経済合理性だけではない、サスティナブルで安心・安全な社会の実現に向けて、世界は動いています。そのために大きな役割を担うのが、 CPS（Cyber Physical System）です。CPSは、実世界（フィジカル）にある多様なデータを収集し、サイバー空間で分析した結果から実世界に価値をもたらすことによって、産業の活性化や社会問題の解決を図るものです。
本記事では、IoT活用をはじめとしたSociety 5.0やSDGsが描くスマートな未来とCPSを重ねながら、CPSの意味とセキュリティの現状を整理し、未来のために今から創るべきCPSセキュリティを考えます。

目次

• CPSの役割とセキュリティの特徴
• サイバー情勢の変化～今を読み解き未来を考察～
• CPSセキュリティの課題～現在の事例から学ぶ～
• セキュリティ人材は何をすべきか～2つのCPS、今から取り組むこと～
• まとめ

CPSの役割とセキュリティの特徴

2030年、「Society 5.0」と呼ばれる新たな社会の到来により、我々は様々な社会課題を解決していると考えられます。ICTの進化と浸透が繰り返されて、サイバー空間と現実世界がシームレスにつながり、利便性に加え豊かさも獲得した人間中心の社会が実現すると言われています。

実現の鍵となるのが、第4次産業革命であり、それを支えるデジタル革新、IoT、そしてCPSです。国連が掲げるSDGsの達成にも、デジタル革新やCPSは不可欠と言えます。

CPSは重要な社会的役割を担う一方、犯罪者にも価値をもたらします。サイバー攻撃に利益をもたらす膨大なデータや情報のつながりはもちろん、攻撃の対象や影響が人々の暮らしに直結することは必至です。こうした中、私たちはどのように社会を守るべきなのでしょうか。

CPSセキュリティの本質的な課題は、IoTやOT等による技術の特殊性ではなく、利用形態の「普遍性」にあります。ICTの専門性を持たない大勢の人が利用・運用するものでありながら、セキュアでなければならないのです。

「Industry 3.0」によって登場したコンピューターは、利用が拡大し、今では「ネット社会」と呼ばれる通り私たちの日常に普遍的に溶け込んでいます。セキュリティの課題も、ホストコンピューターからネットワークセキュリティ、コンピューターウイルス、脆弱性攻撃、ソーシャルエンジニアリングへと積み重なり現在に至っています。CPSセキュリティの課題は、こうした現在のネット社会が直面している課題そのものだと言えるでしょう。

サイバー情勢の変化～今を読み解き未来を考察～

近年、サイバー情勢は刻々と変化しており数年前とは異なる様相を呈しています。警察庁に報告されるランサムウェア被害は、年々増加しています。幅広い産業がターゲットになり、特に製造業は全体の32％と大きな割合です（令和4年上期）。大企業はもちろん、中小企業や団体も狙われています。

また、病院、学校、電子政府などがターゲットになり、暮らしに影響を及ぼすサイバー事案も着実に増えています。IPAの「情報セキュリティ10大脅威 2022」を見ると、組織も個人も、詐欺、脅迫、不正利用などによって金銭と情報が盗まれ、犯罪に利用されている実態がうかがえます。

その背景では、いったい何が起きているのでしょうか。まず挙げられるのが、攻撃ツールのプラットフォーム化による、攻撃者の裾野の拡大です。 

近年、ネット上に展開される闇市場では、次のようにさまざまな犯罪ツールが取引されています。

• 脆弱性
• 悪性コード
• マルウェア生成ツール
• フィッシング用キット
• ボットネット運用管理システム
• 詐取された個人情報や認証情報

これらはXaaS（X as a Service）化されており、犯罪者は、犯罪行為をしたいときに、必要なものをサブスクリプションで利用できる環境が整っています。代表的なものがRaaS（Ransomware as a Service）やPHaaS（Phishing as a Service）です。

サイバー犯罪によって 詐取された情報は、仮想通貨を活用して闇市場で売買され、資金ロンダリングサービスによって洗浄されます。犯罪者がXaaSの提供者とコンタクトする際には、従来のダークウェブに加えて、サーフェスウェブのSNSコミュニティも使われるようになりました。ランサムギャング・ランサムアフィリエイト・IAB（Initial Access BrokerInitial Access Broker）のように、自然発生的な分業化・専門化も、各犯罪領域で進んでいます。

