インダストリアルセキュリティ
18.May.2020
IIoT時代が到来、スマート製造が直面するセキュリティの課題とチャンス
人工知能技術の進歩により、インテリジェント化は21世紀の最も重要な技術になりました。スマートマニュファクチャリング(スマート製造)のコアテクノロジーは、モノのインターネットとサイバーフィジカルシステム(Cyber-Physical System,CPS)であり、ビッグデータ分析、人工知能、クラウドコンピューティングなどに加え、製造プロセスをインテリジェント化します。それゆえ、多様なニーズを満たし、カスタマイズのビジネス目標を達成します。
かつての製造コンセプトは、生産の自動化を追求し、製品を標準操作手順(SOP)で量産することでした。 スマート製造のコンセプトはそうではありません。消費者の消費性向の変化に対応して、生産をすばやくカスタマイズできる製造方法が徐々に重視されています。これは、インダストリー4.0の非常に重要なコアコンセプトです。 未来の工場とは、工業技術の向上だけでなく、技術、販売、製品の経験などを統合し、製造、販売、物流、アフターサービスなどのビジネスコンセプトをひとつに統合するものです。 そして「カスタマイズ」は、スマート製造が追求する主な目標の1つになります。
かつての製造コンセプトは、生産の自動化を追求し、製品を標準操作手順(SOP)で量産することでした。 スマート製造のコンセプトはそうではありません。消費者の消費性向の変化に対応して、生産をすばやくカスタマイズできる製造方法が徐々に重視されています。これは、インダストリー4.0の非常に重要なコアコンセプトです。 未来の工場とは、工業技術の向上だけでなく、技術、販売、製品の経験などを統合し、製造、販売、物流、アフターサービスなどのビジネスコンセプトをひとつに統合するものです。 そして「カスタマイズ」は、スマート製造が追求する主な目標の1つになります。
迅速でカスタマイズできる製造方法は、インダストリー4.0のコアコンセプトです
カスタマイズだけではなく、ビッグデータ分析と組み合わせたスマート製造は、マーケティングトレンド、天気予測、原材料の在庫、輸送の進捗状況、および欠陥の改善を分析して、製品の製造量を正確に抑え、過剰なコストと無駄を削減し、製造の最適化を実現します。 [1]
インダストリー4.0の時代により、世界各国が政策を定めました。 産業革命の発祥地であるイギリスは、2008年に「高付加価値製造戦略」を発表し、イギリス本土の企業に世界クラスの高付加価値製品の製造を奨励しました。 2013年に「製造業の将来(The Future of Manufacturing)」が提出され、2050年までにイギリスの製造業向けのポリシーが発表されました。コアコンセプトは高度にカスタマイズされ、消費者の需要に迅速に対応することです。
同じく工業国である米国は2011年に「先進製造パートナーシップ」(AMP,Advanced Manufacturing Partnership)政策を実施し始めました。 そして2014年にAMP 2.0を提出し、具体的な実施対策を強調しました。スマート製造がもたらす新しいビジネスにより、海外に設立された企業の里帰りを期待されます。 フランスも同じ考え方が広がっており、ドイツのインダストリー4.0レポートが正式に発表された直後、フランス政府も米国と同様の目的で「Industry of the Future」計画を発表しました。
上記の工業国以外に、日本も「産業振興計画」「インダストリー4.1J」「Society 5.0」等の政策を提出しています。 中国は21世紀に最も大きな製造国として、2015年に10年間の「Made in China 2025」計画を提出しました。 BRICs(有力新興国)の1つであるインドもインダストリー4.0に歩調を合わせており、インドのビジネス環境と製造業の問題を改善するため「Made in Indiaプロジェクト」を提出しています。 [2]
世界各国がインダストリー4.0に向けて、将来の製造業の予想図を描くときに、も2015年に「行政院の生産力4.0の開発計画」を策定し、同年の第4半期に実施し始めました。8年間のプロジェクトを2024年まで続くと予想されています。この計画はスマート製造のトレンドにも注目しています。インダストリー4.0の製造モードを対応するために、スマート機械、ビッグデータ分析、モノのインターネットなどを組み合わせ、スマートロジスティクスとマルチドメイン統合や産業構造最適化、4.0人材育成などの要素により、はスマート製造分野で十分な人材を持つことができます。上記の各国のさまざまな政策と計画は、すべてスマート製造を探索するプロセスです。 [3]
スマート製造に伴うセキュリティ問題
