ここから本文です。

2018年11月20日

社会価値創造レポート Industry Eco-System

進むIoTの浸透と変革
安全・安心なデジタル時代を支えるセキュリティ対策

 本記事はPDFでもご覧になれます(PDFダウンロードにはNEC ID登録が必要です)

 本格的なIoT(Internet of Things)時代の到来とともに、工場、サプライチェーン、自動車、医療現場から家庭までつながる機器の活用は急速に拡大しています。労働力不足や生産性の向上、モビリティの改善等、様々な社会課題の解決にIoTの活用が期待される一方で、これまでインターネットに接続していなかったモノがつながることで、従来とは異なるセキュリティリスクとその影響範囲の拡大が懸念されています。

 IoT機器を標的とした多様なサイバー攻撃が急増する中、国内外の政府・業界団体では、IoTの特性を考慮したセキュリティに関するガイドラインの策定を進めており、業界ごとの取り組みも活発化しています。製品のIoT化を進める企業はもとより、サプライチェーンや製造現場のデジタル化を推進する企業グループにとって、IoTセキュリティ対策は差し迫った課題であり、多様化するリスクに対し、現場レベルだけでなく組織全体で取り組むことが重要です。

 本レポートでは、最近の動向や課題とその解決策となるNECのソリューションや、安全・安心なIoT社会の実現に貢献するNECの考え方や取り組みを紹介します。

世界で進むIoT化が、社会や産業、生活の変革を牽引

加速する産業変革への取り組みとIoT機器の拡大

 近年IoT機器の普及が世界中で急速に進んでいます。例えば、市場調査会社IHS Markitは、世界のIoT機器数が2017年の約270億個から、2030年には約1,250億個に達すると予測しています。また分野・産業別での成長率の予測も発表しています(下図参照)。

画像を拡大する

 それをみると、2017年時点のIoT機器数で半数以上を占めるスマートフォンや通信機器の市場は成熟しており、2013年から2030年にかけて分野・産業別の成長率では、スマート工場やスマートシティが進展する「商用・産業機器」が24.3%、続いてICT端末としての機能を有するコネクテッドカーの普及が見込まれる「自動車・輸送機器」、デジタルヘルスケア市場が拡大する「医療」等の成長率が高いことが見てとれます。

 次世代の製造業では、IoTを活用し製造現場のデータを収集し、それらのデータを分析して可視化し、さらに自動制御、最適化、自律化等を実現する進化したスマート工場が中核になるといわれています。スマート工場を中心とするエコシステムの構築が進めば、オーダーメイド製品づくりを行うマス・カスタマイゼーションの実現や、既存のバリューチェーンの変革、新たなビジネスモデルの創造にもつながります。

 製造業のデジタル化を目指す各国の動きも活発化しています。ドイツ政府が公表している「Industry 4.0」の取り組みを紹介するWebサイトでは、ドイツ国内で1 8 0を超える事例が掲載されています(2018年9月現在)。また米国で設立された、主にインダストリアル・インターネットの産業実装を推進するIoTの国際推進団体IIC※1 には、日本企業を含む約260社や政府機関が加盟しています。

※1 IIC:インダストリアル・インターネット・コンソーシアム

生活を支えるIoT機器の拡大も加速

 モビリティ分野では、コネクテッドカーや自動運転車の実現に向けIoTを活用した取り組みが進められています。またスマートハウスの分野では、HEMSによるきめ細かなエネルギー管理に加え、音声アシスタント機能によるIoT家電の制御や情報検索をはじめとした様々なサービスを提供するAIスピーカーが急速に普及しています。さらに医療の分野では、医療機器とヘルスケアのシステムをつなぐことで、医師が患者のヘルスケアデータをリアルタイムでモニタリングし、適切な遠隔診療を目指す取り組みが始まっています。

 このようにIoTは製造、物流、流通等の現場における労働力不足の克服や生産性の向上、モビリティの改善、医療費削減等、様々な課題の解決手段として期待されています。しかし、同時にIoTが社会に浸透し連携が進むほど、IoTのセキュリティリスクとその影響範囲を注視する必要があります。

