望まれているという。

これからは事故前提の対策が必要だという

太田氏は「今後、企業ではIoTにより、ビジネスを拡大していくためにセキュリティのトラブルによる事業の停止を避けなければならず、迅速な復旧など事故前提型の考え方を採用しなければならない。IPAの『情報セキュリティ10大脅威 2017』によるとIoT機器の脆弱性の顕在化が8位となり、初めてIoT機器への脅威がランクインした。これから先IoTもIPv6が主流となった際、個々のデバイスやIPアドレスが任意で決まると攻撃者からすれば、攻撃がしやすい環境となってしまう」と警鐘を鳴らす。

また、同氏は「サイバー攻撃が及ぼす経営リスクは情報漏えいだけでなく、知的財産、営業秘密情報、業務停止、そして最も懸念しているのはIoTの普及により、新しい社会のイノベーション(ex.自動運転)に対して警告を発するブラックハットからの攻撃などは、ベンダーからすると脅威になる」という。

サイバー攻撃がおよぼす経営リスク

これは、IoTが個人のものであると同時に社会を形成していることから、企業側からすれば自社のサプライチェーンをどのように守るのか、という観点が重要だとしている。現在、米国では政府調達に関するサプライチェーンについては米国国立標準技術研究所(NIST)が発行するSP 800-53の認証を要求しており、同社は日本のサプライチェーンの方向性については非常に重要だと認識している。

そのような状況を踏まえ、企業のシステムをダウンさせないために、さまざまな事前準備を施し、危機管理能力を向上させて、いかに早く復旧させるかということが今後の企業・組織の1つの価値になるという。

「Security by Design」と「Optimality by Design」のバランス

太田氏は企業・組織としてサイバー攻撃を発生させないことが必然としてあり、システムの中で何が起きているのかを可視化しなければならないが、これまでは可視化の準備をしていなかったと言及している。また、多少のログが存在していても1週間も経過すれば消失してしまうため、6~7カ月など長期間のサイバー攻撃を受けると攻撃の痕跡を探し出すことは、難しい側面があるとも語る。

同氏は「潜在的に存在するリスクを調査していく中からインシデントを導き出すとともに対応していく能力は、新しい能力として企業・組織が備えていかなければならないため、意思決定を可能とするCSIRTなど自社でリスクマネジメントができる組織を持たなければならない」と話す。

「そこで、われわれが注力しているのがエッジ&センサやモビリティ、クラウド、AI/ビッグデータなどICTの活用による価値創造を目指す『Security by Design』、サイバー攻撃、情報漏えい、不正アクセスといったセキュリティと事業継続を担保する『Optimality by Design』だ」と、同社が提唱する新しいサイバー攻撃に対する考え方について同氏は説明した。

「Security by Design」と「Optimality by Design」の概要

これからIoTが普及していく状況下においてサイバー攻撃は、同社がチャレンジする技術領域であると同時に「守りのセキュリティ」から「攻めのセキュリティ」への転換が必要になり、事故前提型の対策が求められている。