みなさん、こんにちは！Team NOPSWATです。

第4回では自治体強靭化市場におけるOPSWAT MetaDefenderのユースケースを紹介しましたが、今回はプラント・工場におけるセキュリティ市場とOPSWAT社について紹介していきます。

■プラント・工場って？

プラント・工場というと製造業の多い日本には大小たくさんの施設がありますが、ここでは特に日本政府が指定する「重要インフラ」を支えるプラント・工場という意味合いで取り扱わせていただきます。

上記は内閣サイバーセキュリティセンター(NISC)が「重要インフラの情報セキュリティ対策に係る第４次行動計画」で指定する14の重要インフラ分野です。見ての通り、どれ一つを欠いても我々の日常生活や利便性だけでなく、公衆衛生や命にかかわるような産業分野が指定されております。それだけ重要な産業分野ゆえ、自然災害や設備障害のみならず、物理/サイバーの人為的攻撃などあらゆるリスクを想定して上で対策を行い、重要インフラが提供するサービスの可用性が損なわれないように努めなさい、というのが行動計画の目的となっています。この中でもプラント・工場を有する産業分野としては「電力・ガス・水道」の公共サービスと「化学・石油」のエネルギー分野が該当すると考えております。(重要インフラの1つ「政府・行政サービス(地方公共団体含む)」については前回の自治体強靭化市場のブログもご参考ください。)

でっ、この重要インフラ市場なのですが第1回のブログでもご紹介した通りOPSWAT社が主要ターゲットとする市場でもあります。

グローバル全体で見た時、最大の台数規模の導入実績となるのが北米の原子力発電所および関連施設での導入ケースとなります(98%以上の原子力発電所および関連施設に導入済み)。もちろん原子力発電所は北米でも重要インフラとして設定されている産業分野の１つです。

弊社がOPSWAT社と日本国内の代理店契約を締結した時、彼らは主要市場としてまさに重要インフラのプラント・工場でMetaDefenderのニーズがある、と話してくれてました。ただ国内での販売実績もなかった取扱い当初は、私たちもどんな要件・用途で日本の重要インフラのプラント・工場でOPSWAT MetaDefenderが求められるのかはわかっていませんでした。しかし、提案・採用が進むにつれて具体的な要件・用途が見えてきました。

ここからはまず、国内の重要インフラのプラント・工場で求められるOPSWAT MetaDefender製品を紹介させていただいた上、実際の導入事例を基にしながら日本の重要インフラのプラント・工場におけるニーズやユースケースをご紹介していきたいと思います。

■重要インフラのプラント・工場では何が求められるの？

OPSWAT MetaDefenderシリーズにはいろんな機能のアプリケーション製品がありますが、この中でも「クロスドメインソリューション」と呼ばれる論理的・物理的に情報管理レベルやポリシーが異なる環境間で受け渡しを行うためのアプリケーション群が国内の重要インフラのプラント・工場向けのソリューションとなります。

その中でも特に物理的に可搬メディア(USBメモリやCD/DVDなど)で持ち込まれるファイルの検査アプリケーションであるMetaDefender Kioskと、PCのディスク・ストレージの検査アプリケーションであるMetDefender Driveが国内の重要インフラのプラント・工場でニーズが高い製品となります。

■MetaDefender Kioskって何？

可搬メディア(USBメモリやCD/DVDなど)のファイル検査というと国内で一般的に行われているのは検査用のPC端末を準備して、そこに1つのマルウェア対策エンジンを入れた検査用PC端末での対策があげられると思います。今の日本企業であればマルウェア対策エンジンの入った業務標準のPC端末を準備することは容易ですし、業務標準PCであれば社内ネットワークの接続ポリシーも満たせるので運用に乗せることも簡単です。何より製造業の工場となると工場設備としてかかる費用はその工場の製造製品の製造原価に組み込まれることもあることから、費用面での手頃さも一般的な対策手法として採用されている理由ではないかと考えています。(情報システム系部門の全社共通設備であれば製品直下原価の扱いになることはない点も大きい理由と考えています。)

そんなマルウェア対策エンジンを入れた検査用PC端末ですが、ファイル検査のセキュリティレベルの観点で見ると課題がないわけではありません。第2回のブログでも紹介しましたが、A社・B社・C社・・・と各マルウェア対策エンジンで同じマルウェア検体群を検査してもA社・B社・C社とそれぞれマルウェア検出する検知率にはばらつきがあります。

