クリティカルなインフラストラクチャのIT融合に関するセキュリティ対策の前提とは：Gartner Insights Pickup（256）

CIO（最高情報責任者）やサイバーセキュリティリーダーにとって、クリティカルなインフラストラクチャのサイバーフィジカルシステムに注意を払い、これらに関する将来予測を踏まえてセキュリティ対策を立てることは、これまで以上に重要になっている。

[Robert Snow, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

要約

• クリティカルなインフラのサイバーフィジカルシステム（CPS：ITと融合した物理機器／産業システム）のセキュリティに関する懸念が高まっている
• リスクは重大であり、現実に存在する。攻撃が壊滅的な被害をもたらす恐れがあるが、攻撃者がこっそり気付かれずに何年にもわたって準備し、攻撃の機会をうかがっているかもしれない。そこで世界各国の政府がミッションクリティカルなCPSについて、セキュリティ対策強化を義務付けている
• セキュリティとリスク管理のリーダーは、Gartnerの予測を参考に、潜在的なリスクに備えて対策を進められる

　重大なリスクが現実のものとなっている。クリティカルなインフラを運営する組織への攻撃が急増中だ。2013年の攻撃件数は10件に満たなかったが、2020年には400件近くに達し、この間の増加率は3900％に上った。

　こうした攻撃は、ビジネスや社会に致命的な影響を及ぼすことがある。にもかかわらず、不正侵入が発生しても、組織は見過ごしてしまいがちだ。それを考えれば、世界各国の政府がミッションクリティカルなサイバーフィジカルシステムのセキュリティ対策強化を義務付けているのは、驚きではない。

　問題の核心は、今日のサイバー攻撃のスピードと複雑さに対抗するには、ポイントソリューションを提供する従来のネットワーク中心のセキュリティツールではもはや不十分なことだ。このことは特に、運用技術（OT：Operational Technology）と情報技術（IT）の統合が続く中で顕著になっている。OTはさまざまな産業施設の操業において、機器や設備の接続、モニタリング、保護を行う。ITは、組織の情報を処理する基盤技術だ。

　「時間とともに、クリティカルなインフラを支える技術のデジタル化や、企業ITシステムへの接続が進み、時にはこれらの相互接続が行われるようになり、サイバーフィジカルシステムが構築されてきた」と、Gartnerのアナリストでバイスプレジデントのカテル・ティールマン（Katell Thielemann）氏は説明する。

　「CPSは、何年も前に導入された、セキュリティが組み込まれていないレガシーインフラと、新しい資産の両方で構成されている。新しい資産も脆弱（ぜいじゃく）性だらけで展開されている」（ティールマン氏）

　こうした進化により、クリティカルなインフラの基盤を形成する全てのCPSが、ハッカーやあらゆる悪意のある攻撃者による攻撃の重大なリスクにさらされている。

クリティカルなインフラストラクチャとは何か？

　米国では商業や通信、エネルギー、金融サービス、上下水道など、16の分野の基盤施設がクリティカルなインフラと見なされている。他の国も、同様の分野の施設をクリティカルなインフラと位置付けている。

　これらの各分野は、現代社会が円滑に機能するために重要なだけでなく、相互に依存しており、ある分野が攻撃されると他の分野に直接影響する場合がある。

　多くの国では、クリティカルなインフラは国有だが、米国のように民間企業がその大部分を所有し、運営している国もある。

（出所：Gartner　米国における16のクリティカルなインフラストラクチャ分野）

サイバーフィジカルシステムに関して認識すべき3つの予測

　クリティカルなインフラにおけるCPSは新しい分野であるため、精度の高いセキュリティ予測をするのは難しい。だが、Gartnerの戦略的計画の前提は、セキュリティの取り組みを検討し、それらに優先順位を付けるのに役立つ重要なシナリオを提示している。

　以下では3つの予測と、それらに関連して実行すべき施策を紹介する。

No．1：2024年までに、サイバー攻撃によってクリティカルなインフラストラクチャが大きな打撃を受け、G20加盟国が物理的な攻撃を宣言して応酬する。

施策：民間企業の防衛に近い将来関与することになる軍事指導者と緊密に連携する（連携の責任を確立するなど）。

No．2：2024までに、クリティカルなインフラストラクチャを運営する組織の80％が、サイロ化した既存のセキュリティソリューションプロバイダーに見切りをつけ、サイバーフィジカルリスクとITリスクに総合的に対処するハイパーコンバージドソリューションを導入する。

施策：CPSセキュリティスタックの統合を加速し、クリティカルなインフラ機器およびソフトウェアのサプライヤーを、個々の製品分野での最高のセキュリティ機能に照らして評価し、リスク軽減戦略を強化する。

No．3：2026年まで、米国のクリティカルなインフラストラクチャを所有、運営する組織のうち、サイバーフィジカルシステムについて政府が新たに義務付けたセキュリティ要件を満たすのは、30％未満にとどまる。

施策：OT、モノのインターネット（IoT）、産業用IoT、ITセキュリティがそれぞれ個別にではなく、協調的に管理される総合的なアプローチを展開し、適切なCPSセキュリティ戦略を策定する。また、機能のギャップを特定して埋め、脅威インテリジェンスのサポートに投資する。

サイバーセキュリティリーダーへのアドバイス

　総合的かつ協調的なCPSセキュリティ戦略を策定すると同時に、クリティカルなインフラのセキュリティに関する政府の新たな政策を踏まえてガバナンスを構築することが重要だ。

　例えば、米国のバイデン大統領が2021年7月に署名した「National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems」（クリティカルなインフラ制御システムのサイバーセキュリティ向上を目指す国家安全保障覚書）では、米国の優先的な取り組み分野として電力と天然ガスのパイプライン、次いで上下水道、化学を挙げている。

　同様に重要なのが、組織内で使用されているOTやIoTセキュリティソリューションの完全なインベントリ（棚卸し）を実施するとともに、スタンドアロンまたは多機能プラットフォームベースのセキュリティオプションを評価し、CPSセキュリティスタックの統合をさらに加速することだ。

出典：3 Planning Assumptions for Securing Cyber-Physical Systems of Critical Infrastructure（Gartner）

筆者　Robert Snow

Writer