サプライチェーン構造を踏まえた情報セキュリティの向上
初出:無料冊子「The調達2016」を短縮・改変し掲載
インタビュー前半はこちらをクリックください。
――ソフトウェアの開発に関する取組みについて教えてください。
日本国内においても、ソフトウェアの開発に関する取組みはいくつかありますが、その中でも組込みソフトウェアと制御システムに関するものを一部紹介したいと思います。
自動車業界信頼性団体(The Motor Industry Software Reliability Association)においては安全で信頼性のあるソフトウェア開発に向けた取組みが進んでいます。例えば、MISRA-CというC言語を用いた、設計におけるルールの国際規格があり、重要産業での利用が拡大しています。また、自動車メーカーがメンバーとなるAUTOSARというグローバル開発パートナーシップがあり、日本のメーカーも参画しています。
また、上記のようなソフトウェアの高信頼開発に関する取組みへの参画に加えて、機能安全についてIEC61508のような規格を参照するなどしており、特に自動車業界では、これを適用しISO26262(自動車の電気/電子に関する機能安全についての国際規格)を見据えています。
制御システムについて日本国内では、独立行政法人情報処理推進機構(IPA)が、日本向けに様々なレポートを提供しています。例えば、前述の「ICS-CERT」脆弱性情報や、「ENISA」という欧州ネット・情報セキュリティ機関が提供している制御監視システムの運用ノウハウなどがあります。
ところが、いかにこれらを活用したとしても、安全性と、機能・性能を達成するために、プログラム完成前にすべての検証を行うこと、脆弱性に対してすべて対応することは前述の通り不可能に近いという現状があります。加えて、特筆すべきは、すべてを自社で完結できない、要するにソフトウェア開発を委託する相手方や、外部のソースコードにおいて理想的な基準を満たすことが困難という点です。
それでは、この現状を踏まえ今後どのような対策ができるのだろうかという点ですが、まずはこれを契機として今一度情報セキュリティリスクの考察を推奨したいと思います。
リスクは、何らかの対策を行うものと、受容し対策を行わないものに大別されます。極端な言い方をすると、受容するということは優先度を落として敢えて見過ごすということであり、これには思い切りが必要です。容易に決定できないことも多いことと思います。ただ、これがうまくいくと、投資対効果の低いものへの過剰な投資を避けるだけではなく、本来対策すべき個所に注力することもできるようになります。
脆弱性に関する情報が以前に増して露呈してきている現在の状況を見過ごさず、起こりうる事態を予め十分に予測して検討することが、いざというときに組織にとって正しい判断ができるかどうかを左右するのではないでしょうか。
一方で、制御や機能等の主要な役割を提供するコアとなるプログラム、モジュール設計に伴い流用されることが多いパッケージプログラムなどについては、もし何らかの問題があった場合に影響が特に大きいため、可能な限りの対策を行う必要があります。委託をする場合、委託を予定している開発会社との間で、必要とする品質レベルや脆弱性に対する危機意識について予め認識を合わせるべきで、それであっても発注元としては、問題発生時のことを考慮することが理想です。
具体的には、もし製品やシステムに何らかの脆弱性が発見された場合、プログラムの調査および脆弱性がある箇所の特定はどのように行うのか、また、確認できた後に修正するのは委託先か発注者のどちらだろうか、さらにはどのように検証するか、これらはシミュレーション可能だろうか、等の疑問に答えられるようにしておくことです。脆弱性を確認した場合、登場人物の役割が明確であればあるほど、対応はよりスムーズに進みます。
――「外部委託等における情報セキュリティ上のサプライチェーン・リスク・対応のための仕様書策定手引書」とは、なんでしょうか。
このような、委託先との関係性や役割を決めるために参考になる手引です。2015年5月21日に内閣サイバーセキュリティセンターにより策定された「外部委託等における情報セキュリティ上のサプライチェーン・リスク・対応のための仕様書策定手引書(http://www.nisc.go.jp/conference/cs/taisaku/ciso/dai02/pdf/02shiryou0303.pdf)」です。
当該手引書には、「機器等を調達する場合、府省庁外の者に情報システムの構築やアプリケーション開発等を外部委託する場合等における情報セキュリティ上のサプライチェーン・リスク対策として、機器等の製造過程や外部委託先において政府機関の意図せざる変更が加えられない管理がなされていることを、委託先や機器等の選定条件にすること」とあります。つまり、機器の「製造過程」から、情報セキュリティを懸念しているのです。
当該手引書は主に不正行為を想定した記述が多いが、過失により不正なプログラムが混入する場合であっても同様であると考えるべきで、不正なプログラムを防ぐ姿勢を委託先へ明示することが、まずは委託先決定前の調達交渉における重要なポイントです。
また、当該手引書には『国家安全保障上の脅威を理由に、中国大手通信機器メーカー「華為技術」および「中興通訊」の製品を利用しないように勧告されている』という”参考情報“の記載があります。米国、フランス、オーストラリア、カナダ、インド、台湾、英国、韓国といった各国でも警戒の方針があることが伺えます。
米中のサイバー交渉や、国境を超えたサイバー攻撃に関する動きが盛んな時勢です。世の動向を受けて、製品開発やシステム調達において、何に警戒すべきかを冷静に考え始めるべきではないでしょうか。
政府の基準を民間企業にまで適用というと、いささか過剰なように思われるかもしれませんが、サイバーセキュリティの世界では、政府機関に限らず脆弱性が裾野に広がることによって被害は気づかぬところで発生しています。
