サイバーアタックが何かと話題だ。社会インフラや産業基盤にかかわるシステムが誤動作や暴走を起こしたら、被害は甚大なものになる。リスクを認識し、必要な対策を講じることが重要なのだが、しかし的確な判断と指示を示せる能力の備えた高度セキュリティ人材がいないことにはどうにもならない。その育成を目指すIPA産業サイバーセキュリティセンター(ICSCoE)に行ってきた。
情報処理推進機構(IPA)に産業サイバーセキュリティセンターが設置されたのは昨年4月。直後に開かれた発足記念シンポジウムで、センター設置の目的や人材育成策の概要などが公表され、7月から本格的な事業がスタートしている。今回はIT記者会の要請に応えるかたちで、2月23日(金)午後5時から、同センターの内覧・説明会が開かれた。会合に臨んだのは副センター長の田辺雄史氏、IT記者会の参加者は12人だった。センター内を見学する前に行われた田辺氏のレクチャーを再録する。
山奥に置かれたPCが入り口になるかも
田辺 今日はお忙しいところ、お集まりいただきありがとうございました。最初にご理解いただきたいのは、写真の撮影です。このセンターは秘匿しなければならない何かがあるわけではないのですが、サイバーセキュリティ対策を研修する人材が、企業から派遣されてきています。派遣している企業からすると、その人の顔が表に出ちゃうのはヨロシクない、と。あとで人材の引き抜きに利用されてもいけないので、写真はNGということにしています。ですがここ(レクチャー会場)は構いません。私の顔でよろしければ(笑)。
折角の機会ですので、センターの中を見ていただく前にこのセンターの概要をご紹介しますと、IPAとしては新しい取り組みと言っていいかと思います。セキュリティというと、多くの方が思い当たるのは「コンピュータ・ウイルス」や「ハッカー」という言葉でしょう。またその対象は単独のシステム、せいぜいオンラインの枠にとどまっていました。あるいはホームページが書き換えられるとか、SQLインジェクションと呼ばれるWebアプリケーションの脆弱性を突いてシステムに侵入するといった不正アクセスでした。ところが業務系のITと制御系のOT(Operation Technology)が相互に乗り入れて、その先にIoT(Internet of Things)があって、ITがモノを動かす時代になりつつあります。
これまでの被害はデジタルな世界でしたけれど、IoTになるとフィジカルな被害に直結します。フィジカルな、というのは物理的な事故ですとか人命にかかわる機械・装置の誤動作とかです。社会インフラや産業基盤へのサイバーアタック、これは日本では大きな事件・事故が起こっていませんけれど、2003年にアメリカで原発が5時間にわたって異常停止したことがありました。2014年にはドイツで溶鉱炉が損傷していますし、ウクライナで大停電が発生しています。通信サービスですとか鉄道、航空管制なんかで起こったら、社会は大混乱してしまいます。当然ですが、日本は独自のプロトコルだから、とは言っていられません。
例えば山奥の水力発電所に置かれているノートパソコン、それに遠隔地からネットワークで監視したり制御するんですが、これがアタックの入り口になるかもしれません。メンテナンスコストを下げるためにITを利活用したところ、それが穴になってしまう。あるいはUSBメモリが穴になるかもしれません。
第1期76人が実践的な演習に取り組む
そうなると、業務系のITの知識・技術だけじゃダメで、といって制御系のOTの知識・技術だけでもダメで、両方を併せ持って、状況を的確に判断できて、適切な判断ができる人材が必要になってきます。ということで、昨年4月にこのセンターが設置されました。当センターの背景はそういうことです。
で、ここで何をやっているかといいますと、まず教育研修です。学校というより実践的な演習の場と言ったほうがいいと思いますが、企業から選りすぐりの人材が1年間、毎日ここで国内留学するイメージです。昨年7月から今年の6月末までが第1期でして、現在は76人の方が演習に取り組んでいます。
年齢別では20代が26人、30代が33人、40代が17人、IT系が51人、OT系が8人、IT/OT両方が14人といった構成ですが、各社ともエースを1年間、現業から離して、しかも年300万円、わたしたちはそれ以上の価値があると思っていますけれど、300万円も出して当センターに派遣するわけですから真剣です。
最初の3か月は「プライマリー」と名付けて、参加者のレベル合わせといいますかチームビルディングといいますか、そういう期間に当てています。所属する産業、企業によってリスクの認識が違いますし、ITとOTでは基本的な考え方が違います。業務系システムはおかしければいったん止めることができますけれど、制御系システムは止めることができません。止めてから考えるというのと、絶対に止めないというのは、リスク評価や対策への温度差となって現れるんですね。