しかし、研究と建設の過程で、システム構造の複雑さが増すにつれて、セキュリティ上のリスクも伴います。 モノのインターネット、ビッグデータ、クラウドコンピューティング、人工知能などのテクノロジーを統合した後、大量のデータフロースペースが拡張されました。スマート製造の実行方法は、IoTを基づきに製造業で活用します。「製造業における、モノのインターネット」(Industrial Internet of Things)システムを建造されます。 また、セキュリティの脆弱性の分布率は自然に上昇し始め、潜在的な脅威はIIoTシステムに影響を与えやすくなるため、システム全体のごく一部のみが見破れたとしても、システム全体の動きに影響を与えます。 ハッカーの侵入が発生した場合、システム全体をダウンさせ可能性もあり、その結果多大な損失と企業の信用への損害をもたらします。
現在、スマート製造に関連する国際標準と基準は、国際自動化学会(International Society of Automation,ISA)および国際電気標準会議(International Electrotechnical Commission,IEC)によって布告されたISA / IEC 62443シリーズの標準が、工業オートメーション制御システム(Industrial Automation Control System,IACS)ポリシーとプロセス、システムセキュリティ、及びコンポーネント開発に関連する基準とガイドラインです。
アメリカ国立標準技術研究所(National Institute of Standards and Technology,NIST)もNIST.SP.800-82を布告しています。これはSCADA(産業制御システム)、DCS(分散制御システム)、PLC(プログラマブルロジックコントローラ)などの基準として定められました。また、NIST.IR.8200、NIST.IR.8228などの他の基準も公開されています。 欧州ネットワーク・情報セキュリティ機関(European Union Agency for Cybersecurity,ENISA)もIoTとサイバーセキュリティに関する多くのガイドラインと標準を布告しています。
では、経済部産業局は各国の規制を参照し、スマート機械の安全要件も起草し、さらにセキュリティ成熟度の評価方法を作成する予定です。スマート製造に関連するセキュリティ問題はある程度の注意を払っていますが、数多い標準がお互いに抑制する結果、スマート製造の構築をより一層難しくなり、標準の不一致により将来的には他のセキュリティリスクを生み出すことさえあります。 これは、スマート製造の構築に考慮しなければならない要素になります。
現在、スマート製造に関連する国際標準と基準は、国際自動化学会(International Society of Automation,ISA)および国際電気標準会議(International Electrotechnical Commission,IEC)によって布告されたISA / IEC 62443シリーズの標準が、工業オートメーション制御システム(Industrial Automation Control System,IACS)ポリシーとプロセス、システムセキュリティ、及びコンポーネント開発に関連する基準とガイドラインです。
アメリカ国立標準技術研究所(National Institute of Standards and Technology,NIST)もNIST.SP.800-82を布告しています。これはSCADA(産業制御システム)、DCS(分散制御システム)、PLC(プログラマブルロジックコントローラ)などの基準として定められました。また、NIST.IR.8200、NIST.IR.8228などの他の基準も公開されています。 欧州ネットワーク・情報セキュリティ機関(European Union Agency for Cybersecurity,ENISA)もIoTとサイバーセキュリティに関する多くのガイドラインと標準を布告しています。
では、経済部産業局は各国の規制を参照し、スマート機械の安全要件も起草し、さらにセキュリティ成熟度の評価方法を作成する予定です。スマート製造に関連するセキュリティ問題はある程度の注意を払っていますが、数多い標準がお互いに抑制する結果、スマート製造の構築をより一層難しくなり、標準の不一致により将来的には他のセキュリティリスクを生み出すことさえあります。 これは、スマート製造の構築に考慮しなければならない要素になります。
IIoTが直面するセキュリティの問題と課題
IIoTは、主にM2M(Machine to Machine)、CPS、ビッグデータ、機械学習などの技術に焦点を当てています。また、IT(情報技術)とOT(運用技術)の2つの技術の統合の始まりでもあります。 ただし、ITとOT自体にはすでに何百も異なる協定と標準があり、IoT自体の複雑な特性と相まって、ネットワークセキュリティ責任の割り当ての問題を引き起こします。 また、コンポーネントサプライヤが数十社にも異なり、ライフサイクルに関与する多数の利害関係者が原因で、コンポーネントは異なる規制または基準に適用され、設備は違う地理位置での配布により異なる法的制約を受ける場合があります。その結果、IoTの規制と基準を統一することが困難になり、「技術が繋がらなくなり」問題が発生します。異なる標準をどうやって統合するか、これは最初の課題になります。[4]
