経済産業省奥家氏が語る「Society 5.0」時代のセキュリティリスクと対策の今【前編】

2016年、日本が目指すべき未来社会の姿として「Society 5.0」が打ち出されました。「サイバー空間（仮想空間）とフィジカル空間（現実空間）を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会」であるSociety 5.0を実現させるためには、多様化・巧妙化するサイバー攻撃に対し、適切かつ迅速に対応していく必要があります。今回は経済産業省で商務情報政策局サイバーセキュリティ課長を務める奥家敏和氏を迎え、近年のセキュリティリスクの変遷やSociety 5.0実現に向けた課題と同省の対策について、PwCコンサルティング合同会社テクノロジーコンサルティングパートナーの丸山満彦がお話を伺いました。（本文敬称略）

対談者

経済産業省商務情報政策局サイバーセキュリティ課長
奥家敏和氏

PwCコンサルティング合同会社テクノロジーコンサルティング
パートナー丸山満彦

（左から）奥家敏和氏、丸山満彦

経済産業省商務情報政策局サイバーセキュリティ課長奥家敏和氏

変わりゆく「セキュリティ」の概念と経済産業省からのメッセージ

丸山：
奥家さんは2017年から現在の役職に就かれていますが、昨今のサイバーセキュリティの動向をどのように捉えられていますか。

奥家：
特徴的なのは、「セキュリティ」という言葉の意味が「情報セキュリティ」から「サイバーセキュリティ」へと年々変化していっていることです。情報セキュリティとは、情報の機密性、完全性、可用性を確保することです。一方、サイバーセキュリティとは、情報通信技術を悪用した攻撃から情報やシステムを防御することです。ここ10年で「攻撃の質」と「被害の重さ」が変わりました。2010年前後に目立っていたのがDDoS（Distributed Denial of Service）攻撃です。攻撃を受けてシステムやサービスが機能停止になり、甚大な被害を被った企業も少なくありません。このころは、企業の資産である情報を脅威からいかに保護するかという、情報セキュリティの観点が中心でした。月日は流れ、私が現在の役職に着任した2017年、ランサムウェア（身代金要求型不正プログラム）が猛威を振るい始めました。海外の支店やサプライチェーンを感染経路に、国内企業の情報システム内に長期間潜伏し、タイミングを見計らってファイルを暗号化するなどして使用不能にする攻撃を仕掛けるのです。このころから、こうした攻撃を検知し、システムに侵入させないサイバーセキュリティの観点が主流になっていきました。

丸山：
ランサムウェアの攻撃で工場やプラントが稼働停止に追い込まれたという報告が世界中から挙がっていますよね。おっしゃる通り、「攻撃の質」が高まり、「被害の重さ」が深刻化し続けています。

そうした中、内閣府は未来社会のコンセプトとしてSociety 5.0を提言していますね。奥家さんが所属される経済産業省は、これを実現させるためのキーとしてIoT（Internet of Things）、ビッグデータ、人工知能（AI）、ロボットの活用を挙げています^*1。こうしたテクノロジーを活用しながら経済発展と社会的課題解決の両立を目指すためには、国や企業が確固たるセキュリティを構築する必要がありますね。

奥家：
おっしゃる通りです。まずは、サイバー空間とフィジカル空間が相互接続することでどのようなリスクが発生するのかを誰もが理解する必要があります。これまでサイバー攻撃の主要なターゲットとなっていたのは、サーバーやシステムといったITの領域であり、IT部門が管理／制御できる部分でした。基本的にITは外部ネットワークとつながっており、標準技術で構成されているため、攻撃が容易です。一方、工場の設備システムや制御系（OT）システムは非IT部門が管理していましたが、外部ネットワークに接続していなかったりスクラッチ開発した独自OSを運用したりしていたため、サイバー攻撃は技術的に難しかった。

しかし、サイバー空間とフィジカル空間が一体化すると、ネットワーク経由でOTシステムへ容易に侵入できてしまいます。アタックサーフェス（攻撃対象領域）も無限に広がり、OTで運用しているあらゆる機器が攻撃の対象になります。例えば、モーターなどのアクチュエーター（駆動制御システム）が攻撃されて誤作動したら、人命に関わるような大事故が引き起こされかねません。

丸山：
経済産業省の産業サイバーセキュリティ研究会が2020年4月、「産業界へのメッセージ」としてITシステムやOTシステムのセキュリティ対策の徹底と強化を訴えました^*2。また、2020年6月には「昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性について」の報告書を発表しています^*3。先ほどおっしゃられたようなインシデントが増加する昨今だからこそ、こうしたメッセージの発信が非常に重要だと思います。

