インテル セキュリティで、サイバー戦略室 シニアセキュリティアドバイザーを務める佐々木弘志です。重要インフラセキュリティやIoT(Internet of Things)セキュリティを専門としています。
前回は、IoTセキュリティに関する問題提起として、IoTセキュリティを考えるときには従来の情報セキュリティの延長で片付けることができず、モノ側の事情を取り入れる必要があること、そして、情報システム(IT)側とモノ(OT)側の考え方を合わせて、IoT時代における新しい安心・安全の概念を構築していこうという取組みが始まっていることを紹介しました。今回は、これらの取組みを分かりやすく説明したあとに、IoT時代における安心・安全を構築しようとしたときの現状の課題について、もう少し深く掘り下げてみようと思います。
サイバーに頼らない安心安全対策の例
前回紹介した「NIST Framework for Cyber-Physical Systems」(英文)や「安全なIoTシステムのためのセキュリティに関する一般的枠組」では、従来の情報セキュリティの考え方と、モノ側の事情を同列に考慮して、IoTシステムの安心・安全を確保しようという共通点があります。では、モノ側の事情を考慮するとはどういうことでしょうか?一般に、モノの世界で重視されるのは「Safety」(安全性)ですが、例えば、安全対策が過度にサイバーに依存していると、サイバー攻撃によって安全が脅かされる可能性があります。この問題を考えるために、分かりやすい例を挙げてみます。
図に示したのは、今から90年ほど前に日本で最初に地下鉄が開通したときに採用された打子式(うちこしき)自動列車停止装置の仕組みです(*1)。自動列車停止装置とは、赤信号を無視して電車が信号を通過してしまったときに、運転士の操作に関わらず強制的にブレーキがかかるという安全対策です。その仕組みの動作を①~③で順に説明します。
① 赤信号の間は、打子と呼ばれるアームが線路の脇に立ち上がっている。
② 列車がこの赤信号を無視して通過しようとすると、車両下に設置されているブレーキコックが打子に当たる。
③ 列車の進行とともに、打子に当たったブレーキコックが後方に押され、物理的にブレーキ弁が開くことで、強制的にブレーキがかかる。
この方式の優れている点は、車両が安全に停止するためのブレーキ動作が物理的であり、車両側の運転士の操作や制御に関する「情報」の状態に依存しないことです。例えば、車両の制御システムがサイバー攻撃によって制御不能となったとしても、信号装置が正しく動作していれば、事故を防げるというわけです。
この方式は、現在では高密度の運行スケジュール対応のための細かい速度制御ができないなどの理由で、モノレールや専用線以外では採用されていないそうです。ここで強調したいのは、この技術を復活させようといった単純な話ではなく、今後IoT時代の到来で制御システムにおけるサイバーへの依存度合いが高まり、悪意のあるサイバー攻撃への対策を考える際に、日本がこれまで培ってきた安心・安全を維持する技術、特に、サイバーに依存しないような古い技術や考え方が再度活かせるのではないかということです。
技術の融合の前に、人が融合する必要がある
これまで私が見てきたIoTセキュリティにおける多くの議論では、まさに、この点が決定的に欠けていると感じています。では、なぜこのような議論がなかなか進まないのでしょう。それは、技術的な問題というよりは、人の問題が大きいのではないかと思います。一般的に、企業等でIoTシステムを検討する場合、IT側、もしくは、OT側のどちらか一方の部署で閉じて初期検討が行われることが多いのではないでしょうか。そして、ある程度のシステムのたたき台ができた段階で、一方の部署に共有するという手続きが取られるため、根本的な設計レベルで双方の知見が入ることが少ないのではないでしょうか。要は、ITとOTが両方分かる人材が著しく不足している、もしくは、ITとOTの部署間での必要な橋渡しができていないことが、IoTシステムの安心・安全を総合的に考える上では、最も大きな課題ではないかと考えます。つまり、ITとOTの技術の融合の前に、まず人が融合する必要があるのです。
人が融合するためには
では、人が融合するためには、どうしたら良いのでしょうか?例えば、いろいろな企業でIoTセキュリティ推進関係の部署が新設されて、ITやOTの人を交流させるといった取組みを耳にすることがあります。全ての取組みを知っているわけではないので、うまくいっているところもあるのかもしれませんが、失敗事例を耳にすることも少なくありません。この手の部署を機能させるには、いくつかのコツが必要だと考えています。例えば、私が訪問した米国の電力会社では、実際にOT側の電力システムのサイバー演習を行う際に、わざとITのチームにも役割を与えて、仮想の事故を一緒に乗り越えた体験を共有するといった取組みをしています。つまり、水と油を混ぜるには、多少のショック療法が必要で、ただ混ぜるだけでは機能しないということです。
次回は、このITとOTの人を融合させるためにはどうしたらよいかに焦点を当てて、具体例を挙げて説明したいと思います。
*1 地下鉄博物館(東京メトロ東西線 葛西駅)で、本装置の説明と、銀座線開通時の車両を見ることができます。