また、IIoTはまだ研究開発とテスト段階にある新しい技術です。過去数十年にわたってOT分野で働いてきた技術担当者にとって、IIoTに関する適切なセキュリティ意識を身につける方法や人事教育と訓練は課題です。人員の安全意識が不十分であるという問題に伴い、情報セキュリティの問題に十分な注意を払っていない企業はまだたくさんあります。
将来のスマート製造の構築にもたらすリスクは、過去のものとは異なります。しかし、企業の管理者は情報セキュリティに関する認識の欠如は、IIoTの将来の1つ大きな挑戦になります。セキュリティ保護作業のメリットを定量化することは簡単ではない、かなりの投資も必要となるため、経営者は情報セキュリティを無視しやすく、セキュリティの重要性とビジネス営業の価値は両立という認識がありません。 このような欠点は、インダストリー4.0の発展により発生したものではなく、既存問題です。
また、IIoTはまだ研究開発とテスト段階にある新しい技術です。過去数十年にわたってOT分野で働いてきた技術担当者にとって、IIoTに関する適切なセキュリティ意識を身につける方法や人事教育と訓練は課題です。人員の安全意識が不十分であるという問題に伴い、情報セキュリティの問題に十分な注意を払っていない企業はまだたくさんあります。
将来のスマート製造の構築にもたらすリスクは、過去のものとは異なります。しかし、企業の管理者は情報セキュリティに関する認識の欠如は、IIoTの将来の1つ大きな挑戦になります。セキュリティ保護作業のメリットを定量化することは簡単ではない、かなりの投資も必要となるため、経営者は情報セキュリティを無視しやすく、セキュリティの重要性とビジネス営業の価値は両立という認識がありません。 このような欠点は、インダストリー4.0の発展により発生したものではなく、既存問題です。
情報セキュリティへの理解不足は、将来のIIoTにとって大きな課題
上記は、構築段階で直面する問題です。構築プロセス中にこれらの問題に対して適切な対策が講じされない場合、将来的にシステムが巨大なセキュリティリスクに晒される可能性があります。確立されたIIoTが上記の問題を事前に解消しても、リスクがなくなるわけではありません。 大量なデータストリームの継続的な送信と受信の状況で、データが漏洩したり、データが悪意を持って改竄されると、IIoTに悪影響を及ぼします。さらに、スマート製造はサイバー空間と実空間をより密接に結び付けます。たとえIoTでセキュリティインシデントが発生した場合、現実世界への被害も非常に大きくなります。
スマート製造の環境はより複雑になり、IoT自体の相互接続により攻撃できるところも大幅に拡大されます。一部の非人工リスク以外に、人工によって引き起こされる脅威に特別な注意を払う必要があります。ハッカーの侵入は典型的な脅威です。安全ではない接続ポート、更新されていないコンポーネント、不完備な更新メカニズムなどは、すべてハッカーに利用される可能性があります。特に従来の産業工場では、更新する比率は非常に低く、更新によるダウンタイムで企業が損失を生むので、IIoTにとっては、安全な更新が重要な課題です。
さらに、ネットワーク通信チャネルがセキュリティ保護を怠ると、ハッカーは分散型サービス拒否攻撃(DDoS)、メッセージの改ざん、盗聴、悪意のあるプログラムの埋め込みなどよく使われるネットワーク攻撃で、資産またはデータ漏洩など深刻な損害を与える可能性は非常に高いです。
現場の変革で、一部の古い機器や伝統的な産業システムにも注意を払う必要があります。古いシステムに基づいて新しいシステムを構築した後、時代遅れの保護対策につながる可能性があり、あるいは長年発見されていない未知の脆弱性により、攻撃者は新しい攻撃方法を見つけることができます。 [5]
最後に、アプリ開発と設計のプロセスにセキュリティに注意を払わない場合、ソフトウェアの脆弱性もハッカーがシステムに侵入する抜け穴になります。ハードウェアデバイスの設計にセキュリティが含まれていない場合、それも攻撃者が侵入する抜け穴になります。上記の例から、IIoTが攻撃できる範囲は非常に広く、IIoTのどちらの一部が侵入されたら、システム全体がダウンする可能性があり、生じる損害が考えられない程大きいです。 [6]
IIoTセキュリティソリューション
スマート製造が将来直面するさまざまなセキュリティ問題を考えながら、Onward Securityは完備なセキュリティ問題解決能力を備えております。産業制御システム、ネットワーク装置、IoT侵入テスト及びセキュリティ調査機能を備えた初のチームです。今まで多くの国際的なアワードを受賞されました。2020年のサイバーセキュリティエクセレンスアワード(Cybersecurity Excellence Awards)に6つのゴールドアワードと1つのシルバーアワード、アジアで最も優れたセキュリティ企業のゴールドアワードなどを受賞されました。
