マカフィー 佐々木氏「セキュリティに100%の安全はない。リスクをどこまで受け入れるか」
マカフィー 佐々木氏は、“ゼロリスク”を好む人たちの扱いも注意すべきだとした。なぜなら、あらゆるシステムの運用で、リスクが全く無い状況は作れないからだ。肝心なのは、リスクを正しく認識し、悪影響が許容範囲内に収まるように対策しておくこと。
佐々木氏は、以前はリスクを拒絶して、リモート接続に拒否反応を示す人も多かったと口にする。そうした人たちも、コロナ禍で期せずしてビジネスの場でもリモートワークやWeb会議が普及したことで、いや応なしに利用するようになった。今では、全業務とまでは言わないまでも、せめて監視や保守は遠隔に置き換えたい要望が増えている。しかし、人によっては、いまだにリスクを恐れて、抵抗感があるという。
リスクは0か1かではないため、重要なのはリスク分析。新しいシステムや機器の導入や運用で、どのようなリスクがどの程度生じるかを分析して対処するのは、全ステークホルダーに求められる。しかし、ビルオーナーやゼネコン、ベンダーのそれぞれがバラバラに頑張ってもダメで、ビルに関わるあらゆるステークホルダーがどのようなリスクがあるのかを、“共通言語”として互いに共有しておかねばならない。佐々木氏の言葉では、この状態を実現することを「文化の形成」と呼んでいる。
まだ未成熟な状態のビルシステムのセキュリティでは、「ビジネスとして人・モノ・金が回り、かつこれぐらいのセキュリティは、当たり前にやらなければといった感じの空気感を作れないと難しいのではないか。その実現に向けた最初の1歩が、リスク分析だ」と佐々木氏は口にする。
制御系のリスク分析は、とくにハードルが高い。システムごとに想定されるリスクが異なり、採用している機器にも共通性が無いためだ。これはビルに限った話ではなく、制御系のシステムに関係する全業界が抱えている課題とも言い換えられる。
佐々木氏は、ビルシステムのセキュリティも含め、何か物事を進展させるには「脅威」「規制」「インセンティブ」の3つしかないと明言する。
「脅威」とは、セキュリティでいえば、外部からのハッキングなどで多大な被害を受けること。いまひとつ普及が進まないビルシステムのセキュリティでも、仮にハッキングされて機密情報や基幹システムが人質に取られるような事案が起き、多くの人々が脅威を感じれば、セキュリティは一気に広まるだろう。
対して、「規制」は国や業界団体などが決まりを策定し、運用時に当てはめるもの。しかし、「規制は、時間がたつと(ルーティンの)チェックリストになってしまい、形骸化しやすい」(佐々木氏)。さらにセキュリティは、「基準を満たしても、新たな脅威の登場やビジネス環境によって不十分に成り得る」ので、「規制はセキュリティにあまり適さない」というのが佐々木氏の考えだ。
では、「インセンティブ」はどうだろうか。インセンティブとは、国策でセキュリティに予算を付け、対応した企業には金銭的な利益を与える制度化などが例として考えられる。ただ、セキュリティへの投資は、現実に攻撃されてみないと対策した効果が分からない。そのため、攻撃される前の投資として大金を投じることに、多くの企業が及び腰になるのは、仕方のないことかもしれない。
また、セキュリティ対策の導入によって多額のインセンティブが得られることが広く知られるようになると、専門家を騙(かた)った怪しい会社も寄ってくる。必要のない機材を、大量に導入してしまうなどの被害に遭う危険性もある。
竹中工務店 粕谷氏「サイバー/フィジカルの両面でセキュリティのポリシーを持ち対策を講じるべき」
竹中工務店 粕谷氏によると、ビルシステムのサイバーセキュリティが難しい要因の1つには、「ビル自体がサイバー/フィジカルを内包しているから」と指摘する。建物は、ネットワークを中心としたサイバー空間と、建築物としてのリアルなフィジカル空間の両面を併せ持つ。このため、仮想空間と物理空間の双方の“デジタルツイン”で対策を講じなければならない。
どの程度までセキュリティの防御線を張るかを考えたとき、フィジカルのセキュリティを想定してみると、攻撃者がいわゆるソーシャルハッキングで中央監視室に侵入して、自らを危険にさらすことまでは考え難い。にもかかわらず、キャビネットの扉にマグネットスイッチを付けて、無理やりこじ開けられたときに発報させるような対策が有効だと、誤った思考に陥ってしまいがち。ビルの入口に、フラッパーゲート(セキュリティゲート)があるのにもかかわらずだ。
粕谷氏は、適切なセキュリティ対策が行えるかどうかは、「ポリシーの問題。ビルオーナーもセキュリティに対する指針を持っていない」とし、ポリシーがもしあれば、どのレベルまで防衛ラインを引くかの正しい判断ができるようになると話す。
佐々木氏も、「サイバー/フィジカルの環境だからこそ、限りある予算の中で、この部分のセキュリティレベルは低くてもOKといった適切な判断を誰かが下さなければ」と意見を同じくする。
Copyright © ITmedia, Inc. All Rights Reserved.