マカフィー株式会社で、サイバー戦略室 シニアセキュリティアドバイザーを務める佐々木弘志です。重要インフラセキュリティやIoT(Internet of Things)セキュリティを専門としています。
前回は、情報システム(IT)側とモノ(OT)側の考え方を合わせて、IoT時代における新しい安心・安全の概念を構築するとはどういうことかを、サイバーによらない自動列車停止装置の例を挙げて説明しました。加えて、ITとOTの考え方を融合するためには、システムの融合以前に、人の融合が不可欠であるという問題提起を行いました。今回は、人が融合するためには、何をすれば良いのか、いくつかの具体例を挙げて説明しようと思います。
ITとOTの人はなぜ相性が悪いのか?
そもそも、どうしてITとOTの人は、相性が悪いのでしょうか。そのことを説明するために、かつてOT業界で開発をした後に、IT業界に転職した私の体験をお話ししようと思います。
4年半前に、制御システムを開発していた私が、IT業界のセキュリティベンダーであるマカフィーに入ったときに最初に感じたITとOTの違いは、「言葉の使い方」です。IT業界では、例えば、IPS(Intrusion Prevention System:侵入防護システム)のように、用語もそれを短縮したものが多いです。そして、IT業界では、それを相手が当然知っているものとして話す傾向があります。入社した当初の私は、ITの人にとっては当たり前の短縮語がわからず、非常にとまどいました。ですので、私がOTの方とお話をするときに、IT業界の短縮語を用いるときは、必ず説明をするように心がけています。
次に感じた違いは、「スピードと完成度」に対する価値観です。IT業界、特にセキュリティ業界では、攻撃者の進化が非常に速いため、防御技術がすぐに陳腐化する傾向にあります。そのため、完成度をあげるよりも、スピードを重視します。一方、OT業界では、開発する装置やシステムが、ITに比べて長く使われる傾向があるため、スピードよりも完成度を重視します。どちらが正しいというわけではなく、単に業界が直面している環境に適応しているだけなのですが、さしずめ、遊牧民族(IT)と農耕民族(OT)くらいの考え方の違いがあると感じました。
この2つの体験から、なぜITとOTの人の相性が悪いかがご理解いただけたと思います。言葉の通じない人たちが、異なる価値観をもって接したら、うまくいかないのは当たり前でしょう。
ITとOTの人を融合させるには、何をすればよいのか?
では、ITとOTの人を融合させて、IoT時代における新しい安心・安全の概念を構築するためには、どのような方策が必要なのでしょうか?私がこれまでに見てきた成功手法を、事例をもとにいくつか紹介します。
まず、一つ目は、「仲介役」の導入です。これは、ある米国の重要インフラ事業者で聞いた事例ですが、IT部門が、OT部門とセキュリティアセスメントの打合せをする際に、仲介役として、ビジネスアナリストを同席させるそうです。その理由は、単にITチームとOTチームとだけで打合せを行うと、お互いに感情的になり、特定の攻撃が実現可能かどうかの技術的な議論に終始してしまって、なかなかうまくいかないからだそうです。このビジネスアナリストは、ITもOTも詳しく知らないのですが、アセスメントの議題となっている脅威が、どの程度その会社のビジネスに影響を与えるのかを論点として場をリードします。このビジネスアナリストの導入により、先ほど述べた文化の違いを超えて、お互いが同じゴールを共有できるので、アセスメントの結果が有意義となることが増えたそうです。
二つ目は、「ショック療法」です。要は、ITとOTの脅威に対する認識を同じにするために、同じ疑似体験をするということです。ある米国の重要インフラ事業者では、ITのチームが、実際のシステムに対する侵入(ペンテスト)を、OTのシステム管理者が見ている前で実施するそうです。OTの人たちは、いわゆるStuxnet(*1)とか、ウクライナのサイバー攻撃による停電とか、外部の脅威の話を聞いても、本音のところで、自分たちのシステムと攻撃を受けたシステムは違うから大丈夫という認識を持ちがちです。OTの人に心の底から脅威があることを理解してもらうためには、自身のシステムに脅威があることを示すことが一番早いそうです。この手法はITの人にOTの事情を分かってもらう場合にも有効です。前回に紹介したOT向けのインシデント対応訓練を、ITの人にも役割を与えて実施して、相互の一体感を高めるというのは、まさにこの手法にあたるでしょう。ジェットコースター効果といって、カップルが関係を深めるのには、ドキドキ体験を共有すると良いという心理学の説がありますが、この「ショック療法」は、まさにその効果を狙っているものだと思います。
三つ目は、「言葉の定義の共有」です。これは、先に話した私の体験にもあったように、言葉が違うと、なかなかお互いの意思疎通ができず、よけいな誤解を生んだりして、議論が迷走しがちになります。第1回で紹介した米国の「NIST Framework for Cyber-Physical Systems」(*2)はまさにこの問題を解決しようとして、ITとOTの人が協力して作成されたものです。私の同僚も、このフレームワーク策定に参加していましたが、フレームワークの最大の意義は、ITの人もOTの人も同じ土俵で話ができることだと言っていました。
ITとOTの融合によって生まれる効果とは?
今回は、ITとOTの人の融合をどうするかについて、具体例を挙げながら考えてきました。なかなか難しい課題で、このブログだけでは十分ご紹介できないので、より詳しくは、ブログ以外の媒体の連載の中でも記述していく予定です。
次回は、IoT時代における新しい安心・安全を確保する上で、ITとOTの人が融合することができれば、どんな具体的な効果が生まれるのかについて、お話ししたいと思います。
*1 イランの原子力施設を破壊する目的で作成されたといわれている制御システムを対象とした標的型のマルウェア。このマルウェアによって、イランの核施設の相当数が破壊されたといわれている。