Onward Securityは、で唯一の7つのセキュリティ検出プロジェクトを取得したISO 17025認定ラボであり、アジアで最初のアメリカCTIA認定セキュリティラボであり、Amazon Alexaが指定されたのセキュリティ検査ラボです。 40個のグローバルセキュリティ脆弱性(CVE)を発表し、IoTデバイス、スマートグリッド、コネクテッドカー、組み込みシステム、モバイルアプリ、ICSとSCADAデバイス用のセキュリティ検出技術を持っています。
Onward Securityは、で唯一の7つのセキュリティ検出プロジェクトを取得したISO 17025認定ラボであり、アジアで最初のアメリカCTIA認定セキュリティラボであり、Amazon Alexaが指定されたのセキュリティ検査ラボです。 40個のグローバルセキュリティ脆弱性(CVE)を発表し、IoTデバイス、スマートグリッド、コネクテッドカー、組み込みシステム、モバイルアプリ、ICSとSCADAデバイス用のセキュリティ検出技術を持っています。
IIoTハードウェアデバイスのセキュリティ脆弱性について、Onward Securityが提供するソリューションは:
- 産業制御製品やシステムのソフトウェア及びハードウェアのセキュリティテストサービス、ならびにソフトウェアセキュリティ開発コンサルティングサービスを提供し、ソフトウェアセキュリティ開発にサポートします。データ通信製品、モバイルデバイス、セキュリティ制御、スマート家電、スマートカー、IoTなどの接続製品がすべて適用されます。
- 自社開発の製品セキュリティ管理システム「HERCULES SecFlow」と脆弱性自動化検出デバイス「HERCULES SecDevice」は、IEC 62443、OWASP TOP 10及びCWE / SANS TOP 25などの安全基準に満たします。ネットワーク製品の設計、開発、テスト、及び展開のためのコンプライアンス自動安全評価ツールを提供します。PLC、ICS、SCADAなどスマート製造に関連する産業制御コンポーネントにも適用可能です。
- Onward Securityには、IEC 62443やISO 27001などのコンサルティングのワンストップサービスを提供します。セキュリティソリューションだけでなく、完全なコンプライアンス関連サービスを提供します。製造業者が顧客の信頼と企業の信用を強化するために国際標準証明書をすばやく取得するのに役立ちます。さらに、専門のセキュリティ教育とトレーニングを提供し、技術者にIIoT関連のセキュリティ意識を身につけ、スマート製造とインダストリー4.0時代の到来に対処できるようにします。
2020年はIoT技術の完全な展開の段階になります。テクノロジーの急速な発展に伴い、人々の生活はますます便利になっています。 テクノロジーによってもたらされるメリットにより、企業は過去数十年間に世界のすべての主要な分野で情報テクノロジーを生かせるよう努めてきましたが、長期の安定のために無視してはいけないセキュリティは無視されています。ウイルス対策ソフトのインストールだけでは会社のセキュリティと製造システムの安全性を保証できません。
将来、スマート製造の展開アーキテクチャは、現在のほとんどの製造アーキテクチャよりも複雑になります。ですが、営業ばかり追求し、リスクに見て見ぬふりにしたら、セキュリティの脅威は最終的に爆弾となります。トリガーされると、被害は過去よりも確実に大きくなり、スマート製造がもたらしたメリットも失われます。
被害が発生する前に完備なセキュリティ管理対策とソリューションを用意し、担当者が十分なセキュリティ意識を持ち、開発時にハードウェアとソフトウェアがすでにセキュリティを考えてから開発すれば、スマート製造は私たちが共に期待できる未来です。
References:
[1] 天下雜誌,〈工業4.0-58秒的競爭〉,2016.07。閱於2020.04.08。網址:http://topic.cw.com.tw/2016industry4.0/article.html.
[2] 李國維,〈工業4.0(一):簡單看懂工業4.0〉,2016.08。閱於2020.04.10。網址:https://scitechvista.nat.gov.tw/c/skZM.htm.
[3] 行政院,〈行政院生產力4.0發展方案〉,2015.09。閱於2020.04.10。網址:http://class.nchu.edu.tw/bulletin/MOE/105_MoE_re_allr.pdf.
[4] ENISA,“Industry 4.0 - Cybersecurity Challenges and Recommendations”,2019.05。
[5] ENISA,“Good Practices for Security of Internets of Things”,2018.11。
[6] Trend Micro Inc.“The IoT Attack Surface: Threats and Security Solutions”,2019.05。閱於2020.04.15。網址:https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/the-iot-attack-surface-threats-and-security-solutions.
