　産業制御システムのソフトウェアをフルスクラッチで、全て一から作る企業はそう多くなく、何らかの形でオープンソースソフトウェアやサードパーティー製のソフトウェアを利用しています。しかし、組み込まれているソフトウェアや共通コンポーネントに脆弱性が発覚した場合の対応は分かれており、ベンダーによっては放置されているケースがあるそうです。大本のソフトウェアではパッチが提供されているにもかかわらず、最終的に組み上げられた機器には対応が行き渡らない状況を、N-day問題と表現しています。

　問題は、自社で利用している機器にどのような脆弱性があるのか、把握が難しい一方、攻撃者は脆弱性情報を知っているという、いびつな状態になっていることです。

　これに対し宮地氏は、米国で始まっている「ソフトウェアBOM」（SBOM）という取り組みを紹介しました。食品に成分表が示され、ハードウェア製品に部品表（BOM）が用意されているのと同じように、どのようなソフトウェアを使った製品か、誰にでも分かるように表示すべきではないか──という考え方です。

　脆弱性にまつわる問題は、経済産業省の鴨田浩明氏（商務情報政策局サイバーセキュリティ課企画官）も指摘していました。同省の産業サイバーセキュリティ研究会に設けられたタスクフォースの中で、この課題も議論されているといいます。

　「自前でソフトウェアを作る以外にも、アウトソースしたり、オープンソースソフトウェアを使ったり、いろいろな方法がある。その中でソフトウェアが安全だということを誰がいつ保証するのか、脆弱性が発覚したら誰が責任を取り、誰に知らせ、誰の負担でどう穴を埋めていくのかは課題の一つだ」（鴨田氏）。同氏は、技術的な面での対策だけでなく、保険のような社会的なシステムも含めて対策を進めていくべきだとしました。

サプライチェーンの隅々まで対策を行き渡らせるには？

　講演では、物理的な安全とセキュリティの両立、システム全体としての冗長性の確保といったテーマに加え、「サイバー・フィジカル・セキュリティ対策フレームワーク」の策定とそれに基づく施策が紹介されました。システムや人などのつながりを「サイバー空間」「フィジカル（物理）空間とサイバー空間」「企業間（サプライチェーン）」の三層に分け、セキュリティの在り方を考えていくものです。

「サイバー・フィジカル・セキュリティ対策フレームワーク」では「サイバー空間」「フィジカル（物理）空間とサイバー空間」「企業間（サプライチェーン）」の三層について、セキュリティの在り方を考える＝経産省の資料より

　宮地氏は海外の動きとして、米国の非営利組織MITERの「ATT＆CK for ICS」、米NISTの「ランサムウェアなど破壊的なサイバー攻撃の検知と資産保護に関する実践ガイド」のドラフトを紹介していました。

　その中で筆者が気になったキーワードは、「サプライチェーン」でした。「設計データなどの重要な情報も、サプライチェーンの下のレイヤーまで落ちていることが多い。そのため攻撃者はどこを狙うかというと、大企業本体よりもセキュリティレベルの低いところ、つまり全国に約360万社あるといわれる中小企業を狙う」（鴨田氏）

　鴨田氏は、18年～19年にかけて大阪商工会議所が行ったサイバー攻撃に関する調査・分析の結果を紹介しました（PDF）。約30社を対象にセキュリティ調査を行ったところ、その全てでサイバー攻撃を受けていたことを示す不審な通信が見つかりました。中には管理者権限を奪取されてやりたい放題の状態になっていたにもかかわらず、そのことを知らなかったケースまであったそうです。

　鴨田氏は「おそらく全国で同じような状況になっているだろう。かといって、中小企業に大企業並みの対策を求めるのは困難だ」と述べ、自社でできることはやってもらいつつ、サイバー攻撃の相談窓口「サイバーセキュリティお助け隊」など、さまざまな支援策を展開していく方針を示しました。

　ここでも浮上したのは「保険」です。「中小企業には人もカネもモノもない。サイバー保険でそこをある程度カバーできないかと考え、サイバーセキュリティお助け隊の枠組みに保険会社にも参加してもらっている」といいます。

ランサムウェア被害の拡大がサイバー保険の普及を後押ししている＝JPCERT/CC提供

　保険には、保険金により被害を埋め合わせて事業継続性を担保するという意味合いもあります。これまでは可視化されることがなかったサイバーセキュリティリスクが、保険契約を通じて保険料として定量的に示されることになり、それとのバランスの中でセキュリティ対策投資を検討できるようになる効果も期待されます。保険会社が提供する付帯サービスも、被害を受けた中小企業にとって大きな手助けになるかもしれません。

　自動車の所有者全てに強制保険である自賠責保険への加入が義務付けられているのと同じように、この先、サイバーセキュリティ保険も何らかの手助けになるかもしれません。

「疑わしくないメール」にも疑いの目を　猛威を振るうマルウェア「Emotet」に注意
複数のセキュリティ企業や組織が11月以降、マルウェア「Emotet」について注意を呼び掛けている。Emotetの流行は、もはや「怪しいメールに注意する」という対策だけでは通用しなくなりつつあることを示している。
“5G前夜”、IoT機器への攻撃に備えよ　対策の鍵は「自動化」と「ゼロトラスト」
「5Gのロールアウトに伴ってつながるIoTデバイスの数は劇的に増加し、それがセキュリティ上の弱い鎖になり得る」──イスラエルのセキュリティ企業、チェック・ポイントが警鐘を鳴らしている。対策の鍵は？
転職サイトのビズリーチ、OSSの脆弱性管理ツールを開発　きっかけは「社内の悩み」
ビズリーチが、オープンソースソフトウェア（OSS）の脆弱性管理ツール「yamory」を公開。サイバーセキュリティ事業に参入した。このyamoryは、現場の悩みから生まれたツールだという。
人の頑張りだけではもう無理？　増えるIoT機器のセキュリティ管理、助っ人はAI
この先も確実に増加し続けていくIoT機器、あるいはネットワークにつながるICSを、これまでのようにセキュリティ担当者の頑張りだけで守っていくのは困難です。セキュリティベンダーはその強力な助っ人として、AIや機械学習の活用を提案しています。