三菱電機がサイバー攻撃を受け、多数の個人情報が漏えいしたとのニュースが賑わっています。
三菱電機といえば重要インフラや防衛など日本の中枢のシステムを扱っている企業という事で、そこで起きたサイバー攻撃は注目度もとても高いのでしょう。

ニュース記事やTwitter では三菱でさえもダメなのか、(言外には三菱電機では、サイバー攻撃の検知システムを製品として持っているほどセキュリティには強いはずなのに)、という声も耳にします。
ここでは、このあたりにフォーカスした話を書こうと思います。

三菱電機のサイバー攻撃検知システム(これ以外にも検知技術を保有しているとしても製品として)はOTGUARDというものがリリースされています。

これは、ニュースリリースやリーフレットを見るとサイバー攻撃対策の総合パッケージというスタイルで、リスク分析からセキュリティスイッチによる制限と検知、またそのサポートから成り立っている総合ソリューションのようです。また検知はパケットの分析とモデル化をベースとしているとの事。

ニュースリリースの日付は2019年7月2日。今回のサイバー攻撃が内部で発見された6月28日から実働2日後です。このOTGUARDのテクノロジをサイバー攻撃を受けた時点(発見より前に活動していたはず)で既に社内にくまなく配備していたとは考えられません。ごく一部のネットワークではフィールドテストの目的で設置されていたかもしれませんが。

また、この製品はそもそもOT(Operation Technology)=制御システムをターゲットとしたソリューションです。自分が以前展示会で話を聞いたときは、本来ビルシステム用のBACnetプロトコルがわかるセキュリティスイッチという位置づけだったようにおぼろげながら記憶しています。

制御システムでは情報システムとは違い、制御に使われるある種特定のプロトコルで特定の通信パターンがあって、通信データの種類は規模にもよりますが情報システムよりは限定的と考えらます。OTGAURDは、そのあまり多くない通信パターンに対して、攻撃によるデータの不自然な移動などを検知する仕組みではないかと推測しています。

IT向けにそのような分析機能を持ったセキュリティソリューションは他にもありますが、それらは特徴的なアルゴリズムに加え、インターネット上に設置した多数のセンサや提供しているセキュリティ製品から得られた膨大なデータベースを元に分析結果の判定を行う物がほとんどです。
おそらくOTGUARDもそこを狙うのでしょうが、現時点ではパンフレットにもそのような記述はありません。今はデータを集める枠組みは出来た、データベース構築はこれから(制御システムの場合は実際のシステムに組み込んで一定期間学習させるが、正常状態はわかっても攻撃による異常状態は学習出来ない)、という段階ではないかと思います。

結局今回のインシデントは、高度なセキュリティシステムの実用化が攻撃に対しては間に合っていない、情報システムは制御システムより多様なデータがあるため分析が困難、元々データベース構築はこれから、という段階だったため、後手に回ったのではないかと思います。

ちなみに、アンチウィルスソフトのぜい弱性を突かれたという話もありますが、それ以前に何度も攻撃を受けていた事実があったのなら、タイミング的に対応できたのではないか、仮想パッチ的な緊急対処方法は無かったのかなどの疑問はあります。

また、技術ではなくマネジメントの観点から、朝日新聞に報道されるまで情報を隠していたという点も今後問題となりそうです。