ホームIT製造業のサイバー攻撃対策で網羅すべき「アタックサーフェス」

IT Insight

製造業のサイバー攻撃対策で網羅すべき「アタックサーフェス」

レンテックインサイト編集部

現代の企業にとって、サイバー攻撃はどんな規模・業種であってもその被害に遭いかねないことから無視できない存在となっています。特に製造業ではIoT機器、OT設備、エッジコンピューティング、人的ミスなどリスク要因が多様化しており、その対応に追われる状況が恒常化しているのではないでしょうか。
さて、現代型のサイバー攻撃対策において「アタックサーフェス」という言葉を耳にすることがあります。本記事ではその意味やセキュリティホールとの違い、アタックサーフェスを網羅する方法など、実用的な知識をお届けします。

アタックサーフェスは“サイバー攻撃の対象領域” 脆弱性、セキュリティホールとの違いは?

アタックサーフェス(攻撃対象領域)とは、その名の通りサイバー攻撃の対象となる「領域(IT資産や仕組み、システム、ネットワーク)」を指します。
例えば、インターネットに接続されたPCやサーバー、ソフトウエア自体のバグや脆弱性、ユーザー認証やログインの仕組みなどがアタックサーフェスにあたります。

サイバー攻撃で注意すべき領域を指す言葉にはほかに、「脆弱性」や「セキュリティホール」があります。こちらのほうがよく耳にするという方も多いでしょう。

脆弱性・セキュリティホールもアタックサーフェスと似たような言葉ですが、それぞれの意味は異なります。
脆弱性はその名の通り、企業のシステムや仕組みにおける脆弱な箇所であり、攻撃者がシステムへ侵入したり、機密情報を盗み出したり、不正な操作を行ったりできる可能性がある欠陥や不備の全体を指します。セキュリティホールは脆弱性の一部ともいえます。
一方、セキュリティホールは、脆弱性のうちシステムやソフトウエアの設計、機能上の問題によって、攻撃者が攻撃できる不具合や不備を指します。
要するに、脆弱性はセキュリティ上の問題の全体を指し、セキュリティホールは、その中でも具体的な脆弱性の一部ということです。

サイバー攻撃の量が何倍にも増加し、複雑性が高まった現代において、セキュリティ上の弱点を塞ぎ、脅威に対し完全な対策を施すことは難しくなってきています。そこで、どのような領域もサイバー攻撃者に狙われる可能性があるという認識のもと、できる限り攻撃可能な領域を減らし、インシデント発生時の対応も含め「面」で対策する「アタックサーフェスマネジメント」が重要性を高めているのです。

特に製造業では、データ活用やリモートワークの普及といったマクロな環境の変化に加え、IoT、OTとITの融合などスマートファクトリー化が進められることで、アタックサーフェスも拡大し続けています。

DXを一歩進めると同時に、アタックサーフェスが拡大している可能性があるため、そのたびに把握しなおす必要があるという意識を持つことが求められます。

アタックサーフェスをどう把握すればいい?

アタックサーフェスマネジメントの重要性については同意するものの、結局どう管理すればよいのか分からない……という悩みに対しヒントとなるのが、経済産業省が2019年に策定・公開した『サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)』です。

現実とサイバー空間を高度に融合させ、社会の発展につなげる「Society5.0」(詳しくは『Society 5.0とは? 製造業への影響、アフターコロナ時代の方向性を解説』をご参照ください)におけるサイバーセキュリティのフレームワークを標榜して作成された同資料では、サイバー攻撃のリスク源(≒アタックサーフェス)となりうる構成要素を以下の6つに分類しています。

  1. ソシキ:バリュークリエイションプロセスに参加する企業・団体・組織
  2. ヒト:ソシキに属する人、及び価値創造過程に直接参加する人
  3. モノ:ハードウェア、ソフトウエア、及びそれらの部品。操作する機器を含む
  4. データ:フィジカル空間にて収集された情報、及び共有・分析・シミュレーションを通じて加工された情報
  5. プロシージャ:定義された目的を達成するための一連の活動の手続き
  6. システム:目的を実現するためにモノで構成される仕組み・インフラ

引用元:『サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)┃経済産業省』17ページ

「バリュークリエイションプロセス」とは、企業がユーザーに価値を届けるまでの過程を指し、サプライチェーン、エンジニアリングチェーンを包括する概念です。上記の6分類と、下記の3層構造を物差しとして、自社のバリュークリエイションプロセスを図式化することが、網羅的なアタックサーフェスマネジメントにつながります。

  • 第1層「企業(組織)間のつながり」
  • 第2層「フィジカル空間とサイバー空間のつながり」
  • 第3層「サイバー空間におけるつながり」

引用元:『サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)┃経済産業省』13ページ

『サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)』では、製造過程の例やコネクテッドカーのバリュークリエイションプロセスをユースケースに、アタックサーフェスごとの脅威・脆弱性を洗い出し、対策例に至るまで添付資料にまとめています。

同じく経済産業省からはより製造業に特化した資料として『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』もリリースされました。同ガイドラインではDX推進が求められている電子機器メーカーをユースケースにセキュリティ対策企画・導入の進め方が解説されており、参照することでよりアタックサーフェスマネジメントを現実の工場システムにあてはめるイメージがつかみやすくなるはずです。

アタックサーフェスマネジメントで重要な「優先度の評価」

アタックサーフェスマネジメントにおいて重要なのが、リスクを「面」として把握し網羅するとともに、各インシデントの発生可能性や事業への影響度を正確に見積もり、優先順位をつけることです。

サイバー攻撃の手法が多様化・複雑化している一方で、そのサイバー攻撃のほとんどが代表的な脆弱性を悪用したものであるとする統計もあり、各リスクのセキュリティ要求レベル(「業務上の重要度×脅威レベル」など)の評価は不可欠です。
評価を行うためのツールとしては「CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)」、「脆弱性スキャナ」、「サイバーエクスポージャー管理プラットフォーム」などが挙げられます。

それらの適切な選定・活用もアタックサーフェスマネジメントに直結するポイントです。

サイバー攻撃のリスクに対抗する手法も進化を続けている

DXが進展する中で重要性を高める「アタックサーフェス」マネジメントの重要性とその手法、ヒントになる資料などをご紹介してまいりました。
サイバー攻撃のリスクが高まるのに応じて、セキュリティ対策のガイドラインやツールも日々進化を続けています。まずは、ご紹介した6分類や三つの層などを用いて、自社のバリュークリエイションプロセスを分析することに取り組んでみてください。

IT Insightの他記事もご覧ください

Prev

Next