拡大するサイバー攻撃、IoTシステムが新たな標的に

増加し続けるIoT機器への新たな攻撃の手口

 2016年はIoTシステムにおけるセキュリティ対策を考え直す契機となりました。従来、攻撃者がPC等を使って、標的に対し一斉にパケットデータを送りつけてサーバダウンを招くDDoS攻撃に、家庭用ルーターやネットワークカメラ等、IoT機器群がサイバー攻撃の踏み台として利用されたのです。マルウェア「Mirai」によるIoTを使った大規模なDDoS攻撃で、インターネットの接続に欠かせないアドレス等を管理する米国企業が機能不全に追い込まれ、連鎖的に様々なインターネットサービスが利用できなくなりました。IoT機器が増加するほどDDoS攻撃の規模も大きくなることを世の中に知らしめたMiraiは、亜種が数多く誕生し、日本国内でも感染が広がっています。

 IoT機器の増加と共に、IoT機器を標的としたサイバー攻撃も増加傾向にあります。NICT(国立研究開発法人情報通信研究機構)が大規模サイバー攻撃観測網で監視した「NICTER※2 観測レポート2017」では、2017年のサイバー攻撃のうちIoT機器への攻撃が全体の半数以上を占め、攻撃手法が高度化していると指摘しています。

※2 NICTER( Network Incident analysis Center for Tactical Emergency Response):サイバー攻撃の観測・分析・対策を行うNICTのインシデント分析センター

すべてのIoT機器がサイバー攻撃の対象に

 2017年、猛威を振るった身代金目的のランサムウェア「WannaCry」は製造業にも大きな影響を及ぼしました。WannaCryは製造業を標的としたものではないものの、サポートの終了したOSを使っていた生産ラインを制御する古いPCや、セキュリティの管理対象外だった現場機器等に感染し、複数の工場が操業停止に追い込まれました。またWannaCryは駅のデジタルサイネージや銀行ATM、小売店鋪の端末等、様々なIoT機器に感染したことから、すべてのIoT機器がサイバー攻撃の対象となり得ることが浮き彫りになりました。

 注目されるコネクテッドカーの分野でも、2015年米国の研究者の実証実験により、自動車のブレーキ等の遠隔操作がハッキングにより行えることが証明され、自動車業界に大きな衝撃を与えました。この実証実験の対象となった自動車メーカーでは140万台に及ぶリコール対応が必要となりました。また家庭用のIoT機器で多く採用されているBluetoothの脆弱性「BlueBorne」が発見されるなど、IoT機器への様々な脅威が顕在化してきています。

 これまでインターネットに接続されていなかったモノが新たにつながり連携を始めることで、従来とは異なる新たな脅威が生まれてきます。IoT機器のセキュリティを対象にした法制度の整備や各種ガイドラインの作成と共に、企業において製造業はもとよりサプライチェーン全体の観点からIoTのセキュリティ対策に取り組むことが急務です。

画像を拡大する

求められるIoTシステムの特性を考慮したセキュリティ対策

急がれるIoTシステムのセキュリティ対策

 これまでつながっていなかったモノがつながるIoT機器の急速な普及に伴い、セキュリティリスクが増大しています。IoTのセキュリティ対策ではIoT特有の性質を考慮し、従来とは異なるアプローチが必要です。
またIoTの脆弱性がもたらす影響は広範囲化する危険性が高く、開発時はもとよりリリース後の対応も重要となります。

 2016年3月、IPA※3 はIoTのセキュリティにおける共通の指針を示した「つながる世界の開発指針」を公開しました。同指針をベースに、経済産業省と総務省が産学官連携で進める「IoT推進コンソーシアム」で同年7月に策定された「IoTセキュリティガイドライン」では、IoT特有のリスクについて、IoT機器に対する監視が行き届きにくいこと、IoT機器の機能や性能が限られているため十分なセキュリティ対策機能の装備が難しいこと、開発者が想定していなかった接続が行われる可能性があること等をポイントとして挙げています。急増するIoT機器を標的とするサイバー攻撃に対応するべく、IoT特有の性質を考慮に入れたガイドラインの策定が、日本国内においても様々な組織で進められています。

 また、経済産業省ではIoTセキュリティへの取り組みを加速させるために、一定のサイバーセキュリティ対策が講じられたデータ連携・利活用により生産性を向上させる取り組みについて、必要となるシステムやセンサー等の導入を支援する税制措置「IoT税制(コネクテッド・インダストリーズ税制)」を創設しました。

