社内NWのIoTデバイスを完全に把握できていない企業が7割超、「可視化が最も重要」と指摘
IoT活用する国内企業の半数が攻撃被害を経験、パロアルト調査
2020年11月05日 07時00分更新
まずはあらゆる接続デバイスを把握する「可視化」から
IoT/OTデバイス活用企業において、IoT/OTセキュリティに何らかの課題を感じる企業は78.5%に上った。PCやサーバーとは異なり「デバイスの数や種類が多い」ことに加えて、デバイスそのものにセキュリティ対策ソフトなどを導入できないこと、パッチ管理が難しいことなども課題に挙がっている。これらを背景として染谷氏は、まずはネットワーク接続されるあらゆるデバイスを把握する「可視性」の確保が重要だと強調する。
「IT部門や製造部門が企業として導入/管理しているデバイスはもちろんだが、従業員がBYODで持ち込むような、たとえばウェアラブルデバイスなどもネットワークに接続してくる。こうした企業として認識、管理していないデバイスも含めて、接続されるデバイスへの可視性をどう高めていくのか。ここがセキュリティの観点から非常に重要だと、われわれは考えている」(染谷氏)
社内ネットワークに接続されたIoT/OTデバイスを完全に把握できていない企業が7割超というのが現状
IoT/OTセキュリティの取り組みとして企業が検討すべき5項目として、染谷氏はデバイスの可視化のほか、ネットワークのセグメント化によるアタックサーフェスの削減、継続的なデバイスのリアルタイム挙動監視、製品ライフサイクルをふまえたメーカー側の脆弱性対応方針や頻度、PSIRT(製品セキュリティインシデント対応チーム)など体制の確認、パスワード運用の強化を挙げた。
また、パロアルトが提案する「IoTセキュリティライフサイクル」も紹介した。まずはすべてのデバイスを可視化してIoT資産を把握したのちに、デバイスの属性や挙動に応じてリスクを評価する。そのリスクレベルに基づくセキュリティポリシーをリアルタイムに適用し、マルウェアなど既知の脅威を阻止すると同時に、リアルタイムのマルウェア解析や脅威インテリジェンス参照、ふるまい分析などによる未知の脅威への対応も行う。「この5ステップを回せるセキュリティ対策が理想的だと考えている」(染谷氏)。
なお、パロアルトでは今年「IoTセキュリティ サブスクリプション」を提供開始している。同社の次世代ファイアウォール(物理/仮想アプライアンス)やSASEの「Prisma Access」でこのサブスクリプション(オプション)を有効化することにより、機械学習によるデバイスの識別/分類からリスク分析、ポリシーの自動適用、攻撃の検知と防御の機能が利用できると説明した。
5つステップとパロアルト「IoTセキュリティ」による対応機能
急速なデジタル化推進で「セキュリティが未成熟なままIoT導入が進む」現場の問題
ゲスト出席したアクセンチュアの藤井大翼氏は、企業顧客における実態や同社インシデントレスポンスチームにおける対応事例などをふまえながら、IoT/OT活用の課題と対応について説明した。
アクセンチュア テクノロジーコンサルティング本部 セキュリティグループ シニアマネジャーの藤井大翼氏。顧客企業現場における課題を3つ指摘
藤井氏はまず、国内製造業の工場やプラントから非製造業の現場まで、IoT活用が非常に進んできていることは間違いないと述べる。それに加え、とくに海外拠点を持つ企業ではコロナ禍を通じてロックダウンを経験したこともあり、OT領域でもデジタルソリューション、たとえばロボットやリモートワーク/リモートアクセスの活用を検討/推進する動きも強まっているという。
だが、こうしてIoT導入を急速に進めるあまり「セキュリティが未成熟なまま導入が進んでしまう」ケースもあり、新たなセキュリティ課題が発生してしまうと藤井氏は指摘する。たとえば、導入したIoTデバイスが攻撃の踏み台となってしまう、把握できていないデバイスが増加してしまう、IoT/OTに対するセキュリティポリシー整備や監視/監査、リスク分析などが未実施で導入プロジェクトが頓挫してしまう、といった課題だ。
「IoT/OT導入を想定したルールやガバナンスが整っていないという課題は非常に多い。これがデジタル化推進の足かせにもなっている。事前の検証(POC)は非常にうまく行ったが、導入段階になると、経営層や管理部門などから『セキュリティは大丈夫か、どう確認しているのか』と問われる。POC段階ではあまり監査しておらず、ルールも整備できていないため、手戻りが発生したり、プロジェクトが頓挫したりするケースが見られる」(藤井氏)
藤井氏は、企業に求められる対応として「可視化をすることに尽きる」と語った。「可視化をしやすい(ネットワーク)構成、何か問題が発生したときに対応しやすい構成といったところがポイント」(藤井氏)。グローバルではすでに多くの企業でこうした検討が進んでおり、日本でも検討が今後進んでくるだろうと語った。
「組織については、ITの部門がどうだとか、OT部門がどうだとか、いろんな事業部がどうだとか、もはやそういうことを言っている場合ではない。デジタル化の推進に伴って“横串”の組織を作る企業も増えると思うが、そこにセキュリティ(の担当者)も入って、会社一丸となってしっかりと取り組んでいくことが必要だと考える」(藤井氏)
まずは徹底した「可視化」と「セグメンテーション」が重要だと説明