ICTの発展は言語の壁を超えることも容易にし、犯罪組織や活動は国境を越えています。日本を狙うグループも存在しており、闇市場では、日本人の個人情報、日本企業を狙うための情報、ツールが売買されています。

国家を頂点に、高度なスキルを持つハッカーがいて、その下に犯罪者がいるピラミッド型の構図が形成されていますが、特に犯罪組織による活動は増えていると言えます。被害者はICTの利用者であり、大企業から中小企業、団体、個人へと拡大しています。企業のセキュリティチームは、犯罪組織を相手に、これまでにない事象への対応を始めているのが現実です。

CPSセキュリティの課題～現在の事例から学ぶ～

「サイバーとフィジカルが融合し、企業や業界を超えたデータ連携が行われ、利用者が高度な利便性や豊かさを体験する」・・・このようなCPSの特徴を現時点で体現している好例が、Eコマース（EC）です。私たちはどこにいても、欲しいものをネット上で検索し、購入できます。決済も配送も難しいことを考える必要はありません。

その裏には、企業を超えたデータ連携があります。ECサイトの運営企業はもちろん、金融、決済サービス、運送業者など、多様な企業間をリアルタイムでデータが動きます。
世の中をネット社会に変化させたパワーを持つECは、便利な一方、裏では悪用もされています。フィッシングやWebスキミングにより、さまざまな個人情報が盗まれ、闇市場で売買されています。特に、クレジットカード番号の盗用による被害額は、1年間で300億円を超えています。多額の資金が日本国内から犯罪者の手に流れているのが現実です。

ここで課題となるのは、自社だけでは対応が難しいということです。犯罪者はECサイトの偽サイトを使って、ユーザーからログイン情報、カード情報、個人情報を盗みます。盗まれた情報は闇市場で売買され、それを購入した別の犯罪者が、本人になりすましてECサイト上で買い物をします。ショップから発送された荷物を受け子が受け取り、商品が換金されます。

EC企業にとって、自社システムの脆弱性の悪用・システムへの侵入・システム障害といったインシデントが発生せず、問題の大部分が社外で発生します。犯罪者による不正ログインを見分けない限り、普通の買い物とみなされてしまいます。ソーシャルエンジニアリング、すなわち「人をだます」行為を中心とする手口のため、従来のセキュリティシステムによる検知・防御は困難です。

こうした中、EC業界のSIRT（Security Incident Response Team）は新たな課題に取り組んでいます。「不正ログイン対策」「不正アカウントの作成対策」「ログイン後の挙動の検知」といった対策に加えて、社外で起こる事象にも対策を始めています。

例えば「偽サイトの発見と対処」「対応プロセスの自動化」「フィッシングメール対策やユーザーの啓発」「ユーザーからの相談受付窓口の強化」などです。また、サプライチェーンの中では「決済会社の照合の強化」「ショップや運送会社と連携した対策フローの立案・導入」「不審な利用者・手口の情報共有」も始まっています。

こうした事例や考え方は、CPSに置き換えることができます。スマート工場を例に考えてみましょう。工場を対象に境界防御を行うだけでは不十分です。次のような点を考慮する必要があります。

(1) アタックサーフェスの増加

社内システムに工場が加わることで、攻撃者の侵入経路が増えます。例えば、工場ネットワーク、設備、出入業者、メンテナンス用VPNなどがアタックサーフェスになります。

(2) ソーシャルエンジニアリングへの対応

どんなに堅牢なシステムでも、従業員になりすまして侵入される可能性があります。従業員がだまされないようにすること、だまされた場合にも従業員かどうか見抜くことが重要です。

(3) 不正利用の対策範囲の拡大

出入業者になりすます、機器になりすます、取引先向けサービスやリモート保守が悪用されるなど、不正利用の範囲を広げて考えなくてはなりません。

(4) 社外で起こる事案への対応

偽のログイン画面の発見と対処、自社を名乗る不正行為、関係者の端末感染への対応など、社外で起きる事案にも対応する必要があります。

CPSでは、サイバー犯罪の脅威と向き合い、セキュリティの守備範囲を拡大しなくてはなりません。従来の侵入手口だけではなく、脅迫、詐欺、なりすまし、不正利用や不正アクセス、マルウェア感染、情報の詐取などに対応することが求められます。

