資料をダウンロードする () の 20
電子メールを送信する
ダウンロード
ダウンロード制限を超えました。
ユビキタス接続の世界において、信頼できる機器は安全なネットワーク環境の基軸です。しかし、スマートな産業用IoT(IIoT)デバイスを製造し導入するメーカーや業界の増加とともに、必要不可欠な業務を担うシステムのセキュリティと安全性は、重要性が増す一方、管理が困難になっています。このような複雑化は、世界的に広く受け入れられたサイバーセキュリティ標準と、コネクテッド製品の検証のために設計された適合性評価スキームが存在しないことが一因です。
現在、世界各国は、グローバルな適合性を考慮せずに、要件を策定しています。この適合性の相違により、メーカーが製品を世界中で製造および販売する場合は特に、開発製品を適合させる標準を決定することが困難になります。そのため、IIoTエコシステムで期待されるセキュリティとベストプラクティスを体系化するために、業界のパートナーや標準化団体が積極的に対策を講じる必要があると考えています。これにより、セキュリティが製品に一貫して組み込まれ、最終的にはシステム設計やサイバー攻撃からの復旧にかかるコストを数十億ドル削減できます。
従来のシステムやソリューションにIIoTデバイスが統合されるようになったことで、重要なインフラストラクチャやその他の産業用制御システムネットワークは、対処がますます困難になっているサイバー攻撃にさらされる機会が増えました。現在、サイバーセキュリティ犯罪による総合的な損失は、世界のGDPの0.8%にあたる6,000億ドル1と推定されています。近年発生した複数のインシデントでは、世界的に注目されている一連の深刻なセキュリティ侵害が明らかになりました。例えば、2015年にウクライナの電力網をクラッシュさせたマルウェア「Industroyer」や「Crash Override」、2016年の大規模なMiraiボットネット攻撃などがありました。これらは、IoTセキュリティカメラとルーターを侵害して、複数の分散型サービス妨害攻撃を仕掛けました。
IIoTテクノロジーに固有の特徴は、技術的、経済的な課題をもたらしています。技術的な観点から見ると、IIoTデバイスの計算能力とストレージ能力は限られており、高度な暗号化や、脆弱性およびパッチ管理などの効果的なセキュリティ対策をサポートできるようには設計されていません。この課題を解決するためには、IIoT製品をよりタイムリーにアップグレードし、無線でのファームウェアアップグレードをサポートするシステムを設計するための軽量な暗号化アルゴリズムとビジネスモデルの開発が必要です。私の私見ですが、ネットワークやシステムのセキュリティは、最も脆弱なリンクと同程度の強度しか持ち合わせていません。組織は、基本的なサイバーセキュリティ対策を行い、新たな脅威を継続的に分析して、システムを安全に展開する必要があります。さらに、企業はネットワークに接続されたすべてのインベントリを取得し、ゼロトラストモデルを採用する必要があります。これには、脅威の特定を行う信頼できるベンダーとのパートナーシップとコラボレーションが必要になります。
私が述べる解決策は実現可能ですが、IIoTセキュリティのための統一されたグローバルな製品規格がないため、このようなオプションの採用と導入は大幅に遅れています。世界中のさまざまな組織から提供されているサイバーセキュリティの標準、ガイドライン、規制が統一されていないため、IIoTシステムレベルで共通のサイバーセキュリティ要件をメーカー間で統一することは困難ですが、不可能ではありません。多くの国、地域、地方自治体が、IIoTデバイスと重要なインフラストラクチャのサイバーセキュリティのベストプラクティスと標準を独自に開発しているため、それらは統一性に欠けています。多くの場合、これらの政府機関は、IIoTデバイスとそのアプリケーションの複雑さを考慮するために必要な専門知識を備えていません。
また、各政府がIIoT技術をさまざまな方法、時には相反する方法で規制し始めていることから、サイバーセキュリティの標準と要件は地域や国によって大きく細分化されています。 そのため、グローバル市場向けのサービスの構築と導入を試みるメーカーやシステムインテグレータにとって課題が生じます。
