NTTデータは1月25日、年次カンファレンス「NTT DATA Innovation Conference 2018」を都内にて開催した。「デジタル革命」をテーマに掲げた同カンファレンスでは、今求められる情報システムの変革や最先端技術の潮流について、有識者が解説する講演が多数実施された。
それらのなかから本稿では、NTTデータ システム技術本部 セキュリティ技術部 サイバーセキュリティ統括部の松尾俊彦氏が行った講演「製造業の事例に学ぶ、IoT時代のサイバーセキュリティ」の模様をレポートする。
「IoTセキュリティ」をどう捉えるか
IoT活用への取り組みが加速するなか、そのセキュリティをどう確保していくかが企業にとって大きな課題になっている。IoT機器のセキュリティ対策は、一般的なITセキュリティ対策と大きく異なる点が多い。松尾氏は「ITの知識や技術を使って、どうIoTのセキュリティ対策を行っていくか。まずはその”肌感覚”を知ることが大事です」と切り出した。
NTTデータ システム技術本部 セキュリティ技術部 サイバーセキュリティ統括部の松尾俊彦氏 |
松尾氏が所属するシステム技術本部 セキュリティ技術部は、NTTグループ全体のセキュリティ統制と顧客向けのセキュリティコンサルティングサービスを提供する部署だ。顧客向けサービスという意味では、グループ内にはNTTデータ先端技術のセキュリティ事業部も存在するが、システム技術本部セキュリティ技術部は顧客向けとグループ社内向けの両方に対してセキュリティ機能を提供する点が特徴で、総勢約200名のセキュリティエキスパートが在籍している。
「セキュリティ対策を行う場合、『まず何をどう捉えればいいですか』という質問をいただくことがあります。NTTデータグループがサービスを提供する際に利用しているのが、サイバー攻撃対策のフレームワークです。(これを元に)脅威に応じてどんな取り組みが必要になるかを整理して、サービスを提供します」(松尾氏)
例えば、脅威については「脅威の特定」「攻撃防御」「攻撃検知」「ダメージコントロール」「改善」という攻撃フェーズに分けられる。これを横軸に、縦軸に据えた「組織体制の整備」「開発・運用・保守プロセスの標準化」「人材教育」「サービス・ソリューションの導入」と掛け合わせ、顧客に必要なサービスを提供する。例えば、「組織体制の整備」で「ダメージコントロール」なら「CSIRT構築・支援」といった具合だ。
「製造業を中心に、IoTに対応するためのセキュリティ対策設計に関する支援依頼が増えています。割合としては、行政・公共組織が31%、金融機関が23%と従来から多く占めていましたが、最近は製造業を中心に一般法人が29%を占めます。生産設備や船舶・港湾設備、航空機、自動車など、今までインターネットにつながっていなかったものがつながるようになったことで、IoTという視点でのセキュリティ対策が必要になってきました」(松尾氏)
松尾氏によると、IoTセキュリティの考え方は「悪意から情報資産を守る」というITセキュリティと、「誤操作や品質劣化によって安全性を毀損させない」というセーフティを足し合わせたものと考えることができる。つまり「悪意から情報資産も安全も守る」のがIoTセキュリティというわけだ。