上記図の左側が1つのマルウェア対策エンジンごとのマルウェア検知率のばらつきです。もし1つのマルウェア対策エンジンを入れた検査用PCでの検査時にそのマルウェア対策エンジンがマルウェアを検出しなかった場合はどうなるでしょうか？その時点で内部環境に持ち込まれた可搬メディア(USBメモリやCD/DVDなど)のマルウェア感染ファイルの侵入を許すことになります。

この1つのマルウェア対策エンジンごとの検知率ばらつきを解消し、高いマルウェア平均検知率を実現する可搬メディア(USBメモリやCD/DVDなど)のファイル検査ツールがMetaDefender Kioskです。ちなみにマルチスキャンエンジンの効果としては他にも新種マルウェア対応速度の向上や、特定ウイルス対策製品に問題が発生した際の対応力(他のエンジンでカバーする)があります。

MetaDefender Kioskを稼働させるマシンは後程紹介しますが、基本的な使い方はMetaDefender Kioskをインストールしたマシンに可搬メディア(USBメモリやCD/DVDなど)を挿入し、MetaDefender Kioskの提供するユーザインターフェースに沿って検査を進めるという使い方です。運用上の特徴としてはマルウェア検査で問題なければ外部環境から持ち込まれた可搬メディア(USBメモリやCD/DVDなど)をそのまま内部環境に持ち込むことを許可するか、マルウェア検査完了後は管理者が支給する可搬メディアにファイルをコピーして持ち込ませるかを選べる点になります(コピーする場合はコピー先のメディアはUSBメモリとなります)。管理者が支給するUSBへのファイルをコピーする運用の目的は、マルウェアが検知された可搬メディア(USBメモリやCD/DVDなど)のファイルコピーの際にマルウェア検知されたファイルはコピーさせず、確実にマルウェアの内部環境侵入を止めることにあります。

ここまでMetaDefeder Kioskの機能概念を紹介しましたが、MetaDefeder Kioskはユーザインターフェースを見ていただくとマルウェア検査ツールとしての活用イメージが掴みやすいので、ここでユーザインターフェースイメージと処理プロセスをご紹介したいと思います。

トップ画面で開始ボタンを押すところから始まります。任意設定となりますが質問項目を設けている場合は最初にその入力が求められます。この質問項目は最大6つまで設定可能です。質問項目の入力内容は検査ログにも残るので、ここでは可搬メディア(USBメモリやCD/DVDなど)を持ち込んだ方が所属する組織名と担当者名の入力を質問項目にケースが多いです)

問項目の入力が終わると検査したい可搬メディア(USBメモリやCD/DVDなど)の挿入を求められます。可搬メディア(USBメモリやCD/DVDなど)を挿入してMetaDefender Kioskが認識すると可搬メディアアイコンが点灯します。ちなみにデフォルトで表示させる可搬メディアアイコンは指定が可能です。運用上、持ち込みを許容する可搬メディア(USBメモリやCD/DVDなど)を選択したうえでアイコン一覧を構成することが可能です。

MetaDefender Kioskで可搬メディア(USBメモリやCD/DVDなど)が認識されると、マルウェア検査をかけるディレクトリ範囲の確認に進みます。可搬メディア(USBメモリやCD/DVDなど)全体のファイルを検査するか、一部のディレクトリのファイルを検索するかを選ぶことになります。一部ディレクトリのファイル検査の場合は「参照」ボタンを押すとディレクトリ一覧が表示されるのでそこで検査範囲を指定します。持ち込む可搬メディア(USBメモリやCD/DVDなど)は内部環境のシステムで扱うことを想定しているため、実際の導入ケースでは全体検査をルールとして採用するケースが多いです。検査するディレクトリの選択が終わると検査が始まります(上記の図ではUSBメモリの中に10個のファイルが入っています)。

検査が終わると検査結果が表示されます。「許可」は検査の結果問題がないと判定されたファイル数、「ブロック」は検査の結果問題があると判定されたファイル数がそれぞれ表示されます。このケースでは10個のファイルのうち、9個のファイルは問題がなく1個のファイルに問題が見つかったよ、ということになります。「ブロック」

