クリティカルなインフラストラクチャのIT融合に関するセキュリティ対策の前提とは：Gartner Insights Pickup（256）

CIO（最高情報責任者）やサイバーセキュリティリーダーにとって、クリティカルなインフラストラクチャのサイバーフィジカルシステムに注意を払い、これらに関する将来予測を踏まえてセキュリティ対策を立てることは、これまで以上に重要になっている。

[Robert Snow, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

要約

• クリティカルなインフラのサイバーフィジカルシステム（CPS：ITと融合した物理機器／産業システム）のセキュリティに関する懸念が高まっている
• リスクは重大であり、現実に存在する。攻撃が壊滅的な被害をもたらす恐れがあるが、攻撃者がこっそり気付かれずに何年にもわたって準備し、攻撃の機会をうかがっているかもしれない。そこで世界各国の政府がミッションクリティカルなCPSについて、セキュリティ対策強化を義務付けている
• セキュリティとリスク管理のリーダーは、Gartnerの予測を参考に、潜在的なリスクに備えて対策を進められる

　重大なリスクが現実のものとなっている。クリティカルなインフラを運営する組織への攻撃が急増中だ。2013年の攻撃件数は10件に満たなかったが、2020年には400件近くに達し、この間の増加率は3900％に上った。

　こうした攻撃は、ビジネスや社会に致命的な影響を及ぼすことがある。にもかかわらず、不正侵入が発生しても、組織は見過ごしてしまいがちだ。それを考えれば、世界各国の政府がミッションクリティカルなサイバーフィジカルシステムのセキュリティ対策強化を義務付けているのは、驚きではない。

　問題の核心は、今日のサイバー攻撃のスピードと複雑さに対抗するには、ポイントソリューションを提供する従来のネットワーク中心のセキュリティツールではもはや不十分なことだ。このことは特に、運用技術（OT：Operational Technology）と情報技術（IT）の統合が続く中で顕著になっている。OTはさまざまな産業施設の操業において、機器や設備の接続、モニタリング、保護を行う。ITは、組織の情報を処理する基盤技術だ。

　「時間とともに、クリティカルなインフラを支える技術のデジタル化や、企業ITシステムへの接続が進み、時にはこれらの相互接続が行われるようになり、サイバーフィジカルシステムが構築されてきた」と、Gartnerのアナリストでバイスプレジデントのカテル・ティールマン（Katell Thielemann）氏は説明する。

　「CPSは、何年も前に導入された、セキュリティが組み込まれていないレガシーインフラと、新しい資産の両方で構成されている。新しい資産も脆弱（ぜいじゃく）性だらけで展開されている」（ティールマン氏）

　こうした進化により、クリティカルなインフラの基盤を形成する全てのCPSが、ハッカーやあらゆる悪意のある攻撃者による攻撃の重大なリスクにさらされている。

クリティカルなインフラストラクチャとは何か？