業界および標準化団体は、適切な適合性評価スキームをサポートして、製品およびシステムのグローバル要件を検証し、さまざまな国や地域の複数の要件に適合させるという複雑さを解消する必要があります。
私は、適切な適合性評価スキームを含め、国際的なIIoTサイバーセキュリティ標準の策定において、標準化団体が責任を持つことができると強く感じています。グローバル標準は、企業と学術のパートナーシップの道を開くことにもなります。これらの関係は、サイバーセキュリティ、特にIIoTにおける熟練労働力不足への対処に必要な人材パイプラインの強化に役立ちます。
私は、適切な適合性評価スキームを含め、国際的なIIoTサイバーセキュリティ標準の策定において、標準化団体が責任を持つことができると強く感じています。
私たちの前に立ちはだかる課題は、安全でない製品やソリューションに関連するリスクについて、IIoTのメーカー、サプライヤ、および消費者を教育することにより、標準化団体間でより多くの対話を生み出すことです。標準化団体はサイバーセキュリティに関する対話を導く役割を果たすことができると思いますが、サイバーセキュリティは共同作業であり、特にテクノロジーの進歩への対応に時間がかかる業界では協力に時間がかかります。
業界がサイバーセキュリティの推進を徐々に開始する中、システムやネットワークにおけるサイバーセキュリティリスクを軽減するために、企業経営者や施設管理者が現在取ることができる対策があります。
サイバーセキュリティを製品の設計と開発に組み込む
セキュリティは継続的な道のりです。製品の複雑さ、脅威のシナリオ、テクノロジーはそれぞれ進化するため、脅威モデリングから要件分析、検証、継続的なメンテナンスまで、製品開発ライフサイクルのすべてのフェーズにプロトコルを導入することが重要です。これらの手順は、組織が新たな脅威とその防御方法を特定し、お客様が効率性、信頼性、安全性を最大限に高めるのに役立ちます。イートンのSecure Development Life Cycle(SDLC)プロセスは、 製品開発のあらゆる段階でセキュリティが組み込まれたモデルの優れた例です。
ネットワークに基本的なサイバーセキュリティ対策を適用
基本的なサイバーセキュリティ対策により、アセットのインベントリを最新の状態に維持し、ネットワークに接続されているアセットを把握できます。これは、物理アセットとデータアセットが対象で、脆弱性の発見時にパッチを適用すること、強力なアクセス制御ポリシーを確実にし、ログとシステムで異常な動作を継続的に監視することが含まれます。組織は、各セキュリティパッチで実行されるリスクレベルの評価に基づいて、一連のサイバーセキュリティアップデートをスケジューリングする必要もあります。
知識の豊富な第三者組織との協力
製品開発の各段階で厳格な手順を策定することで、ネットワークに接続された製品およびシステムのサイバーセキュリティについて、測定可能な基準を定めることができます。信頼できる第三者とのパートナーシップにより、組織はサイバーセキュリティのベストプラクティスを強化できます。これらの組織は、国際社会で広く受け入れられているガイドラインを策定することが多いからです。当社とULの協業は、 有効な業務モデルとなっています。現在イートンは、インテリジェンスまたは組み込みロジックを備えた製品を、UL 2900-1およびIEC 62443規格の主要な側面からテストしています。これらの規格では、脆弱性、ソフトウェアの弱点、マルウェアの必須テストプロトコルが必要です。
メーカーは、各社で異なるセキュリティ標準で運用する余裕はなくなりました。サイバー犯罪者とそのテクノロジーは進化を続けており、さまざまな標準には最新の脅威に対抗するために必要な統一性が欠けています。
今こそ、さまざまな業界のサイバーセキュリティに対するグローバルな適合性評価を推進するときです。世界中の業界や標準化団体は、今日のサイバーセキュリティの課題に対処し、変化するテクノロジーに遅れることなく対応するために必要な対話を加速する必要があります。
参照
1、2 - Lau, Lynette(2018年2月)。サイバー犯罪の「パンデミック」による昨年の世界の被害額は6,000億ドルにのぼる可能性があります。 出典:https://www.csis.org/analysis/economic-impact-cybercrime