ボタンを押すとその詳細が表示されます。詳細ではどのファイルに問題が見つかったのか、その問題は何か、どのマルウェア検索エンジンが検出したのかを確認いただくことができます。余談となりますが上記のケースで使ったMetaDefender Kioskのマルチスキャンエンジン数は12個です。しかし、この検体を検知したマルウェア対策エンジンは2個でした。あくまで検証評価結果とはなりますが単一のマルウェア対策エンジンの検知率にはばらつきがあること、マルチスキャンエンジンによって平均検知率が向上する一例としてご理解いただけると幸いです。

検査が完了すると、管理者が支給するUSBメモリへのコピー画面に進みます。MetaDefender Kioskが管理者の支給するUSBメモリが認識するとアイコンが点灯し、コピーが開始されます。今回のケースですと10個のファイルのうちマルウェアと判断された1個はこの段階でブロックされて管理者が支給するUSBにコピーされることはありません。コピーが完了すると「しばらくお待ちください」という待機メッセージが表示されるのでそのまま待機します(10秒程度)。その後「メディアを取り外してください」と表示されたら持ち込んだ可搬メディア(USBメモリやCD/DVDなど)と管理者が支給したUSBメモリどちらも外して構いません。

なお、管理者が支給したUSBメモリへのファイルのコピー運用はせず、検査で問題がなければ持ち込んだ可搬メディア(USBメモリやCD/DVDなど)をそのまま内部環境で使っていいよ、という運用も可能です。ただ、この運用方法ではマルウェア感染したファイルを含む可搬メディア(USBメモリやCD/DVDなど)が管理の目をくぐり抜けて持ち込まれたり、見落としなどで誤って持ち込まれたりするリスクがあることについてご注意ください。(OPSWAT社では見落としリスク対策としてKioskで検査済みUSBメモリ以外は端末に接続させないようにするエージェントソフトも用意しています。)

※記事追加！

MetaDefender Kioskの操作説明動画を公開しました！

実機イメージがわかりやすいのでお時間ある方はぜひこちらの動画をご覧ください！

■MetaDefender Kioskが求められる「場所」の発見

私たちがOPSWAT MetaDefenderを取り扱い始めて最初に向き合った課題は「どんな『場所』で、どんな『利活用用途』でOPSWAT MetaDefenderシリーズが求められるのか」を明確にすることでした。OPSWAT社からは重要インフラのプラント・工場にMetaDefender Kioskがマッチするよ、と言われても日本市場でも同じ反応が得られるかどうかは定かではありませんでした。

そんな中であるイベントにMetaDefender Kioskを出展していたところ、製造業資本のシステム会社の方がMetaDefender Kioskを見て「グループ会社にたくさん工場があるし、主要取引先にも重要インフラ産業の顧客が多いし、プラント・工場現場だと可搬メディア(USBメモリやCD/DVDなど)持ち込みが必要な業務もあるので自社ソリューションとやっていきたい」とお話を頂き、とんとん拍子にセールツール用途でMetaDefender Kioskを採用いただくことになりました。このケースの中でまず、重要インフラのプラント・工場にはMetaDefender Kioskのニーズがある、というMetaDefender Kioskが求められる「場所」を発見することができました(このケースの直後に別のパートナー様経由でエネルギー供給分野の企業のプラント向けにたくさんのMetaDefender Kiosk納入させていただく機会があったので、そのことも「場所」のニーズの裏付けとなりました)。

■MetaDefender Kioskに求められる「活用要件」の発見

ただ「場所」を発見した後、具体的にどんな業務のどんな活用要件でMetaDefender Kioskが求められるかということについてはすぐにはつかめずにいました(私たちの事業がITパートナー企業を介したディストリビューターということもあり商談の中で製品と納入先法人の情報は見えても、なかなかエンドユーザの具体的な課題・活用要件がつかめませんでした)。

そんな中で「場所」の発見から半年たったころ、あるパートナーさんから「Metadefender Kioskに関心持っている顧客がいるので一緒にきてくれないか」と依頼をいただき、エネルギー供給分野のお客様と直接提案・対話する機会を得ることができたことが大きな転換点となりました。そのお客様が抱えられていた課題は以下の通りでした。

