株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2018年10月31日 | ラックピープル

IT/OTの融合における「人」の重要性

こんにちは。サイバー救急センターの郷 晴奈です。
私は現在、「IPA(独立行政法人情報処理推進機構) 産業サイバーセキュリティセンター」が提供している中核人材育成プログラムを受講しています。

同センターは、社会インフラ・産業基盤へのサイバーセキュリティリスクに対応する人材・組織・システム・技術を創出するため、昨年4月に発足した組織です。

また本プログラムは、社会インフラや産業基盤のサイバーセキュリティを強化することを目的とし、IT/OT技術・マネジメント・ビジネス分野を総合的に学ぶ1年間のカリキュラムとなっています。

受講者は電力・ガス・鉄道・自動車など、様々な業種から集い、自組織のサイバーセキュリティ対策の中核を担うことはもちろん、社会全体のサイバーセキュリティ向上に貢献できるよう、日々勉学に励んでいます。

今年9月、カリキュラムの一環として任意参加の海外派遣演習があり、フランス・パリへ行ってきました。
私はこの演習で、サイバーセキュリティにおける「人」の重要性に、改めて気づかされました。

ITとOTの関係性

IT(情報技術)とOT(運用・制御技術)は、環境・技術・知識全てにおいて異なる要素があり、例えば情報セキュリティの3要素「CIA」においても、ITは「C(機密性)」、OTは「A(可用性)」が最重要視されるということは、両者の比較例としてよく取り上げられます。

しかし、従来は独自OSやプロトコルが多く用いられていたOT環境において、近年では汎用OSや、TCP/IPなどの標準通信プロトコルの利用が進み、OTとITの融合が加速しています。
そのため、サイバー攻撃の脅威から、社会や組織、重要資産を保護することは、IT/OT共通の目的であると言えます。

これに伴い、私はフランスの産業界でITとOTがどのように互いの差を縮め、融合を図り、サイバーセキュリティ対策を実現しているのか、とても興味がありました。

演習では、サイバーセキュリティを支える先進的な技術開発や研究に触れ、ITの検知技術をOTに適用したシステムや、ITとOTを統合したSOC構築、Blockchainの仕組みを利用した自動車の安全なファームウェアアップデート方法など、技術的側面でも多くのことを学びましたが、それ以上に、ITとOTの融合においては「人」が重要な要素であると感じました。

Blockchainの仕組みを利用した自動車のファームウェア配信デモシステム
Blockchainの仕組みを利用した自動車のファームウェア配信デモシステム

例えば、あるガス会社にOTの検知システムを導入したプロジェクト事例が挙げられます。
講義ではこの事例をベースに、どのようなプロセスを経てITとOTの技術者が協力し、システムを導入して、防御のみの状態から検知・インシデント対応可能な体制を整備したのかという話がありました。しかしこうした技術的なことよりも、このプロジェクトにおいてとりわけ問題となったのは、ITとOTの技術者の認識や感覚の差異、そして言葉の解釈が異なったことであり、両者の足並みが揃うまで、長い時間を要したそうです。

また、講義で紹介された、OTのサイバーセキュリティ対策技術は、サイバー攻撃を未然に防ぐという視点のみではなく、今日のIT同様、「侵入されることを前提」として、いかに侵入後の被害を最小化するか、いち早く復旧するかという「レジリエンス」の強化に焦点が当てられていました。

これも、「OT環境は外部から隔離されているから安全」という意識ではなく、OTとITの融合における脅威の認識や、セキュリティ対策の重要性を「人」が意識しているからこそ、一歩先を行く技術開発・研究が行われているのだと考えさせられました。

日本に求められるOTセキュリティへの意識向上と法整備

講師や技術者の、法律・規制に対する意識の高さも興味深かった点です。
今年5月25日に施行された「GDPR(EU一般データ保護規則)」により、個人情報の取り扱いについて考慮することはもちろんのこと、フランスでは、200以上の重要インフラ事業者に対し、インシデント発生時は速やかに報告すること、定期的な監査を受けることなど、4つの義務を負わせる「CIIP(Critical Information Infrastructure Protection:重要情報インフラの防護)」が定められています。

このように、重要インフラ事業者のあるべき姿を国が率先して示していくことで、産業界に携わる人のサイバーセキュリティに対する意識が向上し、重要インフラ全体のセキュリティレベルを底上げすることにつながっていると感じました。

現在の日本において、OTのサイバーセキュリティに対する意識は高いとは言えず、法整備に関しても、セキュリティ対策は事業者の裁量に任せられているところが多く、十分であるとは言えません。

しかし、IoTの台頭や、今後ますますIT化が進むOT環境を考慮すると、日本においても、OTのセキュリティリスクに対する意識向上や、OTセキュリティのあり方を示す法整備などが求められる時が来ていると感じています。

「人」を通してサイバーセキュリティとかかわり続ける

サイバーセキュリティを支えるソリューションは数多くありますが、私はこの演習を通して、技術的側面からだけではなく、「人」の意識や考え方に焦点を当てていくことの重要さを学びました。

この学びを活かし、ITセキュリティに携わる私たちが、どのようにOTセキュリティに貢献していき、共に課題解決を図っていくことが出来るのか、引き続き、本プログラムで見出していきたいと考えています。


この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 着想を即カタチに。社内No.1"勝手にイノベーター"は誰だ?~PoCデイ開催~

  • 地理的にも心理的にも遠い中東のサイバーセキュリティ事情~中東版RSAカンファレンスに参加して~

  • IoTやモバイルのセキュリティが昨年に続き話題 ~国際セキュリティ・カンファレンス「PacSec 2017」参加報告~

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top