最初の3か月、ITとOTは金星人と火星人が会話をするようなものですし(笑)、鉄鋼、金融、電力、石油化学など業種によって言葉が違ったり安全・安心の認識が違います。まだ参加はないのですが、自治体も水道とか再生可能エネルギーとかがありますから、参加していただけたら、他の産業の方々と相互に刺激し合えていいんじゃないかと思っています。
リスクのレベルを体験的に学ぶ
もう1つは教えたり演習するための前提となるアタック手法の情報収集ですとか分析です。外部のホワイトハッカーの協力が欠かせません。現状のトレンドから、近い将来にこんなアタックがあるんじゃないかと想定して、演習に結びつけるわけです。実際にサーバーを組み立ててもらって、夜のうちに先生がアタックをかけておく。翌朝、研修生が「何か変だぞ」と気がついて、修復して対策を講じる。そんな感じです。
プログラムとしては7~9月のプライマリーが終わって、10月から翌年1月までが基礎演習の「ベーシック」、現在は2~4月まで上級演習の「アドバンス」に入ったところです。ちょっと見るとオモチャみたいですが、エレベーターやベルトコンベア、水流制御といった模擬システム、あるいは模擬的な鉄鋼圧延や鉄道運行、発電のシステムを用意して、それを素材にログを分析して対策を講じる。なぜその対策を選んだのか発表してもらったりすると、ものすごく勉強になるんです。
3つ目は実証実験です。テーマがセキュリティにかかわることなので、どこで、どんな内容の実験をやっているかは話せないのですが、IPAのセキュリティセンターと連携してやっています。その成果を演習で共有することで、参加企業のサイバーアタック対策に役立ててもらう取り組みです。
このセンターの特徴は、ただの座学じゃないということです。技術を学ぶだけなら、セキュリティ関連の製品やサービスの会社が講習会をやっています。自社の製品やサービスを使ってほしいからで、それはそれで意味があります。ここでやるのは、実際に動いているシステムを止めたり誤動作させるのはできないけれど、擬似システムならいいだろう、ということです。サンドボックスなど、擬似的な世界でサイバーアタックを経験することが重要です。
それによって、リスクのレベルを認識することができます。所属する産業や企業によってリスクの度合いは異なりますが、完璧なセキュリティ対策はないという前提に立って、どこまでやればいいのか、例えばそもそもセキュリティ対策が脆弱なWebカメラまで完璧にカバーするのか、という話です。それと何かが起こったとき、リモートで監視してログ分析をするだけでいいのか、現場まで行って肉眼で確かめる必要があるかもしれません。それを体験的に学ぶことができます。
もう一つ、人的ネットワークが構築できるのも当センターの大切な機能です。講師の方々ばかりでなく、一緒に考え意見を交換した異業種、異企業の研修生の方々と、ここを卒業したあとも情報を交換することができる。講師のなかにはアメリカ政府の元サイバーテロ対策チームの方やセキュリティの専門家もいますから、世界のいろんな人とつながって情報を共有することもできるわけです。
現実に起こり得るシナリオ
当センターのカリキュラムを修了すると登録情報セキュリティスペシャリスト(情報処理安全確保支援士)の資格を得ることができるんですが、当センターが目指すのはそれ以上の人材、難しい技術的な課題や対策を経営者にわかりやすく伝えることができる人材を育てることです。技術的なことを専門用語で説明しても、経営者には通じない。予算が必要です、と言っても経営者が理解できなければダメです。そこでセキュリティのリスクを経営的な視点で評価して予算化できるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)候補を育てたいと考えています。
最後に短期プログラムのことをお話しします。短期プログラムというのは、会社の経営層の方、CEOやCIO、CSO、それと現業の部門長や責任者などに、毎回2日のトレーニングに参加してもらうものです。業界共通トレーニングと業界別トレーニングが3回ずつ、毎回20人ぐらい、計6回で構成しています。
一種のウォーゲームでして、アメリカのアイアンネットサイバーセキュリティ社にオーダーメイドのプログラムを作成してもらいました。サイバーアタックは犯罪組織やテロ集団による意図的・組織的な攻撃ですから、例えば2020年のオリンピック開会式当日に大規模停電で大混乱を起こさせようとするサイバーアタックを、どうやって防ぐかという設定だったり、ドローンとか自動走行車とか、近未来的なシナリオもあります。参加者から「現実に起こり得る内容で、背筋が冷たくなった」という感想があったりします。
実際に役立つかというと、実は防災訓練のようなもので、事故や事件はシナリオ通りに起こるわけじゃありません。だから防災訓練がどれほど役に立つか疑問という指摘もあるのですけれど、何かが起こったとき、ヘルメットがどこにあって避難路はこうだ、ということが分かっているだけで対応がずいぶん違います。そのときマニュアルを読んでいたんじゃ間に合わない。ということで、それではセンターの中をご案内しましょう。(以下省略)
【関連記事】