エネルギーの生産・供給に関わる制御システムのメンテナンス対応なので、お客様側でもプラント構内に入るところからメンテナンス作業までがっちり有人監視のもと人為的リスクに対応されていたのですが、メンテナンス用プログロムファイルを制御システムが取り込むという、メンテナンス作業準備の最後に発生するセキュリティリスクに対しては対策をされていらっしゃいませんでした。ご相談いただいたタイミングは業界団体から一層のセキュリティ対策強化の要望が出たタイミングで、強化に向けた既存業務やシステムの残留リスクを洗い出した結果、可搬メディア(USBメモリやCD/DVDなど)の検査という要件が顕在化されたそうです。

その対策手法としては本ブログの前段で業務用PCにマルウェア対策エンジンを搭載した検査用PCでやる手法も検討されたそうなのですが、お客様の念頭にも重要インフラ分野の行動計画で求められるセキュリティ対策の強度の要件があり、「もっと強そうなものはないかなー？」とWebでリサーチされる中で「なんかいっぱいマルウェア対策エンジンを積んだ検査製品あるみたい」ってOPSWAT社の MetaDefender Kioskに気づいて頂いけことがご相談のきっかけだったそうです。

ご提案のあと、検証で機能・操作性評価を頂いたうえでご採用いただいたのですが、お客様がMetaDefender Kioskを採用評価した理由は以下の通りでした。

(1)マルチスキャンすごい！

検証評価でいろいろなマルウェア検体を検査にかけるとマルチスキャンでもマルウェア検出するエンジン、しないエンジンがあることを目の当たりにしたことで単一のマルウェア対策エンジンの検出率のばらつきとマルチスキャンの有効性を評価頂きました。

(2)お手軽、簡単！

MetaDefender Kioskは操作が直感的で簡単という点と検査用PCで検査するのに比べて検査進捗がグラフィカルでわかりやすいことを評価いただきました。

また上記の通りこのお客様は有人監視でメンテナンス作業を対応することから、作業現場で管理者の目の前でファイル検査を行いたいという要件に対して、ノートPCにも展開できる点を評価いただきました。

(3) 監査証跡ががっちり残る！

欧米の重要インフラを担う組織に採用されてきた製品なので検査の有無・検査済みのファイルが問題を起こした場合に備えてファイル検査単位のログがきちんと残せる点を評価いただきました(冒頭で触れた質問項目を使うことで可搬メディアを持ち込んだ事業者名・担当者名も残せる点や識別できる範囲で可搬メディアの製造元情報なども残せる点を評価いただけました)。

以上のように、エネルギー供給分野のお客様との対話を通じて重要インフラ産業のプラント・工場におけるMetaDefender Kioskの「活用要件」を発見することができました。

プラント・工場の可搬メディア(USBメモリやCD/DVDなど)のセキュリティ対策となると最終的には手軽さから単一マルウェア対策エンジンを搭載した検査用PCが採用されることが多いのも事実ですが、「マルウェア対策エンジンで対策しています」だけではなく「単一のマルウェア対策エンジンの検知率のばらつき=弱点を踏まえた上で、より強度の高い対策しています」という一段強度の高い可搬メディア(USBメモリやCD/DVDなど)のセキュリティ対策を求められるお客様にこそぜひ、MetaDefender Kioskを評価頂きたいです。

■MetaDefender Kioskの端末例

ここまでMetaDefender Kioskのアプリケーション機能の紹介をしてきましたが、MetaDefender Kioskを展開する端末例をご紹介いたします。

MetaDefender Kioskは基本的にPCに展開してお使いいただけますが、端末例としては上記のように汎用的なノートPCもありますが、設置後の端末設定をユーザにさせたくないという物理的セキュリティ要件がある場合はSurfaceに特注の金型スタンドを装着してMetaDefender Kiosk端末を保護する方法があります。また、プラント・工場などの入り口など通路動線に定常設置して検査させたい、という場合には特注品の専用筐体もございます。利活用シーンに応じて端末は選定いただけると幸いです。

■突然ですが。。。。

第4回ではプラント・工場市場におけるOPSWAT MetaDefenderをご紹介しきる予定だったのですが、MetaDefender Kioskだけでかなり文面さいてしまいました・・・ということで、次回第5回で今回ご紹介できなかったプラント・工場市場におけるMetaDefender DriveとVaultについてご紹介したいと思います。

【OPSWAT連載ブログリンク】