当該手引書は一般公開情報として、ウェブサイトに掲載されています。特に製造業の開発に関わる方にとって、参考になる内容があるのではないでしょうか。
この手引きには、例えば、調達仕様決定に際する注意事項、予め確認すべき委託先の組織情報、再委託を踏まえた委託先の監査の必要性、不正が見つかったときの追跡力(トレーサビリティ)などに関する記述があります。一部補足をしたいのが、「追跡」に関する記載です。当該項目には、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられない管理がなされることを求める記載があります。
サプライチェーンの中で不透明な個所を可能な限りなくすために、追跡を行う必要がありますが、委託先に求めることとして次のような例示があります。
・「当該機器等の製造工程において意図しない変更が加えられないよう適切な措置がとられており、当該措置を継続的に実施していること。また、当該措置の実施状況を証明する資料を提出すること」
・「当該機器等の製造工程の履歴に関する記録を含む製造工程の管理体制が適切に整備されていること。また、当該管理体制を証明する資料を提出すること」
・「セキュリティ確保のための基準等が整備されており、その基準が当該機器等に適用されていること、管理体制を証明する資料を提出すること」
限られた機器を調達する場合や、手引書を利用する府省庁では充足する内容かもしれないのですが、制御システムや組込みソフトウェア、または様々なソフトウェアを混合させてシステムを構築する場合には、このように証明書の提出という方式に限定しない方が良いと考えます。
可能な限り開発の高信頼性に言及をし、調達における要件に具体的な内容を明示することができるように、プログラムの中身にまで踏み込むのが望ましいのです。「必要とする品質レベルや、少なくとも必ず避けるべき脆弱性について予め認識を合わせる」と前述しましたが、これをより具体的に委託先へ伝えることができれば、一層強い調達となることでしょう。
――これから大切になってくること、最後にお話しいただけますでしょうか。
昨今、スマート家電やプログラムが機能を提供することで製品の利用シーンが大きく変化してきています。ここで考慮が必要なことは「プログラムあるところに脆弱性あり」です。つまり、発展に伴い脆弱性が生まれる恐れが増えているということです。
でも、安全性を優先するあまり、発展を抑えてしまうのは決して本望ではありません。情報セキュリティは、決して、機能拡充やイノベーションを止める存在ではありません。日本の製造業が発展を求めていくスピードに追従して、安全を求めるスピードも必要なのではという提言です。
サプライチェーンのどこに対応すべきリスクがあるのかを考察し、どの対象に対応するのか、つまり、視野を広げつつも、対処する要点を絞ることがこのスピードをより早く効率的なものにするのではないかと感じています。
各国の動向、製品の脆弱性情報、暗号化技術の最新検証動向、制御システムに合わせた独自ソフトウェアの開発など、目を向ければ世の中は新たな情報に溢れています。
このインタビューで冒頭に「取引の信頼性」という言葉を使いました。調達には委託先との取引に関する手続きが伴いますが、その信頼性についても情報セキュリティの観点で触れておきたい点があります。取引に関する手続きの安全が確保されているかどうか、です。委託先ないし調達を行う企業が業務で利用しているシステムが脆弱なために、なりすましによる情報窃取の被害が発生した事実もあります。
「担当者が変更になった」「振込先を変更してほしい」これらが、もっともらしい理由やよくできた支払依頼書とともにメールなどで突然やってきます。場合によってはメールのやりとりで安心させた上で巧妙に振込先口座を変更させようとする方法も確認されています。
さすがに気づくのでは……と思われるかもしれないのですが、本当に驚くほどよくできています。気づかなくてもしょうがない、といっていいほどです。特に海外の委託先担当者とのメールのやりとりが主体の場合は、より違和感に気づきづらく、どんなに業務になれた担当者であっても。その結果、下手をすれば多額の資金を犯罪者の口座に振り込んでしまいかねないのです。
このような事態を防ぐために、取引先との例外的な手続きや急な変更対応等については、事前の文書発行や電話などの複数の手段で確認することを予め定めておくことも効果的な対策です。
情報セキュリティ上の問題は、委託先との共通課題です。また、それは特定の企業がどれだけ対策を行ってもサプライチェーンの中に紛れ込み内在する恐れがあります。
これを救うのは、情報セキュリティ上の脆弱性を確かに問題と捉えて技術発展を目指す業界全体としての取り組みです。委託構造や委託先そのものが問題なのではなく、「脆弱であること」を放置することが問題なのです。組込みソフトウェアや制御システム、情報システムが作られ、安全なものとして提供されるために、サプライチェーンのどこに位置していようと、脆弱性の存在を忘れないものづくりが必要です。
システムの利活用が拡大している状況や脆弱性の露呈状況から見て取れるように、脆弱性とその対策は、遠くない将来に大きな変化を迎えることになります。産業や社会インフラ、自組織が利用するシステムなどのために日々製品を開発し提供する企業や組織、またそれらを調達して組込み、市場へ展開していく企業、脆弱性や技術における研究団体等が、溢れる情報をどのように入手し、変化にどのように応えていくのかが今後のシステムの安全性を作っていくことと思います。
委託先との安全な取引を守りながら、機能拡充のスピードに劣らぬよう、安全・高信頼なソフトウェア開発が進むことを願ってやみません。
――ありがとうございました(長編インタビューのため、分割して掲載しました)。
初出:無料冊子「The調達2016」を短縮・改変し掲載
伊藤忠テクノソリューションズ株式会社
セキュリティビジネス部
伊藤優子(いとう・ゆうこ)