オートメーションとAIの進化により、サイバー犯罪はますます容易になっています。今求められているのは、産業分野のドメインナレッジに基づいた、意図的かつ包括的なアセスメント計画です。
業界にはあまり知られていない事実があります。それは、AIとサイバーセキュリティの進歩が進む一方で、最大のサイバー脅威は依然としてソーシャルエンジニアリングと産業用制御システム(ICS)の悪用にあるということです。
AIや生成AIの進化は、当初懸念されていたほど多くの新しい脅威を生み出してはいません。しかし、これらの技術は従来型の攻撃を飛躍的に強化させる要因となり、脅威の規模、拡散速度、そして信憑性を劇的に高めています。かつては個別攻撃に依存していたメールフィッシングのような初歩的なソーシャルエンジニアリング手法が、今では高性能化し、より本物らしく、しかも自律的に、これまで以上に多くの被害者を標的にできるようになっています。
2025年に発表されたDeep Strikeのレポートによると、AIを利用したフィッシング攻撃の高度化により、攻撃の精度と件数が急増しています。指標によっては、生成AIツールの登場以降、フィッシングメールが1,265%増加したと報告されています。防御側はこのスピードに追いつけず、攻撃者は従来の多要素認証(MFA)を回避し、人間の心理的弱点を突く手法を強化しています。実際、全侵害の60%以上に「人の要素」が関与しているとされています。
「オートメーションとAIは、サイバー犯罪者にとって驚くほどの追い風になっています」と語るのは、セキュリティオペレーションセンターを運営し、幅広いサイバーセキュリティサービスを提供するHitachi CyberのChief Revenue Officer、Matt Castonguay氏です。「以前なら、自宅の地下室でハッキングを試みる人ができることには限界がありました。しかし今では、AIに加え、Ransomware-as-a-Service や Botnets を利用できます。1日で100,000 社、50,000 社をスキャンし、膨大な脆弱性を見つけることも可能なのです。」
「AIには差別意識などありません」と彼は続けます。「できる限り多くの対象を、片端から攻撃するだけです。」
エネルギーからモビリティまで、幅広い業界の企業にとって、拡大し続ける脅威を抑えるために必要なのは、産業分野のドメインナレッジに基づいた、意図的かつ包括的なアセスメント計画です。この計画では、産業システムをポリシー上の脆弱性と技術的な弱点という二つの観点から精査し、リスクを総合的に把握することが求められます。
セキュリティポリシーの崩壊
かつては、工場や制御システムを外部ネットワークから完全に切り離す「エアギャップ」という仕組みが安全性を支えていました。しかし、クラウドサービスやAI、エッジコンピューティングの普及により、こうした隔離は事実上なくなり、工場はこれまで以上にクラウドと接続されています。こうしたつながりが広がる一方で、セキュリティポリシーの抜け穴に気づかないまま運用されるケースもあり、かつては安全と思われていた産業システムが、今ではより危険にさらされています。
「多くの人は、新しいテクノロジー自体が最大のリスクだと考えています」とCastonguay氏は語ります。「しかし実際には、新しい技術が、以前は安全と見なされていた古いシステムの脆弱性を露呈させることが多いのです。」
ICSは、産業プロセスを管理する情報システムで、一般的には「地理的に分散した資産を制御するSCADA(監視制御・データ収集)システム、分散制御システム(DCS)、そして局所的なプロセスを制御するプログラマブルロジックコントローラ(PLC)を用いた小規模制御システム」を指します(米国国立標準技術研究所)。
長年、ICSはネットワークから完全に隔離されていました。例えば、コンベヤーベルトや鉄道の切り替えを制御する装置は、単一の目的に特化し、確実に指示を実行するよう設計されていました。リモートアクセスが前提ではなかったため、セキュリティは組み込まれていなかったのです。
しかし、その隔離は時間とともに幻想となりました。多くのICSには、システムインテグレーターや外部業者がファイル設定やソフトウェアのパッチを適用するための臨時チャネルが追加されました。その結果、これらのチャネルが攻撃の経路となっています。
Industry 4.0やスマートグリッドの時代において、真の隔離は不可能です。IoTの急速な普及を考えてみてください。工場、発電所、鉄道などの産業オペレーションは、効率向上やリアルタイム監視、性能改善のために、AIやIoTデバイスを積極的に導入しています。
そして、この流れは止まりません。市場調査会社IoTAnalyticsによると、世界のIoT接続デバイス数は2025年の約210億台から、10年後には500億台以上に膨れ上がると予測されています。こうした接続ポイントは、多くの場合、現代のセキュリティ基準が確立される何十年も前に設計されたインフラに直結しています。
「だからこそ、私たちはアセスメントを行います」とCastonguay氏は言います。「重大な問題が見つかれば、すぐに修正するよう指示します。そうでなければ、ギャップ分析を含む改善報告書を作成し、現状の課題を優先度順に並べ提示します。軽微な懸念については、セキュリティポリシーの更新を推奨します。」
技術的な脆弱性
