最近、サイバーセキュリティ分野のスタートアップ投資が加速しています。Momentum Cyberというサイバーセキュリティに関する調査会社のレポートによると、2021年上半期に世界のサイバーセキュリティスタートアップが調達した資金は115億ドル(≒1兆2,700億円)におよび、2020年上半期の約2.5倍に拡大しているそうです。
直近では、2022年1月に、GoogleがイスラエルのセキュリティスタートアップSiemplifyを買収することを発表しました。買収金額は明らかにされていませんが、こちらの記事によれば、約5億ドル(≒570億円)が対価として支払われたのではないか、と言われています。
サイバーセキュリティに対する関心が高まっている背景には、さまざまなファクターが絡み合っていると思いますが、その1つとしてコロナウイルス蔓延によるインターネットアクセス量の増加が挙げられます。例えば、VMware Carbon Blackの調査によると、コロナウイルス感染者がアメリカで拡大し始めた2020年2月〜4月に、オンライン取引が増えた金融機関を狙ったサイバー攻撃が急増したそうです。また、2020年6月にホンダの一部工場がサイバー攻撃を受けて稼働停止に追い込まれた事件は、リモートワーク社員が急増したことで、社内ITネットワークの脆弱性を突く攻撃も増加したことが関係している、という意見があります。
そして、サプライチェーンリスクマネジメントに関するブログでも言及しましたが、サプライチェーンがグローバルに広がる中で、1つの企業が受けるサイバー被害は、サプライチェーン全体にインパクトを与えます。(サイバー攻撃ではありませんが、)東南アジアの自動車部品関連工場で発生したコロナウイルスの集団感染によって、サプライチェーン全体が停滞してしまったというニュースは、記憶に新しいかと思います。
IDATEN Venturesとしては、以前から、特にものづくり・ものはこび企業が抱えるリスクについてブログを書いてきました(カーボンアカウンティング、ウォーターリスクマネジメント等)。今回は、そうした「リスク」の一つとして、昨今注目度が上がっているサイバーリスクについて調べていきたいと思います。
一方、「サイバーセキュリティ」と言っても範囲は広く、専門用語の理解、必要となる前提知識も少なくありません。今回は、自分自身これからぜひ注目していきたいということで、読者を「フワッとでも良いので、ものづくり領域×サイバーセキュリティに興味がありそうな方」と幅広めに想定し、そもそもサイバー攻撃・セキュリティがどのような歴史をたどってきたのか、そしてサイバー攻撃にはどのような種類が存在するのか、その中でも特にものづくり関連企業が抱えやすいサイバーリスクとして考えられるものはなにか、というイントロダクション的な記事にしようと思います。
*なお、昨今の状況を踏まえ注釈として追記させていただきます。以降、記事の中で「ウイルス」という言葉が繰り返し出てきますが、注釈がない限りコンピューターが感染する「ウイルス」のことを指しています。
(Source: https://pixabay.com/ja/photos/%e3%82%b5%e3%82%a4%e3%83%90%e3%83%bc%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3-%e3%82%aa%e3%83%b3%e3%83%a9%e3%82%a4%e3%83%b3-2296269/)
サイバー攻撃とセキュリティの歴史
もしかしたら私だけかもしれませんが、「サイバーセキュリティ」という言葉を聞いて「サイバー攻撃に対する防御壁」くらいのイメージはできるものの、具体的にどういった種類があるのか、と考えると今ひとつ解像度が高くない気がします。そこで、まずはサイバー攻撃とセキュリティの歴史を簡単に追ってみたいと思います。
こちらのブログに、1940年代から2010年代までの、サイバー攻撃とセキュリティの歴史が紹介されています。
【1940年代】 最初のデジタルコンピューターができたのが1943年。巨大なコンピューターが動く仕組みを理解している人は限られ、サイバー攻撃もほとんどなかった。コンピューターウイルスに関する理論が完成したのが、1949年と言われている。
【1950年代】 1950年代後半から、電話機に詳しいエンジニアが電話回線に侵入し、長距離電話を無料で利用する動きがサブカルチャー的に現れた。そういった「ギーク」なコミュニティには、Apple創業者のJobs氏やWozniak氏も含まれていたとか。
【1960年代】 1960年代半ばまで、ほとんどのコンピューターは巨大かつ高価で、温度調節された部屋に置かれ、アクセスは制限されていた。一方、一握りの好奇心旺盛な人々はハッキングに挑戦しており、こうした動きがコンピューター開発企業側のセキュリティに対する意識を促進させた。 コンピューターが小型化・低価格化し、より多くの人がアクセスするようになると、鍵のかかった部屋で管理しておくのが不便になり、パスワードでアクセス管理を行うようになった。
