工場を“人質”に、ホンダ狙った「標的型」攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00001/04260/?P=2

『なぜ、今回の事例ではランサムウエアへの感染が工場の生産・出荷にまで影響を及ぼしたのか。報じられている情報によると、出荷前に製品の不具合の有無を確認する「完成車検査システム」と工場のコンピューターが接続できなくなったから、とされている。』
『今回のホンダの事例において、実際にどのような経路でマルウエアが社内ネットワークに侵入したかについては、公表されている情報からは分からない。一般に、以下の方法が考えられる。

・「フィッシング」と呼ばれる実在の組織や個人になりすました電子メールによるマルウエアの送り込み
・組織がインターネットに公開しているサーバーからの不正侵入
・代理店などの取引先を踏み台とした侵入
・USBドライブや制御システムの保守用端末などのモバイルデバイスを通じたマルウエアの送り込み
・生産設備のリモートメンテナンス用設備の悪用
・従業員による意図的な持ち込み(内部不正)
 報告されたランサムウエアには、ホンダ社内の情報系ネットワークに関する具体的な知識を活用している痕跡があった。このことから、実際に攻撃を発動する前に、何段階かの偵察的な侵入行為があった可能性もある。』
『〔工場は情報部門が「関わりたくない」領域〕
 製造業としては、事業に直結する生産プロセスの可用性・継続性を確保するためのセキュリティー対策を進めることが重要だ。そのためには、製造部門と情報部門が連携し、制御系ネットワークと情報系ネットワークを含めた全体の対策を検討・推進して必要がある。

 ところが、製造部門と情報部門の間で組織的あるいは文化的な相違があり、円滑なプロジェクト推進の妨げになっているケースが見られる。制御系ネットワークは、生産システムの付帯設備として製造部門が管理しており、従来は情報系ネットワークに接続していなかったこともあって、伝統的に情報部門の管轄外である場合が多い。情報部門の担当者にとって、内情が分からず、あまり関わりたくない領域である。一方、製造部門の担当者も、生産業務に必ずしも精通していない情報部門には口出しをしてほしくないと考えているものだ。

 このような歴史的経緯がある中、組織横断でセキュリティー対策を進めるには、トップレベルの経営幹部によるコミットメントや支援が何よりも重要となる。現場レベルでは、製造部門と情報部門の間での、価値観や文化、背景知識、言語などの相違がハードルとなり得る。こうした課題の解決に向けたアプローチの1つとして、両部門から少人数のコアチームを組成し、サイバーセキュリティー対策の対象となる資産の棚卸しや、その資産について事業/生産プロセス/品質管理といった観点からの重要度付け、解決すべき課題の洗い出しなどを実施することが効果的だ。1~2日のワークショップを開き、チームで一緒に議論し、一定の結論を出すとよい。共通の目標や課題を共有し、協働することで得られる共感や一体感が、以後のプロジェクトを進める上での土台になる。』

 ※ ヤレヤレな話しだ…。
 セキュリティーの強化、セキュリティー対策という「プライオリティー」の前では、「制御系ネットワーク」とか、「情報系ネットワーク」とかのへったくれも何も、無いだろうに…。
 そういう「セクト主義」的な振る舞いは、トップが一喝しないとな…。ホンダの社長の八郷さんは、経歴( https://ja.wikipedia.org/wiki/%E5%85%AB%E9%83%B7%E9%9A%86%E5%BC%98 )見ると、けっこうな猛者(もさ)なんだが…。やはり、なにかと遠慮があるのか…。あるいは、「ITとか、セキュリティーとか、ワシャよく分からん…。良きに計らえ。」というよくあるタイプなのか…。
 まあ、大企業になればなるほど、「セクト主義」「タコつぼ主義」が蔓延って(はびこって)、ニッチもサッチもになるんだろう…。

『具体的なサイバーセキュリティー対策としては、(1)見える化(Visibility)、(2)事前防御(Security Control)、(3)継続監視(Monitoring & Management)、という3つの観点で技術と管理プロセスを導入することが効果的だ。

 (1)の見える化は、あらゆるマネジメントの基本である。存在を把握していないものは管理できないし、セキュリティー対策も実施できない。

 制御系ネットワークでは、管理責任者が不明な保守用端末やリモートアクセスの出口など、いわゆる「シャドーIT」が存在する場合が多い。IT資産管理ツールやネットワーク分析ツールを活用することで、ネットワークの最新状況を効率的に一元管理することが可能になる。

 (2)の事前防御では、ファイアウオールやエンドポイントセキュリティーなどの一般的なセキュリティー対策技術を活用することが有効だ。制御系ネットワークに対しては、可用性や応答性能などの要件から情報系ネットワークと全く同じ対策を一様に導入することが難しいケースもある。

 だが、ネットワークの分割やアクセス制御など、生産オペレーションに影響を及ぼさない範囲で効果的な対策を導入することは可能である。例えば、ネットワークをセグメント化しておくことによって、サイバー攻撃の難度を高めるとともに、サイバー攻撃を受けた際の被害範囲を最小限に抑える効果も期待できる。

 (3)の継続監視も重要だ。防御側が外部とのあらゆる接点で完璧な事前対策を実施することは時間的にもコスト的にも実質的に不可能である。ホンダの事例のような標的型攻撃では、前述の通り事前に偵察的な行為がなされることがあり、継続監視によって偵察行動を察知できれば、被害が発生する前に対応できる可能性が高まる。』