ネットワークを介して工場の内外から収集した大量のデータを活用する、「つながる工場」がいよいよ現実のものになろうとしている。だが、そこで大きな課題として浮上するのがサイバーセキュリティーだ。ネットワークの利便性を享受しようとすれば、ネットワークに潜在するリスクと直面することが避けられない。工場がインターネットにつながる時代に、そのリスクにどう対処すべきなのか。サイバーセキュリティーの研究、ソフトウエア開発、コンサルティングなどを手掛けるFFRI代表取締役社長の鵜飼裕司氏に聞いた。(聞き手は、高野 敦=日経テクノロジーオンライン)

――現在、工場はどのようなセキュリティーリスクにさらされているのでしょうか。

鵜飼裕司(うかい・ゆうじ)氏
1973年徳島県生まれ。博士(工学)。コダック研究開発センターにてデジタルイメージングデバイスの研究開発に従事した後、2003年に渡米。カリフォルニア州のeEye Digital Security社に入社。セキュリティー脆弱性分析や脆弱性診断技術、組み込みシステムのセキュリティー脅威分析などに関する研究開発に従事。2007年7月、セキュリティーコア技術に関する研究、セキュリティー関連プロダクトの開発、コンサルティングサービスを主事業とするFFRIを設立した。情報処理推進機構の研究員(非常勤)を兼務し、コンピューターセキュリティーを取り巻く脅威の分析・対策立案のための活動に取り組む。総務省「クラウドセキュリティ研究会」、内閣官房「リスク要件リファレンスモデル作業部会」、同「連携マップ作成作業部会」、情報処理推進機構「自動車セキュリティ研究会」、同「制御システムセキュリティ検討会」など多数の政府関連プロジェクトの委員、オブザーバーを歴任。
[画像のクリックで拡大表示]

鵜飼氏:そもそも、工場などの産業施設に対してサイバー攻撃を仕掛ける側にとっては、金銭的なインセンティブが非常に大きくなっています。産業を超えて国家間の問題になる場合もあります。サイバーセキュリティーを取り巻く環境は深刻化しているのです。

――金銭的なインセンティブが大きくなっているということは、愉快犯的な動機ではなく、金銭や知的財産などを奪うためにサイバー攻撃を仕掛けているのでしょうか。

鵜飼氏:いわゆる反社会的勢力が資金を確保する手段して、従来の麻薬や銃といったものに加えて、新たにサイバー攻撃に着目しています。実際問題として、サイバー攻撃は非常にもうかります。奪った知財を現金に換えるスキームも既に出来上がっています。だからこそ、サイバー攻撃に手を染める組織が増えているのです。

 この状況で、製造業は主に3つのセキュリティーリスクに直面しています。

 1つめは、重要な知財や機密情報を奪われるリスクです。近年は大手重工業メーカーへのサイバー攻撃なども起きましたが、モノを造っている現場から非常に重要な情報が漏れる恐れがあります。

 2つめは、生産ラインやそこで稼働している制御システムが攻撃されるリスクです。生産ラインや制御システムが止まると、莫大な損失が生じます。国際的なセキュリティー技術者の会合「Black Hat」では、制御システムなどに対するハッキングがほぼ毎回話題になっていますが、同様のリスクを工場も抱えているわけです。

 そして3つめは、自社で生産している機器が市場に出回った後のセキュリティーリスクです。IoT(Internet of Things)やM2M(Machine to Machine)というキーワードの下、何でもインターネットにつながる世の中になると、自社生産品が取り返しの付かない事態を引き起こす恐れがあります。

 現在、自社生産品のセキュリティーリスクを出荷前にきちんと評価しようという機運が高まっています。テストベッドを設けてリスク評価に取り組む企業が増えています。