導入事例
- TiFRONT(セキュリティスイッチ)
- PAS-K(ADC製品)
エイブリック株式会社様
製造業の工場にちょうどいい ―――――
エイブリックが “セキュリティスイッチ” を選択した背景を語る
エイブリック株式会社
<会社紹介>
| 営業開始 | : | 2016年1月 |
| 所在地 | : | 〒105-0021 東京都港区東新橋1-9-3 |
| 資本金 | : | 92.5億 |
| 事業内容 | : | アナログ半導体製品の設計、開発、製造および販売 |
| URL | : | https://www.ablic.com/jp/semicon/corp/ |
今、日本の製造業が狙われている。サイバー攻撃は激化しており、特に「ランサムウェア」被害が企業の規模や業種を問わずに行われている。警察庁が公開している「令和5年におけるサイバー空間をめぐる脅威の情勢等」において、大企業だけでなく中小企業もまんべんなく被害を受けており、その内訳から製造業の被害が最大となっていることが分かる。このグラフが示す事実は非常に重く、製造業のセキュリティ事情に課題がある事を暗示している。
図:ランサムウェア被害の報告被害件数は製造業が最も多い
「令和5年におけるサイバー空間をめぐる脅威の情勢等について」より引用
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
また、サイバー攻撃がもたらす“被害の質”も変わってきている。攻撃を受け、情報流出などの被害を報告した企業に対して行ったJCICの2018年時点の調査では、被害企業の株価が平均10%下落し、純利益は平均21%下落しているという結果を示した。サイバーセキュリティを安易に考える事は経営リスクであることが分かる。
図:一般社団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)が算出した、
セキュリティ事故による経営リスク(取締役会で議論するためのサイバーリスクの数値化モデル」より引用)
https://www.j-cic.com/pdf/report/QuantifyingCyberRiskSurvey-20180919(JP).pdf
しかし、注目したい点は、こうした企業は決してセキュリティ対策を何もしていないわけではなかったことだ。もはやウイルス対策ソフトをインストールしていない中小企業はなく、今ではEDR(Endpoint Detection and Response)などの導入も進んでいる。ただ、それでもサイバー攻撃による被害はあとを絶たない。もしかすると、着目すべき視点が攻撃側と防御側で違うのではないか ―――、とも考えられる。
特に被害が多い製造業では、セキュリティ課題として工場などのOT(Operational Technology)機器、スマートファクトリーを目指し導入するIoT機器そのものにウイルス対策ソフトを入れることが難しく、対処の手法が限られているという点だ。加えて、いま安定して動いている工場のラインに、新たな機器も入れにくいという事情もある。だが、Society 5.0、あるいはスマートファクトリー化に向かう製造業は、ここであきらめるわけにはいかない。製造業、特に工場であっても、有効なセキュリティ対策があるはずだ。
これから紹介する企業は、手法が限られたセキュリティ事情を考慮し、その“有効な対策”を、約10年前から実践している。東京・新橋に本社を構えるアナログ半導体専業メーカー、エイブリック社。同社では、パイオリンクのセキュリティスイッチ「TiFRONT」を活用し、同社の価値創造源泉である工場を日々監視し、守り続けている。その秘訣を聞いてみよう。
「2015年からTiFRONTを活用するエイブリック、そのキッカケは?」
エイブリックは、ミネベアアツミグループにおいて、アナログ半導体事業の一翼を担っているアナログ半導体専業メーカーである。世界初となるCMOS ICを搭載したクオーツウオッチの実用化を基点に、1968年に開発・製造の歴史がスタートしたアナログ半導体のスペシャリスト集団だ。東京・新橋に本社を構え、東北、関東に設計・開発・製造拠点を、世界各地に営業拠点を置き、1000人規模でグローバルに事業を展開している。
エイブリックは本社以外にも東北、関東に拠点を置き、世界各地にも拠点を展開するグローバルな企業でもある。その社内システムを率いるのが、エイブリック 情報システムセンター ITインフラチームだ。主な業務は同社のOA、OTを含むITインフラを運用するチームで、セキュリティに関しても取材冒頭「OAエリアと同じレベルのセキュリティを、OTエリアでも実施している」と述べる。
その具体策としてエイブリックは、2015年からパイオリンクのセキュリティスイッチ「TiFRONT」を活用している。導入を検討したキッカケはやはり、工場などのOT環境における制御端末をいかにして守るか、という課題からだったという。通常利用するPCならばエンドポイントに対策ソフトウェアを入れればよい。しかし、工場内の端末にはウイルス対策ソフトがインストールできない上に、ネットワークが分離されているため、パターンファイルのアップデートもできない。
