ネットワークはこの20年で複雑になり、サイバー攻撃の脅威も増しています(イラスト:いらすとや)
企業システムの過去と現在を知る
「現在はすべての物がネットワークにつながれ…」といった言葉をよく耳にします。皆さんが働いている環境では実際どうなのか? このコラムではさまざまな企業・産業システムがどのようなネットワークにつながれ、どのような利便性を生んでいるのかに簡単に触れながら、サイバー攻撃の影響に関して分かりやすく説明していきます。
現在では一人が複数のネットワーク端末(PC、スマホ、タブレット)を所有し、企業アプリケーションなどに接続し、仕事を遂行しています。悪意のある攻撃者はネットワークを経由してシステムを攻撃することにより、システム利用者に損失を与えるだけでは済まない現状です。さらに、サイバー攻撃というものはビジネス化しています。そのような攻撃手法と対策について、分かりやすく説明していく予定です。
第1回は過去と現在の企業システムがどのように変わってきたか、その経緯に触れていきます。
IoTプラットフォームの基は90年代
私が社会人になったばかりのころ、30年くらい前になりますが1990年代を振り返ります。
オフィスにはオフィスコンピューターというものが部門もしくは部署に1台設置される環境で、伝票もしくは紙の書類を打ち出すために交代でその端末を利用していました。ネットワークというものはまだ黎明期でサイバー攻撃というものは存在していません。
その後、ワードやエクセルといったアプリケーションを使った業務文書を取り扱うことになり、1人に1台PCが割り当てられ、そのデータのやり取りをサーバやEメールなどを利用して行うことになりました。ネットワークという言葉が企業で一般的になってきて、利用者もその利便性に実感を持ち始めたころです。
そのころにサイバー攻撃ではなく、コンピューターウイルスというものが出始めました。私も職場でその経験をしました。1999年に流行した「Happy99」というウイルスで、「Happy New Year」というウィンドウが出てきて、花火が上がるといったものです。当時は周囲の者もすぐにはそれがウイルスとはわからず、笑いながら眺めていたのを覚えています。
「Happy 99」に感染したPC(出典:YouTube)
このころはこのような愉快犯型のウイルスが話題になっていて、特にシステムに深刻なダメージを与えるわけでもなく、作り手の自己満足で終わるような「いたずら」の一種でした。
その後、デスクトップ型PCからノートPCへ、携帯電話からスマートフォンへビジネスユーザーの環境が劇的に進化していきました。同時に電子データの量とネットワーク通信量の二つが加速度的に増加していきます。
ムーアの法則というものを皆さんお聞きになったことはありますか?これは半導体の性能が18カ月ごとに倍に上がっていくという話です。通信端末性能の向上により、企業・個人が扱う電子データの量とそのデータをやり取りする通信量が増大し始めた時代です。LANのインターフェースが10Mbps→100Mbps→ギガといった具合に変わっていきました。
このころ我々ネットワークベンダーは「端末とサーバーをつなぎ続けること」これを第一に考えていました。ネットワークプロトコルというものを用いて、社内のどこの情報コンセント(その当時はケーブル)に接続しても自分の所属ネットワークにつなげるといった環境作りに必死でした。正直このころはサイバー攻撃というのはインターネットの世界だけの話で、企業内ネットワークには関係ないと思っていた感があります。
実際にOSなどの仕様もセキュリティ面が甘かったのも事実です。今、騒がれているマルウェアなどは1990~2010年ごろに供給されたOSのセキュリティホールを狙っているものが多く、被害件数もかなり多くなっています。
一方、このころのOSをベースに産業向けのシステムが多く作られました。金融、生産工場、ビルなどといったシステムは、一度導入されると10年以上継続して使用されます。そしてその多くがセキュリティ面のソフトの使用や、基本OSのアップデートなどがなされていません。従って、もしこのようなシステムが外部のネットワークにつながれることになると、攻撃者から格好の的になってしまうのが現実です。
マイクロソフトでいうならば、Windows XPやWindows 2000といったOSが制御システムを稼働させているといったことが少なくありません。
工場など産業制御システムのセキュリティも取り組みが急がれる(出典:写真AC)
制御用システムのIoT化に注意
IoTといっても千差万別です。自動運転など新規に形成されるIoTネットワークもあれば、皆さんのオフィスが入っているマルチテナント型のビル制御などもIoTネットワークでつながっています。
問題視されているのは既存の制御システムのIoT化です。まず低層レイヤーでいえば電力です。電力を制御するのは何も発電所~変電所~工場・ビル・病院の間だけではありません。工場・ビル・病院の中も電力が制御されています。この末端部分のセキュリティ意識はあまり高くありません。地域一帯の電力ハッキングに関しては国と電力会社などで対策が検討されてはいますが、そこから先の施設内のセキュリティに関しては各オーナーが責任を負います。各企業のリスクマネージャーが何かしらの対策を打たなければならないのは本来この部分になります。
2020年、世界の注目を集める東京オリンピック・パラリンピックは、サイバー攻撃の格好の標的となるリスクがあるとして、サイバーセキュリティ戦略の指針が国から出されています。攻撃対象の中には制御システムが入ります。2017年から私たちはこのような産業システムに対するセキュリティ対策の研究、実験を行っています。その一つがホワイトリスト対策です。
次回は制御システムのホワイトリスト対策といった内容に関して触れていきたいと思います。
(了)