2024 年 03 月 11 日
欧州サイバーレジリエンス法案対応とともに知るべき、セキュリティ標準規格の対策レベルと攻撃者の目的とは
~ 押さえておきたい!IoT サイバーセキュリティ対策最前線シリーズ ~
IEC62443 は、サイバーセキュリティ対策要件の業界横断的に共通項を網羅してある一方で厳しすぎる側面もあります。サイバーセキュリティ対策を検討する上で、情報資産の重要性(想定被害と影響範囲)と対策に掛けるコストのバランスが重要になります。例えば通信機能を持つおもちゃと電力インフラを制御するような機器に同じセキュリティ要件を強制するのはナンセンスであることは説明するまでもないでしょう。IEC62443 はそもそも重要インフラ防御を想定して策定されていたため、家庭用機器などには過重規格であることは事実です。そこで、各国とも一般家電など、サイバーセキュリティ攻撃対象になりにくいもの、攻撃されても被害が限定的もしくは軽微と想定される機器向けのラベリング制度も策定しています。
- 欧州 :ETSI EN303 645
- 米国 :NISTIR8259
- 日本 :IoT 製品に関するセキュリティ適合性評価制度(経産省策定中)
いずれも IEC62443 の規格よりは要件を緩和しているものの、対象機器が無線機器(日本の場合は技適対象製品)から一般家電まで広がっています。
脆弱性問題は共通
サイバーセキュリティ対策は多岐にわたり、ゼロトラストアーキテクチャに必須の信頼の基点の運用や内部犯(内部作業ミス含む)によるものなども対策が必要です。近年、脆弱性対応の不備に起因する被害が増加し、脅威の上位を占めていることから、脆弱性対策が最優先課題になっています。
IPA が毎年情報セキュリティ 10 大脅威を発表しており 2023 年組織に対する脅威の 1 位はランサムウェアによる被害、2 位はサプライチェーンの弱点を悪用した攻撃、3 位は標的型攻撃による機密情報の窃取となっています。
これらはシステムにおける脆弱性を偵察、悪用する事でキルチェーンが成立し被害化したものであり、脆弱性対策が適切になされていれば防げた被害です。サイバーセキュリティを考える上で攻撃者がどのような目的でどのような手段で実行しているかを知ることも重要です。
公安調査庁の公開情報 によれば、脅威主体(サイバー攻撃者)は単なる愉快犯ではなく、金銭・政治・テロ目的が中心であるとされています。中でも APT グループ(Advanced Persistent Threat: 高度で執拗な脅威)は最大の脅威であり、国家などの支援を受けて行われることが多く主に情報を盗むことを目的としています。APT は綿密な計画に基づいて緻密に、広範囲を強い意志を持って攻撃します。
サイバー攻撃はある日突然起きるわけではなく、かなり長い期間を掛けて偵察しシステム全体を把握したうえで、脆弱性とその影響力を特定し攻撃手段を設計します。攻撃手段の設計までに 6 か月から 1 年程掛けていると言われています。近年日本ではシステムに対する偵察行動が1IP アドレスあたり 1 日 8,000 件近く観測されており、99.9% が海外から行われていることが 警察庁 から公表 されています。偵察行動そのものは脅威ではないが、脆弱性が特定され武器化されるとキルチェーンが次のステージに進み標的型、フィッシングなどの攻撃手段へ移行してしまいます。
次回 は、IoT 機器がサイバー攻撃に狙われる理由と欧州サイバーレジリエンス法案がもたらす影響について解説します。
関連 Web サイト
- IoT・組込み Linux 向け SBOM 管理 & 脆弱性通知サービス「Timesys Vigiles」
- 脆弱性・脅威から長期に渡り産業機器を守る IoT・組込み開発向け Linux ディストリビューション「EMLinux」
- ゼロトラスト環境で不正なデバイス、コードから産業機器を守る「 セキュア IoT プラットフォーム 」
- 省電力化、機器の小型化と産業機器の DX を拡大する組込み Linux 超高速起動ソリューション「Warp!!」
- 突然の瞬断や停電から産業機器を守る高信頼性ファイルシステム「Tuxera」