分離されていることでいわゆる「境界型防御」が実現できているというだけでセキュリティ対策とした時代もあるが、エイブリックではOTエリアに“侵入”されてしまった場合のリスクを無視できなかった。何らかの方法で工場のOTネットワークに入り込んだ場合、攻撃者は他の端末への感染を狙い、横展開と呼ばれる行動を起こす。しかし、そこにはもはや防壁や対策はなく、好き放題に感染が進んでしまうことが、OTエリアにおける大きな問題だ。境界においてファイアウォールを設置するという対策も、「どんなに強固にしたとしても、未知の脆弱性の発見や何らかの攻撃手法が新たに生み出され、100万分の1でも発生する可能性があるならば対策が必要だ」とITインフラチームは述べる。
そして熟慮と情報収集を重ねたエイブリックのITインフラチームは「境界型」だけに頼るのではなく、工場内であったとしても、端末近くでのセキュリティ対策が必要だという結論に至る。
「セキュリティ対策を端末の近くで ―――」
工場内の制御機器そのものに、ウイルス対策ソフトをインストールすることはできない。ならばネットワークとして捉え、その端末のすぐ近くにあるスイッチに、セキュリティ機能があれば良いのではないか ――。図らずとも、エイブリックの考えはパイオリンクが提供するTiFRONTの設計思想と同じ結論となった。TiFRONTは「セキュリティスイッチ」と表現される製品で、いわゆる“島ハブ”と呼ばれるスイッチ製品に、通信の振る舞い行動を見て問題のあるパケットを検知し、必要があれば対象機器の攻撃通信のみを止めることができる機能を有するユニークな製品だ。このスイッチ+セキュリティ機器こそが、エイブリックのニーズとマッチした。
エイブリックは端末に最も近い場所で動くL2スイッチにセキュリティ機能を追加させたTiFRONT ― セキュリティスイッチを活用し、問題のある通信をいち早く検知する仕組みを実現する。工場内で"島ハブ"が置かれる箇所をTiFRONTに交換することで、他のセキュリティソリューションに比べても比較的安価でセキュリティ機能を向上できたという。
最近でこそ、フル機能のファイアウォール製品を多数配置し、何らかの挙動をファイアウォールで止めるという使い方が各社より提案されているが、どれも高価な選定となってしまう。エイブリックがTiFRONTを選定したのは「一番は価格のインパクトだ」と述べる。条件にもよるが ――――、と前置きした上で、制御系端末にも設定できるようなエンドポイントセキュリティ対策製品のライセンスに比べると、TiFRONTのようなネットワーク単位で対処を行うソリューションは「そこまで悪いコスト感覚ではない」と指摘する。この選定には当時からパイオリンクのエンジニアからも情報提供を受けており、他のソリューションに比べても機能的な面は変わらなかったという。
決め手となったもう1つのポイントは、パイオリンクのサポート力だと述べる。2015年当時はまだ一般的ではなかった、VoIPに対する攻撃を通信の中身からTiFRONTが検知、遮断する仕組みを、デモを元に実例で示されたことが大きかったとITインフラチームは懐古する。
「海外系のベンダーだと、日本では販売のみになりがちだが、数あるベンダーの中で、パイオリンクを選んだ理由は、ここまで自社製品を分かっている人が日本にいるという点が強かった。サポートの即応性がある点は導入前から感じていた。実運用に入ってもさまざまな調査にも対応頂いており、その予想は正しかったといえる」
パイオリンクでは現在、さまざまな提携パートナーとともにサポート体制を整えている。当時に比べても、期待以上の体制が整えられていることにも触れておきたい。製造業、特に工場のような場所こそ、端末の近くで不正な通信を検知できるセキュリティスイッチが有効なことを、エイブリックのITインフラチームは証明しているのだ。
「ウイルスそのものを止めるのではなく、悪意ある“挙動”を止める」
工場系のネットワークは、一度稼働してしまうとなかなか変更することはできない。安定稼働を継続するため、手を入れなくてもよいことが理想だ。そのような状況のなか、エイブリックでは10年近く稼働していたTiFRONT製品のリプレースプロジェクトが動いている。
新たな構成でも、TiFRONTが採用されたのは運用の手間がかからず、怪しい動きをこれまで正しくブロックしてきたことが評価された結果だ。特にエイブリックが注目するのは、その「見える化」の能力だという。問題ある通信はパイオリンクのノウハウやユーザーの設定値によりTiFRONTが検知、ブロックを行う。その様子は、新しく用意されたクラウド版管理コンソールをもとに、GUIの画面から通信状況を可視化できる。
もちろん、エイブリックでは他のセキュリティソリューションも稼働しており、境界型防御が併用されている。課題となるのはやはり、これまでの対策が通用しないエリアだ。工場はスマートファクトリー化でネットワークを外部と接続することが求められているため、境界型防御だけに頼り切ることは難しく、多くの製造業が悩んでいる。ITインフラチームのスタッフもカンファレンスなどで同業社が集まると、その部分のソリューションはどうしたらいいのかと話が盛り上がることが多いと述べる。