※3 IPA:独立行政法人 情報処理推進機構

IoTセキュリティに対する業界の取り組みも活発化

 IoTセキュリティ確保に向けて業界別の取り組みも進められています。例えば自動車業界では、JAMA※4、JSAE※5、JASPAR※6 により、車載セキュリティにおける方針・標準・規格づくり、標準技術や評価方法の策定に取り組んでいます。CCDS※7は、車載、IoTゲートウェイ、金融端末(ATM)、決済端末(POS)の4分野のガイドラインを策定しています。

 また国際標準化の動きも活発化しており、ISO/IEC JTC1※8 SC27/WG4では、日本から提起した「IoTセキュリティガイドライン」をベースとした国際標準化が進められています。IoTセキュリティ確保のためにはサプライチェーン上の脆弱性を認識した上で、IoT製品開発者、サービス開発者・提供者が連携してセキュリティ対策や仕組みづくりに取り組み、利用者も含めて必要な役割を果たすことが重要です。

※4 JAMA:一般社団法人 日本自動車工業会

※5 JSAE:公益社団法人 自動車技術会

※6 JASPAR:自動車ソフトウェア標準化団体

※7 CCDS:一般社団法人 重要生活機器連携セキュリティ協議会

※8 ISO/IEC JTC1: 国際標準化機構/国際電気標準会議 第一合同技術委員会

画像を拡大する

企業のIoTセキュリティ対策をトータルに支援

実践に基づくIoT/OTサイバーセキュリティ支援サービスを提供

 IoTによって多様化するリスクに対し企業が適切な対応を行うためには、組織全体でセキュリティ対策に取り組むことが重要です。しかし、製造業をはじめ多くの企業が、一部の現場レベルでの取り組みを行っても、全社のセキュリティ体制や仕組みが整備されていない現状があります。お客様に提供する製品、システム、サービスのセキュア開発・運用とその推進体制構築に取り組んできたNECも、IoTのセキュリティリスクの多様化が顕在化してきたことを受けて、IoT機器の脆弱性に伴うセキュリティ上の脅威分析とその対策の検討に取り組みました。利用シーンを理解しながら、IoT/OT機器の設計・製品担当者も参加し、機能だけでなく運用面を想定した脅威を洗い出す手法を確立しました。またIoTシステムに対するリスクアセスメントの実施方法やモデルケースごとに求められる具体的な対策の標準化、セキュリティタスクの実施を確認するチェックリストの作成と活用も行っています。このチェックリストは、国際標準や政府・業界団体等が策定するガイドラインの要件に加え、新たな脅威に対する対策についても随時反映しています。

 このような実践を通じて培ったノウハウをもとに提供しているのが「IoT/OTサイバーセキュリティ支援サービス」です。このサービスは、お客様のセキュリティ課題を整理し、その対策まで支援するものです。

 IoTセキュリティガイドラインに準拠し、ルールづくりや体制構築等を支援する上流セキュリティコンサルティングから、開発・運用を支援する各種セキュリティサービス(IoT設計支援、脆弱性診断、IoT脆弱性情報管理等)により、リスクアセスメントから運用ポリシー策定、開発、生産まで全社のIoTセキュリティ対策の構築をトータルに支援します。

画像を拡大する

IoTシステムの特性を踏まえたセキュリティ対策が重要に

 企業のIoTセキュリティ体制や仕組みづくりでは、IoTシステムの特性を考慮した対策が求められます。ハードウェアリソースに制約のある機器や、IP通信以外のネットワーク接続方式を採用した多様な機器が混在し、それらが分散配置された構成をとるIoTシステムにおいては、産業制御システム等も含め、システム全体を見据えたセキュリティ対策の強化が重要です。NECは、これらに応えるIoTデバイス管理やOTネットワーク対策の製品を提供しており、お客様の現場における、セキュアなIoTシステムの実現に貢献しています。

IoTシステムのセキュリティを支えるNECの製品と技術

多様なIoT機器をセキュアに管理し、不正な接続を防止

 NECは、サプライチェーンや製造現場のデジタル化を推進する企業グループが抱えるIoTセキュリティに関する課題に対応したソリューションや、製品のIoT化を進める企業のための製品等も開発・提供しており、特に「デバイスにおけるセキュリティ設定のリモート管理・自動化」、「デバイスの多様な接続方式に対応したアクセス制御」、「異常デバイスのリアルタイム検知・対処」の3つの領域に注力し、製品やサービスの強化を図っています。