【1970年代】 1972年、インターネットの前身と言われているパケット通信ネットワーク ARPANET(The Advanced Research Projects Agency Network)を利用し、サイバー攻撃・セキュリティに関する実験が行われた。具体的には「Creeper」と名付けられたプログラムがネットワークに仕込まれ、「Reaper」というプログラムがCreeperを発見・削除するというもの。Reaperは初めてのアンチウイルスソフトとして誕生したが、同時に自身を複製できる機能を持っており、のちに誕生するコンピューターワームの発想につながった。 電話回線を利用してネットワークを構築する組織が増え、小型化・低価格化によって増えたハードウェアが、ネットワークへの「入口」を増やしていった。この頃から、急速にアメリカの研究機関・政府・軍を中心に、セキュリティに対する関心が高まった。 1979年、当時16歳の少年が、Digital Equipmentという企業が開発したコンピューターのOSにハッキングした。
【1980年代】 1980年代、研究機関や企業などにサイバー攻撃が増加。冷戦時代ということもあり、アメリカ国防省が「Trusted Computer System Evaluation Criteria」(信頼できるコンピューターシステム評価基準)を発表。 1986年、ドイツのハッカーがインターネットゲートウェイを利用して、ARPANETに侵入。400台の軍用コンピュータをハッキングし、情報を盗んだ。この頃から、サイバーセキュリティの問題が民間レベルでもクローズアップされるように。 1987年、商用のアンチウイルスソフトがいくつか開発された。それまで社内向けにしかアンチウイルスソフトを提供していなかったIBMも、ある事件をきっかけに、商用のアンチウイルスソフトを開発。続く1988年、世界中で多くのアンチウイルスソフト企業が創業。
【1990年代】 1980年代後半〜1990年代初期のアンチウイルスソフトは単純で、コンピューターをスキャンし、既知のウイルスデータベースに合致するファイルがないか探す、というアプローチ。誤検出が多く、また計算能力も食うため、あまり評判が良いものではなかった。 アンチウイルスソフトの増加に応じて、サイバー攻撃もバリエーションが豊富になっていき、新しいウイルスが爆発的に増加。 「個別コンピューターごとに、ウイルスを探索・発見し、悪さしないようにウイルスプログラムを改変する」というそれまでのアンチウイルスソフトのアプローチでは耐えきれず、「防御壁のようなものをつくり、そこでウイルスの侵入や拡散をブロックする」というコンセプトが登場。これがファイアウォールの始まり。 そして、1990年代末には、電子メールが普及し始め、ウイルスにとって新たな侵入口が開かれることに。1999年には、早速「Melissa」というウイルスが登場。Word文書を通じてコンピューターに侵入し、Microsoft Outlookのメールアドレスに、ウイルスのコピーを送信するというウイルスで、被害総額は8,000万ドル(≒90億円)に及んだとか。
【2000年代】 オフィスでインターネット利用が進み、新たな感染手法が登場。それまでの、ファイルダウンロードだけでなく、ウェブサイトにアクセスするだけで感染してしまうケースが多発。 安価なアンチウイルスソフトのニーズが高まり、オープンソースソフトがいくつか公開された。コンピュータ開発企業やデバイスの増加に伴ってOSの種類も増え、OSに応じたアンチウイルスソフトの開発も進行。
【2010年代】 大規模なサイバー攻撃が目立った年代。2013〜2014年、Yahoo!がハッキングされ30億人のユーザーのアカウントと個人情報が漏洩した。2017年、1日で23万人のPCが「WannaCry」というウイルスに感染。2019年、システム攻撃によりニュージーランドの株式市場が一時閉鎖。 大規模化・多角化するサイバー攻撃に対して、セキュリティソフトもさまざまなアプローチから開発が進む。
サイバー攻撃とセキュリティの種類
長くなってしまいましたが、これまでの流れが少し掴めた気がします。こうした流れの中で生まれてきたサイバー攻撃およびセキュリティは、現時点ではどのように分類されているのでしょうか。2021年3月に、IPA(Information-technology Promotion Agency、情報処理推進機構)が公表している「情報セキュリティ10大脅威 2021(組織編)」というレポートを参考に見てみましょう。
まず前提として、このレポートは、前年(上記のレポートでいうと2020年)に発生したセキュリティ関連の事故・攻撃をもとに、専門家や企業のシステム担当者などから構成される選考会が投票して決めた「10大脅威」について論じているものになります。
レポートによると、多数のセキュリティリスクがある一方で、ほとんどの攻撃の糸口は大きく5つに分類できるそうです。それが、ソフトウェア脆弱性、ウイルス感染、パスワード窃取、設定不備、誘導の5つです。
(Source:https://www.ipa.go.jp/files/000089239.pdf)
そのうえで、組織のセキュリティリスクとして、10種類挙げられています。
(Source:https://www.ipa.go.jp/files/000089239.pdf)
ものづくり関連企業が抱えやすいサイバーリスクとは?
