SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2017 イベントレポート

自動車・医療分野で急務のセキュリティ課題とは?企業の実践者たちがIoT時代のセキュリティ対策を語る

 自動車、医療分野などのIoT機器へのサイバー攻撃では、生命や身体の損害、事故などにつながる可能性がある。様々な産業領域でIoTが本格化するなかで、企業・組織のセキュリティ担当者は、従来のセキュリティ対策に加えて、どのような観点での対策が必要となるのか。9月12に開催した「Security Online Day 2017」(主催:翔泳社)では、「企業の実践者たちが語る、IoT時代のセキュリティ対策における課題~自動車・医療分野を中心に~」と題したパネルディスカッションが行われた。自動車、医療および情報セキュリティ全般に深く関わる4名のエキスパートが集まり、明治大学ビジネス情報倫理研究所の守屋英一氏の司会のもと、それぞれの立場から意見を交わした。

▲パネルディスカッション 出席者(写真、左から)
  • 守屋 英一氏(明治大学ビジネス情報倫理研究所 客員研究員、内閣サイバーセキュリティセンター上席サイバーセキュリティ分析官)
  • 古田 朋司氏(トヨタ自動車株式会社 情報セキュリティ推進室 主査)
  • 中後 淳氏(医療法人鉄蕉会(亀田メディカルセンター)最高情報責任者)
  • 茂岩 祐樹氏(株式会社ディー・エヌ・エー システム&デザイン本部セキュリティ部 部長)
  • 原子 拓氏(株式会社ラック セキュリティコンサル部 エバンジェリスト、日本シーサート協議会 運営委員)

本格化するIoTへのサイバー攻撃

 司会の守屋氏が1つめのテーマに選んだのは「サイバー攻撃の課題」。IoT機器にも感染が広がったマルウェア「WannaCry」の世界的流行や、自動車の不正な遠隔操作を可能にするドライブコネクタの脆弱性発覚など、2017年に起きた事例を挙げながら、各分野におけるこうした脅威の実態を尋ねた。

 古田氏は、ハッキングによる「自動車の乗っ取り」について説明する。

 「トヨタのプリウスも2013年のセキュリティ関連イベント『DEFCON』でハッキングの対象とされ、ブレーキやハンドル、エンジン操作を可能にする手法が紹介されました。これは物理的に車内のコネクタから有線で侵入する方法でしたが、2015年にはジープ・グランドチェロキーを無線で外部から遠隔操作するというハッキングの成功が報じられ、業界全体が騒然となりました」(古田氏)

トヨタ自動車株式会社 情報セキュリティ推進室 主査 古田 朋司氏

 茂岩氏が情報セキュリティを統括するディー・エヌ・エー(DeNA)グループも、自動運転技術等を活用したオートモーティブ事業を展開しており、こうした攻撃で直接的に被害を受ける可能性のある当事者だ。茂岩氏は対策の1つとして、ハッキング手法にも精通した技術者育成が必要だと述べる。

 「インターネットなどで詳細な情報も公開されていますが、車のハッキング手法は非常に難易度が高く、幅広い知識・技術を組み合わせ、複雑な手順を踏んで初めて成立するような攻撃です。そのような攻撃者に匹敵する高度な技術力がなければ、効果的な防御の対策も立てられません。守る側として、攻撃手法の研究や技術トレーニングへの積極的な投資も重要になってくると思います」(茂岩氏)

 医療の現場でハッキングの標的となりうる機器の例として中後氏が挙げるのは、「ペースメーカー」だ。

 「ネットワークにつながる医療機器も増えてきていますが、セキュリティの観点から見ると、まだまだ甘い部分が多いと感じています。たとえば、遠隔モニタリングなどの通信機能付きのペースメーカーがハッキングされて外部から操られてしまう危険性があるという話を聞いたことがあります。医療機器については、今のところは、お金にならないので攻撃者にとって狙うメリットが少なく、実際の被害に遭わずに済んでいるという状況なのかもしれません」(中後氏)

 自動車や医療機器をはじめ、このようなIoTの脆弱性を狙ったサイバー攻撃は今後ますます増えていくと原子氏は予想する。

 「ラックのセキュリティ監視・運用サービス拠点『JSOC』では現在、約900団体・約2,000センサーを監視・分析対象としており、重要インシデントが1日あたり数件発生しています。IoTは監視対象ではありませんが、IoTデバイスとそれに対する攻撃の増加に伴い、今後は監視していくことになると思います。そうなれば、インシデント発生件数が激増するのは間違いないでしょう」(原子氏)

株式会社ラック セキュリティコンサル部 エバンジェリスト
日本シーサート協議会 運営委員 原子 拓氏

次のページ
脆弱性の穴を塞ぐための「アップデート」にも課題あり

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

Security Online編集部(セキュリティ オンライン ヘンシュウブ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9912 2017/10/20 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング