「新時代の価値創造」の裏に潜む脅威の足音
コメント
注目のコメント
つながる工場」が実現すると、情報セキュリティが重要になる。なるほどその通りだと思う。しかしながら、その「情報セキュリティ」とは「なにをすること」?となると、とたんにレベルが下がるのが所感。
例えば一般的な常識、「セキュリティパッチはすぐにあてて、常にOSミドルウェアは最新バージョンに」という方策は工場設備にはそのまま適用できない要素もある。
パッチをあてるのは予期せぬバグとの闘い、特に工場設備の場合、思わぬ誤動作をすると人命危機まで可能性がある。パッチのたびに稼働を停止し動作検証を全機械で行うのは相当な労力がかかる。酷いいかたをすれば、ウイルスは潜在的な危機であるとすれば、パッチは確実に正義の顔をしてやってくる安全/可用性リスクとまでいえる。
「情報セキュリティ」とは「最新のパッチにあてること」では決してない。本来の意味でのセキュリティ対策が必要になる。ネットワーク対策は絶対に必要だろう。「単なる情報漏洩」/「人命環境リスク」とセキュア要求レベルを明確化したうえで、「操作」レベルと「表示」レベルでセグメントをわける。細かくセルを区切り必要最低限の通信しか許可しない。ただ、その「必要最低限」を増やすのがIoTという矛盾。
旧来のブラックリスト方式ではなく、ホワイトリスト方式のアンチウイルスソフトは工場機器に向く可能性は大いにある。しかしながら、日本得意の「改善」文化に大いなる足かせとなる矛盾もはらむ。
検知のしくみも工夫する必要がある。最重要部分は必要最低限の通信しか許可しない環境が理想な中、いかに未知の攻撃を検知をするかというのはいささか矛盾したコンセプトながら喫緊の課題である。
検知後の対策も必要だ。工場は24H稼働、より無人化が進む中、「いざ」がおきたとき誰が一時対策を行うのか。具体的方策を考えられる人材すら欠落している現状、工場に3シフト2名セキュリティ対策を実施できる人材を配置/育成することはなかなか容易ではない。
IT側のセキュリティ対策は「漏洩リスク」対策だった時代背景、「最低限の労力で企業の最低限の姿勢を満たせばそれでいい」発想を、人命リスクまであるOT領域にまで適用しようとしてないないだろうか?
「IoTには情報セキュリティが重要」といっている人は多いが、具体的対策まで語れる人材はごく一握りしかいないのではないだろうか。