レガシーなICSの脆弱性は、何年も前から警告されていました。2008年には、ポーランドの14歳の少年が自作の赤外線装置を使って路面電車の線路切り替えを操作し、複数の電車を脱線させ、乗客にけがを負わせる事件が発生しました。このとき、ICSには認証機能がまったくありませんでした。
「これらのシステムが作られた当時、セキュリティは考慮されていませんでした」とCastonguay氏は語ります。「今では、すべてのプロセスに対して、後付けでも先手でもセキュリティを適用する必要があります。」
AIは新たな脆弱性を露呈させるだけでなく、攻撃者に強力なハッキングツールを提供しています。自動化されたマルウェア、暗号化、ランサムウェア管理など、多くの機能が「サービス」として月額料金で利用可能になっています。
「攻撃者は一本釣りではなく、網を投げています」とCastonguay氏は言います。「彼らは1日で10万社をスキャンし、膨大な脆弱性を見つけることができるのです。」
未知のセキュリティ欠陥が発見・公開されると(ゼロデイ脆弱性)、攻撃者は数時間以内にそれを悪用します。一方、工場や鉄道ネットワーク全体でICSを更新するには、数週間から数か月かかることもあります。
「ハッカーが脆弱性を探すよりもシステムを修正する方が、はるかに時間がかかります」と Castonguay 氏は警告します。
皮肉なことに、従来の攻撃手法も依然として有効です。何年もセキュリティ教育を受けていても、人は怪しいリンクをクリックし、パスワードを使い回してしまいます。変わったのは、AIがフィッシング攻撃を驚くほど巧妙にしてしまったことです。契約書や取引先からのメールを正確に模倣したメールを作成できるようになっています。
AIによって攻撃者の武器は強化され、標的は企業規模や業界に関係なくなりました。「もはや小さすぎて狙われない組織は存在しません」とCastonguay氏は警告します。
そして、その脅威は現実です。攻撃者は防御側が追いつくのを待ってはいません。「漁師は決して眠らない」とCastonguay氏は言います。「彼らの網は日々、大きく、そして巧妙になっているのです。」
ギャップを埋めるための二つのアプローチ
数十年前に設計された産業システムの弱点を特定するには、体系的なアプローチが不可欠です。ポリシー上の脆弱性と技術的な弱点の両面から産業システムを精査する、包括的なアセスメントが求められます。
・ポリシー監査では、単にセキュリティ文書を確認するだけでなく、誰がどのシステムにアクセスできるのかを明確にします。こうした監査で、退職した社員が依然としてシステムにアクセスできる状態になっていることは珍しくありません。場合によっては、施設内のすべての機器を操作できる権限を持つ管理者アカウントが残っていることもあります。また、「jira_admin」のような汎用アカウントが複数のシステムで高い権限を持っているケースも見つかります。「一つのシステムの管理者だからといって、ネットワーク上のすべてのシステムにアクセスできるべきではありません」とCastonguay氏は指摘します。「各システムには、それぞれ専用のID管理とアクセス管理ポリシーが必要です。」
・技術的なアセスメントには、レッドチーミングやペネトレーションテストなどが含まれます。これらは、攻撃者が使う可能性のある手法を用いてシステムへの侵入を試みるもので、すべてクライアントの許可を得て実施されます。アセスメントにかかる期間は、小規模な環境なら最短2日、大規模で複数拠点にわたるシステムでは最大1か月程度です。
もうひとつの重要な要素は、Hitachi Cyberが必要に応じて日立グループ各社の専門知識を取り込めることです。日立は、産業機器やOTにおける豊富な実績に加え、データやAIソリューションの開発・導入で数十年にわたる経験を持っています。これにより、社会インフラを支えるミッションクリティカルなシステムに関する深いドメインナレッジを、Hitachi Cyberは他にないレベルで活用できます。
「私たちの大きな強みは、必要なときに日立の業界特化の知見を引き出せることです」とCastonguay氏は語ります。「同時に、日立が市場で発見する産業課題に対して、私たちの専門性を活かすこともできます。AIは数百万台のデバイスを迅速にスキャンできます。しかし、結果の意味を正しく理解するのは人間の専門知識です。」
さらに、HitachiCyberの産業セキュリティ戦略にはもうひとつ重要な要素があります。それが「早期警告監査」です。多くの企業は、侵害が発生した後や保険会社から義務付けられた場合にのみ、このようなアセスメントを実施します。しかし、成功している企業は、脆弱性が悪用される前に対処するため、定期的なセキュリティ監査やペネトレーションテストを行うというプロアクティブなアプローチを採用しています。産業サイバーセキュリティを、住宅の定期点検と同じくらい当たり前のものにするのです。
Hitachi Cyberは、高度なサイバーセキュリティとパフォーマンス分析ソリューションにおけるグローバルリーダーとして、50年以上にわたり50か国以上のクライアントにサービスを提供しています。革新的なアプローチと24時間365日の運用体制により、進化する脅威から組織を守り、安心して成長を遂げるための最適なソリューションを提供しています。
Matt Castonguay
Hitachi Cyber Chief Revenue Officer
*こちらはCIOの記事を翻訳したものです。