TiFRONTには、ウイルスそのものを判別し、駆除する機能はない。しかし、ウイルスが活動する“挙動”を止めることができる。ランサムウェアを始めとするウイルスは、1つの端末に感染した後、他の端末がネットワーク上にどのように存在するかを把握するため、偵察行為を行う。構成を把握した後、感染端末を広げ、例えばさらなる深い攻撃や、情報の窃取、暗号化などの悪意ある行為を行う。ウイルス対策ソフトは、外部から侵入したプロセスの挙動やファイルの特徴をつかみ、パターンファイルとマッチングしてウイルスそのものを判定する。この手法は一定の効果をもたらしたが、運用する場合、常に既知のウイルス情報を集め、それをパターンファイル化して各端末に配布しなければならない。工場でウイルス対策ソフトが使われないのは、パターンファイルの配布が難しいからとも言える。
TiFRONTが注目するのは、ほんの数バイトを変更するだけで亜種となってしまうウイルスを、パターンファイルによるマッチング対策ではなく、悪意ある“ウイルスの挙動”が起こす通信パターンを押さえることだ。
ランサムウェアを始めとするウイルスの一般的な活動は、端末が感染し乗っ取りが行われたあと、組織内部のネットワークにどのような端末やサーバーが存在するか、情報収集のフェーズに入る。折しも踏み台として使われた端末から、内部ネットワークのIPアドレスやMACアドレスといった、より低いレイヤーの情報を集め、つながる機器の脆弱性チェックやバージョンチェックが行われる。
TiFRONTは、その「ウイルスの調査活動」に使われる一般的なネットワークプロトコルや、特徴のある通信を検知し、しきい値を元にアラートを上げ、通信を遮断することができる。もちろん、それらの通信は通常の作業の中でも使われているが、ウイルスが発信する頻度とは大きく異なる。そのため、ウイルスの調査活動やラテラルムーブメントと呼ばれる社内拡散の挙動を検知、把握することで、ウイルスそのものを検知できなくても、ウイルスの動きを止めることができるのだ。
これこそが、セキュリティスイッチの利点だとエイブリックは考える。「端末に対策ソフトウェアが入れられないために無防備であっても、そこにつながるネットワークで対処を行う。ファイアウォールで大部分を止めたとしても、その下にある端末が感染することを防ぐために、端末に近い部分で対策ができるのは利点だ」とITインフラチームは述べる。
「ウイルスは日々進化しているが、通信パターンで見ると、攻撃に使われる手法はこれまでとさほど変化はない。枯れた攻撃手法をTiFRONTが把握し、安全に利用ができる」とエイブリック社は評価する。その結果、導入後に外部からのサイバー攻撃による、大きなインシデントは発生していない。「逆に、本当に我々が検知すべきものが漏れているのではと不安になるほど。不安なので、疑似攻撃のツールを使い確認を行ったところ、しっかり検知できていることが分かった」と述べるほどだ。
リプレース後も、エイブリックの拠点において130〜140台規模のTiFRONTが稼働している。かつてはTiFRONTを管理するサーバーを内部に設置していたが、いまではクラウドで管理する機能が活用されている。「これまでのGUIベースでの運用に慣れていたため、クラウド運用でのノウハウがまだ少ないが、検証を通じできることを確認している状況だ」と現状を振り返る。
「セーフリスト型フィルタリングと製造業の“相性”」
製造業でもう1つ課題となるのは、安定しているラインに、新たなセキュリティ装置を追加したことで起きるトラブルだ。例えば工場では、問題のないと分かっている通信のみを許可し、それ以外のすべてを遮断するセーフリスト型(ホワイトリスト型)のフィルタリングを用いて怪しい通信を排除する方法だ。これについてエイブリックのITインフラチームでは、「やり方としては正しい」と述べつつも、「その正しさを維持するために、すべての動作を把握し続けなければならず、新規の生産機器が導入されたりラインが変ったりするたびに常にアップデートをする必要がある」と述べる。これは運用の負荷増大につながり、現場でセキュリティ機能をオフにされてしまうなど、仕組みをないがしろにされる危険性がある。
その点でも、TiFRONTはちょうどいいという。「スイッチは“通す”ことが基本。その上でTiFRONTは、問題があると分かっている通信を検知し、ブロックができる。生産の現場においてもハードルが低く、導入しやすい」と評価する。
また、エイブリックのITインフラチームは、パイオリンク、およびパートナーのサポート力も評価する。他のベンダーにはない「セキュリティスイッチ」というカテゴリ製品に対しての説明や、展開時におけるサポートも正しく受けることができ、安心感と信頼感を得たという。ITインフラチームは「いまは問題のある挙動を正しく検知し、ブロックまでできたというアラートが表示されているが、今後はこれが実際にはどのような攻撃に近かったか、どう対処すればよいかまで出てくることを期待している」と、TiFRONTの将来像にも触れた。
最後に、ITインフラチームはTiFRONTをこう評価する――「他のセキュリティベンダーも、製造業向けや工場向けソリューションをたくさん出しているが、パイオリンクのTiFRONTと同様の設計思想がある製品はいまだに出てきていない。あのときの選択は間違っていなかったと思う」