セキュリティ人材は何をすべきか～2つのCPS、今から取り組むこと～

それでは、セキュリティの人材はいったい何をすべきなのでしょうか。CPSの実装タイプを2つ挙げて、それぞれの取り組みの勘所を紹介しましょう。

CPSの実装タイプは、次の2つに大別できます。

1. 産業CPS：スマート工場、スマートアグリカルチャー、発電所など
2. 社会CPS：スマートシティ、MaaS（Mobility as a Service）、福祉、防災、デジタル政府など

それぞれどのようなセキュリティ課題があるのでしょうか。

産業CPSのセキュリティ課題は、「既存の業務スコープではカバーできなくなってきた」点です。従来からある社内システム、従業員のPC、公開サーバーなどの対応だけでなく、工場や事業部のIoT化、事業部門が立ち上げるクラウドサービス、機器開発や生産に工程おけるセキュリティ確保、出荷後に起こるセキュリティインシデント対応、社外で起こる各種インシデントへの対応が求められています。

社会CPSのセキュリティ課題は、「"自社の情報を守る"という考えが通用しない」という点です。例えば、スマートシティプロジェクトでは、システムのオーナーは市や団体ですが、システムの運用や保守には複数の企業が関わります。またセキュリティ上の守るべき対象は、システムが扱う情報資産だけでなく、不特定の市民や利用者、公共インフラそのものにまで広がります。

それぞれの取り組みの勘所はどこにあるのでしょうか。

＜産業CPSのセキュリティで取り組むべきこと＞
産業CPSのセキュリティで重要なのは、「どのような企業でも攻撃対象になることを踏まえて、特に発生確率が高い、ツール化された攻撃手法と犯罪組織から守ること」です。重要インフラや重要産業では、従来どおりAPTなどの高度な攻撃にも備える必要があります。

具体的には、下記の3点が重要です。

(1)アタックサーフェスの増加への対応

アセスメント、アセット把握、検知システムの導入などが効果的です。侵入を許さないことに加え、侵入されても攻撃を成功させない／被害を限定的にする考え方も肝要です。

(2)ソーシャルエンジニアリングへの耐性の向上

認証方法や権限管理の見直し（最小権限の徹底）、従業員や関係企業への教育が有効です。

(3)社外で起こるセキュリティ事案への対応

日ごろから社内各部署と連携し、有事対応の手順を整備しましょう。関係企業との連携や業界内外の交流からも、多くの知恵を得られます。

＜社会CPSのセキュリティで取り組むべきこと＞
社会CPSのセキュリティ対応で重要なのは「プロジェクト初期からセキュリティの基本対策を組み込むこと」です。

具体的には、下記の4点が必要だと言えるでしょう。

(1) インシデントの影響の明確化

リスクアセスメントを行い、インシデントの影響を明確化することが重要です。CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）、情報セキュリティのCIA（機密性・完全性・可用性）とHSE（健康・安全・環境）、利用者保護の視点も活用できます。

(2) 2種類のインシデントをアーキテクチャで防御

インシデントには2つのタイプがあります。侵入や感染などの「サイバー攻撃」に備えるセキュリティ対策、不正利用による「サイバー犯罪」に備える不正対策です。両者を考慮して、できる限りアーキテクチャ段階で対策をすることが重要です。

(3) 合同プロジェクトはセキュリティ推進機関を設置

複数団体の合同プロジェクトでは、セキュリティ推進機関やインシデント対応機関を設置しましょう。個々の企業の利害に流されず、有事の際のたらい回しを防いで、迅速に対応することが求められます。

(4) 企業や業界を超えた人材の交流、知恵の交換

守る範囲が拡大するため、1～数社の限られた経験・視点では、不足することも出てきます。多くの業界や企業の考え方を参考にする必要があるでしょう。

まとめ

Society 5.0、第4次産業革命、SDGsの達成におけるCPSとセキュリティの重要性について紹介しました。CPSはインターネット社会の延長であり、技術的な特殊性ではなく、普遍性とともにセキュリティの課題が拡大します。CPSの脅威は、サイバー犯罪の動向と密接な関係があります。

セキュリティ従事者は、「自社のシステムとデータを守る」という従来の取り組みから、「ユーザー、エコシステム、社会を守る」という取り組みに切り替えていかなくてはなりません。

マクニカは、皆さんと一緒にCPS の未来を描き、今後を創っていきます。

 

＼本記事の内容を、動画でご視聴いただけます／