[イベントレポート]

「IoT時代、サイバー攻撃が人の生死を左右する」―セキュリティ専門家たちが警告

Synopsys CodenomiCON USA 2016レポート

2016年8月23日(火)鈴木 恭子

IoT(Internet of Things)で利用されるセンサーネットワークを通じてサイバー空間と現実社会を緊密に結びつけるサイバーフィジカルシステム(CPS)が注目されている。そうした中、ソフトウェア脆弱性に起因するセキュリティインシデントの脅威がさらに増している。ソフトウェアの安全性を高めて高品質・高信頼な製品を提供するために、企業は何をなすべきなのか。2016年8月2日、米ラスベガスで開催された米シノプシス(Synopsys)の年次コンファレンス「CodenomiCON USA 2016」では、IoTやCPSのサイバーセキュリテイに焦点を当てて現状と解決策が語られた。

サイバー攻撃の脅威の現状を著名専門家が報告

 米シノプシスは、半導体設計のEDA(Electronic Design Automation)ツールやIP(Intellectual Property)製品を手がけるベンダーとして知られており、近年はセキュリティ製品の拡充にも注力している。今回で7回目となるCodenomiCONコンファレンス(写真1)は、シノプシスが2015年4月に買収したフィンランドのセキュリティベンダー、コードノミコン(Codenomicon)が実施していたものだ。

写真1:CodenomiCON USA 2016の会場となったのは、米ラスベガスのマンダレイベイホテルにあるライブハウス「The House of Blues」。一般的な企業ITイベントに比べると少し妖しげな雰囲気だ
写真2:コンピュータサイエンティストのフレッド・コーエン氏

 「Fireside chat(井戸端会議)」と銘打った冒頭のセッションには、コンピュータウイルスの対策方法の発明者として知られるコンピュータサイエンティストのフレッド・コーエン(Fred Cohen)氏(写真2)と、元米国司法省国家安全保障担当検事でデビボイス&プリンプトン ワシントンDCオフィス パートナーを務めるルーク・デンボスキー(Luke Dembosky)氏(写真3)が登壇した。コーエン氏は、「Black Hat 2015」コンファレンスで公開された、米FCA(旧フィアットクライスラー)の乗用車ジープ・チェロキー(Jeep Cherokee)の脆弱性を例に挙げ、「サイバー攻撃が、人の生死を左右するようになった」と警鐘を鳴らした。

写真3:デビボイス&プリンプトン ワシントンDCオフィスパートナーのルーク・デンボスキー氏

 ジープ・チェロキーの脆弱性は、セキュリティリサーチャーのチャーリー・ミラー(Charlie Miller)氏とクリス・ヴァラセク(Chris Valasek)氏(後のセッションで登壇)が明らかにしたもの。コネクテッドカーシステムの脆弱性を突き、ファームウェアを遠隔操作で改竄した。この脆弱性を悪用すれば、エンジン、ブレーキなどが外部から自在に操作できることを証明したのだ。これを受けFCAは、遠隔操作の恐れがある140万台のリコールを発表して話題になった。

 コーエン氏は、「従来型の(物理的な)テロとサイバー攻撃を組み合わせれば、市民がセキュリティリスクにさらされるレベルは格段に上がる」と警告した。デンボスキー氏も「例えば、金融業界では虹彩認証など、多要素認証を取り入れている。しかし、攻撃者優位の現状は変わらず、その対策は十分ではない」と現状への危惧を表明。特に米国のエネルギー関連施設の対策は「攻撃レベルに対してその対策が十分ではない。(施設側が)注力しているのは、従来どおりのセキュリティ対策だ」(デンボスキー氏)だという。

 こうした問題に対しデボンスキー氏は、「企業や組織内のディシジョンツリーを確立し、現場で発生していることを経営層が把握・判断できる体制を構築する必要がある」との見解を示した。何が起こっているのかを迅速に可視化し、「誰が」「どのインシデントに対して」「どのように対処するか」を明確にすることで、迅速な対応が可能になるというわけだ。攻撃者優位が指摘される状況においては、「鳥瞰的な視点とスピード感のある判断が重要」(コーエン氏)だと強調した。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】業界は脆弱性の情報共有を
  • 1
  • 2
  • 3
関連キーワード

Synopsys / IoT / CPS

関連記事

「IoT時代、サイバー攻撃が人の生死を左右する」―セキュリティ専門家たちが警告IoT(Internet of Things)で利用されるセンサーネットワークを通じてサイバー空間と現実社会を緊密に結びつけるサイバーフィジカルシステム(CPS)が注目されている。そうした中、ソフトウェア脆弱性に起因するセキュリティインシデントの脅威がさらに増している。ソフトウェアの安全性を高めて高品質・高信頼な製品を提供するために、企業は何をなすべきなのか。2016年8月2日、米ラスベガスで開催された米シノプシス(Synopsys)の年次コンファレンス「CodenomiCON USA 2016」では、IoTやCPSのサイバーセキュリテイに焦点を当てて現状と解決策が語られた。

PAGE TOP