「情報セキュリティ 考えるべき2つの世界」ミツイワセキュリティニュース
2021年5月、サイバー攻撃により米国最大の石油パイプラインが停止、同国のエネルギー供給に大きな被害を与えました。近年、インフラ供給等、フィジカル空間への被害を狙ったサイバー攻撃が急増しています。21年3月には、仏国のデータセンターでも火災が発生し、数百万のウェブサイトが利用できなくなりました。これらの例のように、企業の持続的な事業運営のための情報セキュリティ対策は、サイバー空間、フィジカル空間の双方での取り組みが欠かせません。
また、IoTやAiの普及によって、あらゆるモノがインターネットに繋がり、サイバー空間とフィジカル空間が高度に融合する超スマート社会(society 5.0)において、一方の空間で起きた被害が他方に与える影響は、一層、深刻さを増しています。こうした社会動向を受け、19年4月、経済産業省から「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」が発行されるなど、デジタル化の急進によって生まれる新たな脅威へ対向するため、情報セキュリティを取り巻く環境も大きな変革期を迎えています。
新たな時代のセキュリティ対策 「 CPSF 」
様々なモノやデータが組織間、産業間をまたいで流通するsociety 5.0では、より柔軟で動的なサプライチェーンを構成することができます。society 5.0は、様々な産業へ恩恵が期待されていますが、一方で、サイバー攻撃がフィジカル空間に到達すること、フィジカル空間から侵入してサイバー空間へ攻撃を仕掛けること、被害の範囲が広範に及ぶことなどの脅威が懸念されています。このような脅威への対策をまとめたものが「サイバー・フィジカルセキュリティ対策フレームワーク(CPSF)」であり、今後の安全な事業継続のため、各産業から注目を集めています。
近年の情報セキュリティインシデントの傾向
ダークウェブ上でマルウェアの流通量が増えたことを背景に、サイバー犯罪の実行が容易になり、昨今では、サイバー犯罪のゴールドラッシュと呼ばれるほど、サイバー攻撃の被害が急増しています。電気やエネルギー、水道などの大規模なインフラ設備を狙った攻撃や、中小企業を狙うサプライチェーン攻撃など、標的、攻撃手法ともに多様化の傾向にあり、あらゆる企業が被害者になり得る状況といえます。
一方で、日本国内では工場火災が増加傾向にあります。原因の多くは電気系統のトラブルに依るものであり、国際的なコスト競争の激化により、セキュリティ投資が後手に回ったことが一因として考えられています。
| 2021年5月 米国・石油パイプライン | 米国最大のパイプラインが停止 |
| 2021年2月 米国・水道施設 | ハッキングにより水中の化学物質含有量が有害水準に |
| 2020年 インド・発電所 | マルウェアで送電網に異常。2時間停電 |
| 2017年 サウジアラビア・石化プラント | 電圧などの異常時に作動する安全装置に攻撃 |
| 2014年 ドイツ・製鉄所 | 標的型メール経由の乗っ取りで溶鉱炉の制御がきかず破損 |
society 5.0のセキュリティ対策のポイント
激化する国際競争を勝ち抜くため、ICT活用ひいては、セキュリティ対策は企業活動において必要不可欠な要素です。セキュリティ品質を価値(差別化要因)にまで高める経営戦略、すなわち「コスト」ではなく「投資」と捉えることで競争力を高めていくことができます。
高品質なセキュリティを担保するためには、計画性と網羅性が欠かせません。場当たり的な対処ではなく、現状把握から課題抽出、対策計画を立案した上で、サイバー・フィジカル双方の対策を網羅的に行うことが重要です。
サイバー攻撃は、攻撃者側が圧倒的に有利な立場にあり、攻撃手法も多様化する昨今では、インシデントを100%防ぐことは不可能だとされています。「インシデントは起こるもの」との前提から、インシデントに見舞われた時のレジリエンス(復元力)、説明責任などの対処について準備を進めておくことも必要です。