画像を拡大する

 「SecureWare/Credential Lifecycle Manager」は、従来、煩雑だった管理・設定工数の大幅な削減と共に、専門的スキルを不要とし、専任担当を設置しなくてもセキュアな管理を可能にするソフトウェアです。IoTデバイスやそれを束ねるゲートウェイや分散処理を担うエッジで構成されるIoTシステムにおいて、不正な接続を防ぐための相互認証や暗号化に必要なIoTデバイスの暗号鍵、電子証明書の管理・設定のリモート化・自動化を実現します。また、センサーをはじめとするハードウェアリソースに制約のあるデバイスでも、暗号化や改ざん検知を可能にするソフトウェア「軽量暗号 開発キット」も提供しており、これまで難しかった幅広いデバイスのセキュリティ対策を実現しています。

多様なIoT機器への不正なアクセスを遮断

 NECはIoTシステムを構成する多様な機器の不正な接続・通信を可視化して遮断できる「IoT Device Security Manager」を提供しています。
その特長はIP通信に加え、従来のICTシステム向けセキュリティ対策の適用対象外である非IP通信による接続方式(USB、Bluetooth Low Energy等)も対象に、機器の接続や通信の状況を可視化し、アクセス制御を可能にするという点です。接続を許可するデバイスを登録するホワイトリスト型の対策で「入口」の対策を行えます。リストの自動作成機能に加え、分散配置されている多様な機器の接続や通信の状況をリモートで集中的に監視することで、IoTシステムのセキュリティ管理や運用を容易にして省力化を実現します。また、製造メーカーは本製品をIoT機器やシステムに組み込むことにより、製品のセキュリティ強度を高めることも可能です。

サイバーとリアルが融合した社会を支えるセキュリティを目指して

これからのIoT時代を支えるセキュリティに向けた取り組み

 NECはこれまで推進してきた、設計時からセキュリティ対策を組み込む「セキュリティ・バイ・デザイン」の考えのもと、安全・安心な環境を提供していきます。様々なハードウェアやソフトウェア製品を開発してきたノウハウや、お客様の業務形態を理解し、長年ICT環境の構築をしてきた実績をもつNECだからこそセキュリティリスクを軽減できると考えます。サイバーセキュリティ対策は、導入すれば終わりというわけではありません。IoTにより様々なものがつながり複雑化するシステムが高度化・巧妙化が進むサイバー攻撃に対抗するには、セキュリティ対策も計画的かつダイナミックに強化し続けることが重要です。

 NECはIoT時代に向けた新たな取り組みも進めています。その1つが電力、ガス、水道、交通機関等の重要インフラや製造業の工場における制御系システムへのサイバー攻撃リスクをシミュレーションにより網羅的に診断できるサイバー攻撃リスク自動診断技術の開発です。実システムから、IT機器の構成、ソフトウェアのバージョン・仕様に加え、制御システム特有の構成機器(PLC*9 等)のハードウェア情報や、パケットやプロトコルなどの通信設定、ネットワークから隔離された状況下も含めたデータフローやデータの受け渡し手段など、リスク分析に必要な詳細なシステム情報を自動で収集し、仮想モデルを構築することにより、従来、優れた専門家でも把握が困難だった複雑なシステム全体の構成やデータの流れをバーチャルに再現し可視化します。リスク分析における脆弱性箇所の正確かつ迅速な把握を実現します。本技術により、自動で攻撃イメージを視覚的に把握でき、また対策を施した場合のセキュリティの有効性確認を繰り返し行えるため、潜在的なセキュリティリスクも発見できます。

画像を拡大する

 NECはこれまで長年にわたり人と人、人とモノ、モノとモノをつなぎ、社会の発展に貢献してきました。今、そのつながる環境が、深刻なリスクに脅かされています。NECは、「情報」「技術」「人材」の総合的な視点を駆使してセキュアな実世界とサイバー空間をつくりあげ、産業と暮らしを支え、より良い未来につなげていきます。

 NECは、社会やお客様の本質的な価値の追求を大切にしながら、ICTを活用した新たな社会価値を皆様とともにデザインし明るい世界(Brighter World) に取り組んでいきたいと考えております。本レポートの内容やNECの取り組みについて、ご意見・お問い合わせなどございましたら、ぜひお声掛けください。

 本記事はPDFでもご覧になれます(PDFダウンロードにはNEC ID登録が必要です)

関連キーワードで検索

さらに読む

この記事の評価


コメント


  • コメントへの返信は差し上げておりません。また、いただいたコメントはプロモーション等で活用させていただく場合がありますので、ご了承ください。
本文ここまで。
ページトップ