では次に、先ほどの10大リスクを頭に入れつつ、「特に、ものづくり関連企業が抱えるサイバーリスクにはどんなものがあるだろうか?」というテーマについて考えてみます。
オフィス系ITネットワークが抱えるサイバーリスク
まず、ものづくり関連企業が抱えるサイバーリスクの1つが、前章で紹介したようなオフィス系ITネットワークに対するサイバー攻撃です。
例えば、2021年にアメリカ最大の石油パイプライン企業であるコロニアル・パイプラインが、ランサムウェア攻撃(身代金要求型攻撃)を受けて操業停止した事件は、その一例です。こちらの記事によれば、同事件の原因は、社員があるウェブサイトにアクセスした際に利用したログイン情報(ユーザー名・パスワード)が盗まれ、それを使ったハッカーが外部からコロニアル・パイプラインのレガシーVPN(ハードウェアとしてのVPNゲートウェイを使用するVPN)に侵入したことにあると言われています。ちなみに、VPNとはVirtual Private Networkの略で、インターネットあるい通信事業者の独自ネットワーク上に作る仮想ネットワークのことを指します。同社のVPNには多要素認証(MFA=Multi Factor Authentification)が設定されていましたが、一部のみユーザー名・パスワードのみでログインできてしまうVPNファイルが残っており、そこから侵入を許してしまったそうです。こうしたセキュリティの脆弱性を回避するために、全てのネットワークに多要素認証を導入する、あるいはセキュリティの柔軟性を担保する為にクラウドVPN・ソフトウェアVPNを利用する、などの対策案が考えられます。
ちなみに、冒頭で例として挙げたホンダの操業停止も、攻撃手口の詳細は公表されていませんが、ランサムウェア攻撃によるものと言われています。伝えられるところによると、ホンダを攻撃する為にカスタマイズされたウイルスが何らかの経路でオフィス系ITネットワークに侵入したそうです。侵入したウイルスは、①社内のファイアウォールを有効化し全通信を遮断 → ②ローカルPC上のセキュリティツールを停止 → ③人質となるファイルに暗号化処理を実施 → ④身代金を要求、という流れだったようです。ウイルスの最初の流入口については、まだ有力な可能性が明らかにされていません。
この他にも、ものづくり関連企業のITインフラを狙ったサイバー攻撃は多数見られます。例えば、2021年6月にブラジル食肉大手JBS、2022年1月にデンソーがサイバー攻撃を公表しています。一方、こういった攻撃は、ものづくり関連企業だけでなく、ITインフラを所有するあらゆる企業が、潜在的な攻撃対象となります。
OTネットワークが抱えるサイバーリスク
もう1つ、ものづくり関連企業が持つ特有の資産であるOT(Operation Technology)インフラも、サイバー攻撃の対象になり得ます。一般的にOTとは、工場のハードウェアを制御・運用するための技術を指します。例えば、電力・ガス・水道・鉄道・石油・化学・鉄鋼・精密機械等の工場・プラントにおける制御システムの総称を、ICS(Industrial Control System、産業用制御システム)といいます。
これまで、外部ネットワークはもちろん、社内のITネットワークからも切り離された閉域ネットワークの中で運用されることが多かったICSですが、他部門とのデータ連携、リモート制御が進むにつれて、外部ネットワークと連携するケースも増えてきています。すると、ほんの小さなITインフラネットワークの隙間から侵入したウイルスが、ICSにまで影響を与えるというリスクが生まれます。
2020年1月にIPAが、「ICSセキュリティの10大脅威と対策 2019」というレポートを公表し、ICS特有のサイバーリスクを紹介しています。
(Source: https://www.ipa.go.jp/files/000079817.pdf)
まず1番目に紹介されているのが、ICSが社内ITネットワーク、外部ネットワークに直接つながっていない場合でも、外部機器(例えばUSBメモリのような)を通じて、ICSにウイルスが侵入するケースです。このようなリスクへの対策として挙げられているのは、ICSネットワーク専用の外部機器を利用すること、外部機器の定期的なウイルスチェックです。
