検索
ニュース

「製造データが狙われている」、セキュリティ専門家が警鐘米国国防総省も懸念(1/2 ページ)

セキュリティの専門家が、多くの米国メーカーの電子機器の設計に関するデータが、適切に管理されずに世界中に拡散されている可能性が高いと警告している。

Share
Tweet
LINE
Hatena

 電子機器の受託製造向けデジタルプラットフォームを手掛ける米MacroFabのCEO(最高経営責任者)を務めるMisha Govshteyn氏は、米国EE Timesに対し、「多くの米国メーカーの電子機器の設計に関するデータは、恐らくいかなる種類の管理も行われずに世界中に拡散されている。当社が取引している顧客はほとんどの場合、自社の産業データに関する適切なデータポリシーを定義していない。これにはとても驚いている」と語った。

 Govshteyn氏は、「設計やその他のデータをサプライチェーンパートナーと共有することを懸念しているメーカーの幹部は、暗号化していない送信メールの添付ファイルやCADファイルを“怪しげな”試作メーカーに送信することで発生するデータ漏洩を、厳重に警戒したほうがいい」と警告する。

 製造業者には保護が必要な知的財産(IP:Intellectual Property)を生み出してきた長い歴史があるが、約12年前の「インダストリー4.0」の出現によって、製造データの保護の問題がより重要になった。製造のデジタル化の取り組みの主な理念は、データを収集して分析し、製造プロセスに関する洞察を得て改善することである。その結果、ペタバイト規模のデータが収集されるが、そのデータが悪用されると、メーカーのIPと収益が脅かされる可能性がある。

 約25年間にわたりサイバーセキュリティやプライバシー、コンプライアンスに携わってきた経験を持つGovshteyn氏は、「製造業者は、データが世界中に、特に非友好的な国家にどの程度拡散されているかを十分に理解していない」と述べている。同氏は、「ほとんどのサイバーセキュリティの専門家も、何が起こっているのかを全く分かっていない」と確信しているという。

米国国防総省も懸念

 製造業者に対するGovshteyn氏の切実な警告は、米国国防総省(DoD)が、防衛業務を担う全ての製造業者にサイバーセキュリティ成熟度モデル認証(CMMC:Cybersecurity Maturity Model Certification)によるサイバーセキュリティ認証を義務付けたことと一致している。CMMCは、連邦契約情報と、国防総省の元請け業者およびその下請け業者が連邦政府の取得プログラムを通じてアクセスできる管理された非機密情報を保護するように設計されている。

 米国のサイバーセキュリティのリスク管理ソフトウェア会社であるCyberSaint Securityの共同設立者で、CPO(最高製品責任者)を務めるPadraic O'Reilly氏によると、米国内の約40万社の製造業者のうち、約20〜30%は防衛契約によって収益を得ているという。

 同氏は、「政府は2024年にCMMCを契約に組み込む計画だ。連邦政府に販売する場合だけでなく、プライム企業に販売するサプライヤーであっても、契約を進めるには報告書を準備して待機し、提出するという手順を踏まなければならなくなる」と述べている。

 「CMMCの要件の他にも、データを保護するためのよく知られた基本的なステップには、二要素認証や電子メールの暗号化、ネットワークのセグメント化、バックアップの作成、モバイルデバイスの管理、インシデント対応計画の策定などがある」(同氏)

 O'Reilly氏は、「こうした基本的な措置を講じることは、ハリケーンが接近しているときに、道端に土のうを置くようなことだ。実際に壁を作ったり、長期的な戦略を考え出したりすることが、サイバーリスク管理の実践につながる」と述べている。

 別のサイバーリスク管理の専門家で、米国の管理セキュリティサービスプロバイダーBitLyft Cybersecurity(以下、BitLyft)のCEOを務めるJason Miller氏は、データ保護の重要性を明示する実例を示した。


BitLyft CybersecurityのCEOを務めるJason Miller氏 出所:BitLyft Cybersecurity

 BitLyftの創設者であるMiller氏は、「軍の将官がこの件について話しているのを聞いたことがあるが、その将官は『敵と全く同じ、もしくは類似の技術を搭載する航空機で戦うことにほとほと疲れた。数年前に敵軍が国防総省の製造業者のうち1社から技術を盗用し、ここ数年でまったく同じものを作ったことがこうした事態を招いている』と語っていた」と述べている。

 「政府関連であろうとなかろうと、製造設計データの保護には絶え間ない警戒が必要だ」とMiller氏は指摘する。

 「脅威は常に変化しているため、(データのセキュリティ対策を)一度施したらそれで十分になることはない。新たな脅威も検知する方法を模索する必要があり、これは、毎日、毎週のように向き合わねばならないタスクだ。当社は、セキュリティ全般を改善するための顧客の環境の変更に関する提言を理解してもらうために、顧客と継続的に対話している」(Miller氏)

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る