奥家：
2020年初頭からの新型コロナウイルス感染症（COVID-19）感染拡大の混乱に乗じて、ランサムウェアや不正アプリなどによる攻撃が、海外を中心に急増しました。日本においては、感染症対策でテレワークが急速に拡大した時、オフィス外で仕事をするための環境を構築したことのない企業が、VPN（Virtual Private Network）をデフォルト設定のまま利用して攻撃されたケースが多数ありました。さらに昨今は、既存の不正侵入検知システムでは検知できないマルウェアによる攻撃も台頭しています。「産業界へのメッセージ」は、こうした状況だからこそITシステムやOTシステムのセキュリティ対策の徹底と強化が必要であると訴えたものです。

丸山：
OSに備わっている標準機能を悪用する「PowerShell攻撃」は、ファイルを検索対象とした従来型のスキャン機能やマルウェア検出機能では検出できません。PowerShell攻撃を検知できたのは、EDR（Endpoint Detection and Response）を導入し、さらにサーバー側のログを長期保存して分析していた企業だけで、多くの企業は見逃してしまったと聞いています。

奥家：
残念ながらフォレンジック調査を含め、攻撃手法の分析は年々難しくなっているのが現状です。攻撃側の「スキル向上」に、企業側のセキュリティ意識と対策が追い付いていないのです。こうした状況を改善するためには、企業が対策を講じるのはもちろんですが、一人ひとりのセキュリティ意識向上も重要な役割を果たします。

「相互信頼」の思想はサプライチェーン構造の変化で覆される

丸山：
テクノロジーの発達による利便性の向上と共に、サイバーセキュリティにおいては「サプライチェーン経由での攻撃」と「攻撃手法の高度化」への対応が大きな課題になっています。さらに近年の喫緊の課題と言えるのが、工場や製造現場で導入されているIoTのセキュリティです。Society 5.0では製造現場に数え切れないほどのIoT機器やシステムが導入され、データが連携します。さらに人間を介さないAIによるデータ駆動型の意思決定がオンタイムで実行／処理されるようにもなります。こうした環境では、どこか一カ所が攻撃されただけで、その被害は瞬く間に広がってしまう。Society 5.0実現の上での大きな課題ではないでしょうか。

奥家：
ご指摘いただいた課題は、Society 5.0を実現する上で最も重要なポイントです。Society 5.0における製造現場のサプライチェーン構造は、これまでのように個々の企業同士が定型的／固定的につながっていた構造とは大きく異なります。これまでは「信頼できるもの同士で相互接続していれば、セキュリティが担保される」「主体のマネジメントに対する信頼でセキュリティを確保する」といった考えが前提でした。企業は「情報セキュリティマネジメントシステム（ISMS）」や「サイバーセキュリティフレームワーク（CSF）」を相互で導入し、接続先に対して「自社ではISMSとCSFを導入しています。あなたも大丈夫ですよね」と信頼し合っていたのです。

しかし、サイバー空間とフィジカル空間が一体化することで、「リスクのマネジメントポイント」は大きく異なってきます。なぜなら、お互いが信頼できたとしても、それぞれのサプライチェーンまで信頼できるかは別の問題だからです。例えば、A社とB社はお互いにISMSとCSFを導入しており、信頼関係があるとします。そして、A社はB社が所有している大規模な製造システムからデータを取得し、ビジネスに役立てているとします。このB社の製造システムにはIoTが導入され、複数のベンダーの製造システムと連携しており、サプライヤーからのデータ提供も受けています。つまり、B社の製造システムには複数のベンダーやメンテナンス事業者、そしてデータサプライヤーが関与しているのです。

丸山：
そうなると、A社はB社だけでなく、B社の製造システムに関与する全てのサプライチェーンが、データやセキュリティを守るためにどのような取り組みをしているのかも確認する必要がありますね。しかし、現実的に考えて、「取引先のサプライチェーン全体がセキュリティ対策を講じているかを確認していますか」と問われて、「はい」と答えられる企業は多くないのではないでしょうか。

奥家：
そうですね。IoTシステムにおいては、サイバー空間とフィジカル空間の間で膨大なデータをリアルタイムでやり取りします。しかし、ISMSやCSFは、IoTのサイバー空間とフィジカル空間の事実上の境界線となる「サイバーとフィジカルでデータ交換される場所」のリスクの洗い出しや対症療法については言及していません。その部分が欠落している状態ですから、「Society 5.0を守るリスクベースのアプローチ」をどのように取っていくかが大きな課題です。

丸山：
Society 5.0ではリスクのマネジメントポイントをどこに設定すればよいとお考えですか。

奥家：
「何を信頼するのか」を考えた時、信頼のアンカーポイントになるのは「データ」だと思います。ですから、サプライチェーンに参加している全てのプレイヤーがデータマネジメントに共通の認識を持ち、「データの信頼性を守る」という世界観を構築しないと、サイバー空間におけるセキュリティを確保できないと考えます。

大規模工場の製造現場では全てのプレイヤーが協力し、リスクのマネジメントポイントを複数設置して全員で守っていく「コレクティブ（協調的）に対応できるモデル」が必要です。経済産業省が2019年4月に発表した「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」^*4では、この課題に言及しています。（後編に続く）