次に、ICSネットワークが外部ネットワークから直接ウイルスの侵入を許してしまうパターンもあります。例えば、工場の制御機器につながったPCがインターネット上のウェブサイトを閲覧し、ウイルス感染してしまうケースなど。対策としては、多要素認証で守られたVPNやファイアウォールを利用し、ICSネットワークにつながる経路を可能な限り限定すること、またリスキーな接続が行われていないか常にアクセスログをモニタリングし、アラートを発出するなどが挙げられています。
また、「今後注意が必要」と紹介されているのが、特に中小規模のものづくり企業向けに提供されるクラウド製品のベンダー経由で、サイバー攻撃が行われるケースです。大手企業の場合は、ICSをオンプレミスで運用することが一般的ですが、中小企業は運用コストを抑えるために、クラウドベースでリモートメンテナンス、アップデートをベンダーに任せる場合があります。このような状況でベンダーがウイルス感染した場合、顧客企業のICSも被害を受ける可能性がある、と言われています。対策としては、ベンダーとサービス品質保証契約(SLA=Service Level Agreement)を締結しておくこと、またセキュリティレベルの高いVPNを利用すること等が挙げられています。
ウクライナ発電所のサイバーセキュリティ事件
ICSのセキュリティリスク事例として頻繁に紹介されるのが、2015年に発生したウクライナの電力会社がサイバー攻撃を受けて起きた大規模停電です。この事件について、IPAは公開情報を基に、未公開部分については推測を交えて事件の流れを紹介しています。
①まず、攻撃者がターゲット企業の組織情報・社員情報・取引先情報等について、情報収集を行う
(Source: https://www.ipa.go.jp/files/000076755.pdf)
②続いて、標的型攻撃メールを通じて、社内のITネットワーク内にある業務端末がウイルスに感染
(Source: https://www.ipa.go.jp/files/000076755.pdf)
③そこから、VPNを通じて、ウイルスがICSネットワークに侵入。制御端末を通じて停電を起こし、同時に復旧を遅らせるために他のシステムを破壊
(Source: https://www.ipa.go.jp/files/000076755.pdf)
IPAによる推測も混ざってはいますが、紹介されているシステム構成は標準的であり、インフラ・製造設備を持っているあらゆる企業が、潜在的な攻撃対象になり得るのではないかと感じます。
次はスタートアップ編
実はこのブログを書くにあたって、調べ物を始める前に、「クラウドにつながった、新興のIoT機器に対するサイバー攻撃が既に多数起きており、ものづくり関連企業にとっては、今後も増加するであろうIoT機器周辺のセキュリティサービスが最も重要なのでは?」と仮説を立てました。
確かに、IPAもIoT機器関連のリスクは指摘しており、今後警戒を促しています。一方で、(日本語・英語の範囲でニュースを調べた限りでは、)自分の感覚値ではありますが、IoT機器が原因で大規模なセキュリティ攻撃を受けたという事件は、まだそれほど多くなさそうです。むしろ、社員がウイルスメールを開封してしまう、ログイン情報が盗まれるウェブサイトにアクセスしてしまう等の、ある種「普通」の経路でITネットワーク内の端末が感染し、それがOTネットワークに侵入する、というケースが多い印象です。
今回ここまで調べたところで、世界で資金調達を進めるサイバーセキュリティスタートアップの中に、OTネットワークあるいはIoT機器のセキュリティにフォーカスしたところはあるのか、あるとすればどんなところがどれくらいの事業規模になっているのか、気になるところです。少し長くなってしまうので、今回は概観編としてここで止め、また違う機会にスタートアップ編という形で、先ほどのテーマでスタートアップを調べていきたいと思います。
IDATEN Ventures(イダテンベンチャーズ)について
フィジカル世界とデジタル世界の融合が進む昨今、フィジカル世界を実現させている「ものづくり」あるいは「ものはこび」の進化・変革を支える技術やサービスに特化したスタートアップ投資を展開しているVCファンドです。
お問い合わせは、こちらからお願いします。
