セキュリティデジタルツインによりセキュリティ対策がOTシステムに及ぼす影響を事前にシミュレートする。

物理に興味を持った少年とパソコン好きの少年が日立で出会う

辻：大学では理学部で地球物理学を学び、大学院で理学の博士号を取得して2020年に日立に入社しました。学生時代には物理の基礎研究と惑星現象への応用を専門に研究していました。物理を学ぼうと思った明確なきっかけは、子どものころに電車に乗っていて発車するときにオットットとなる謎の力が発生することが不思議だったことです。高校で物理を学び、慣性力という見かけの力を使って方程式で記述できることを知ったとき、世の中を見る視点が豊かになる感覚を覚えました。例えば、慣性力のような見かけの力は惑星の円運動の理解にもつながりますよね。

就職の際には、アカデミアか産業界のどちらに進むのかキャリア選びで迷いました。そのときに大学の先輩から紹介があり、日立の研究部門の門を叩いてみることにしました。大学では基礎研究をしていましたから、企業の人に研究内容を理解してもらえるのか不安でしたが、面談を受けてみたところ、単なる学生としてではなく一人の研究者として対等に話を聞いてもらえたと感じました。こうしたオープンな場であれば仕事がしやすいだろうと入社を決めました。

田村：大学時代はネットワーク分野のセキュリティの研究をしていました。Software Defined Network（SDN）というソフトウェアでネットワークを制御する技術で、ユーザーの属性に応じたアクセスコントロールを実現するものです。子どものころからパソコンが好きで、大学でもその延長線上で研究テーマを選びました。小学生のころ、自宅ではパソコンを使わせてもらえなかったので、学校のパソコンを使っていたのですが、教育目的の設備としての端末ですから厳しい制限がたくさんかかっていて「セキュリティって随分利便性の邪魔をするものだな」と感じていました。これが長じて大学でセキュリティを学ぶようになると、「セキュリティはユーザーに安全というサービスを提供するもの」であると認識が一変しました。ユーザーに不便を強いることなくセキュリティを確保できるネットワーク技術の研究に進んだのは、子ども時代の体験が遠因だったような気がします。

修士課程を修了して就活しようとしたときはエンジニアに目が向き、研究者になるつもりはありませんでした。そのとき卒業生に、「君はいろんなものに興味があるみたいだから、エンジニアよりは研究者に向いていると思うよ」と指摘されました。そこで就活の方向性を変えたところ、日立のセキュリティの研究者の募集に出会い、就職することになった、というわけです。

可用性を担保する技術としてデジタルツインが貢献できると考えたのが最も重要なポイント

辻：入社後は、OTシステムのセキュリティを一貫して担当しています。学生時代は物理を研究していたので、日立の研究分野で興味があったのは、粒子シミュレーションや人流シミュレーションといった分野でした。最適化技術を組み合わせれば、日立でも需要があると考え、研究開発したいという思いから日立に応募したんです。ところが実際に担当することになったのはOTセキュリティでした。大学の研究では制御機器も触っていたので「OT」には関わりがありましたが、「セキュリティ」は想定外だったので最初は困惑しました。それでも、OTセキュリティが盛り上がる機運も感じて、「ピンチをチャンスに変えてやれ」と考えたことを覚えています。2021年からは、OTセキュリティにデジタルツインの要素を組み合わせた研究開発プロジェクトを立ち上げ、現在に至っています。

田村：私は2019年に入社し、クラウドセキュリティをメインで担当しました。日立ではLumada でさまざまなアプリをノーコードも含めて提供しています。ノーコードなどによりこれまで開発を経験したことのない人がアプリを作れるようになると、アプリをセキュアに保つ仕組みが求められます。そこで開発者が意識せずともセキュリティが自動で確保される「Secure by Default(セキュアバイデフォルト)」の研究を行っていました。2年ほど経った2021年に、セキュリティデジタルツインの研究へと担当が変わりました。

辻：従来はサイバー攻撃の標的と言えばITシステムというのが一般的でしたが、ここ数年は社会インフラや製造業を中心にOTシステムを狙ったサイバー攻撃が急増しています。ところが対策を施そうとすると、ITとOTでは異なるアプローチが必要になることがわかります。ITセキュリティで最も重要なことは「データを守る」ことですが、OTはモノを動かすので安定してシステムが動き続けることが最重視されます。止めるわけにはいかない。つまりOTセキュリティは「可用性の担保」が最もプライオリティが高い。ITならば当たり前に行われるセキュリティパッチ適用のためのシステムの一時停止も、OTでは許容されないケースも多いのです。

そのためOTシステムにおいては、セキュリティと可用性の両方を担保する技術が求められます。この検証や評価にデジタルツインが貢献できると考え、セキュリティデジタルツイン（SDT）の研究が立ち上がりました。

田村：ITシステムにおいては、サイバー攻撃の影響を検証するために、ペネトレーションテストといって、実際に環境を用意して、攻撃してみて影響を測る方法が採られることがあります。しかしOTと同様に影響を見ようと思うと、「実際に攻撃してみたら機器が壊れました」というようなテストはできないわけです。これまでITで研究してきた知見を、OTで業務に連携させるときに、どういうモデルに落とし込んでシミュレーションに持っていったらいいか、当初は悩みながら研究していました。

辻：私たちが設定したテーマは、新しくセキュリティ対策を施したときにOTシステムに現れる影響を事前に調べることです。セキュリティの観点からは、これだけ対策をするとシステムが安全になるという効果があります。一方で、その対策を施すことによってシステムが一時的に止まるなどのマイナス影響が生じることもあります。「この業務は絶対止めてはならない」「これは一時的ならば止まっても良い」といった制約と、セキュリティの効果のバランスを見て、経営層として妥協できる点を探そうというのがセキュリティデジタルツインの狙いです。業務継続性とセキュリティのバランスを見てセキュリティ対策の実装を判断できる、世界初のコンセプトが出来上がりました。

3層モデルでOTシステムをデジタルツイン化

辻：OTシステムをデジタルツインで再現するとき、過去の論文を探りながら、どうやって業務への影響を評価していくのかを検討しました。どんなモデルを作ったらスケーラブルで、多方面に展開できるモデルができるか、アーキテクチャを確立するのに1年ほど試行錯誤を重ねました。そうして作ったのが、OTシステムの「3層モデル」です。従業員や攻撃者などの人を示す「アクター」、情報機器などの「アセット」、業務を示す「プロセス」の3層に分割して、デジタルツインのモデルを構築します。3層でモデル化したサイバー空間で、セキュリティ対策やサイバー攻撃による業務への影響をシミュレートした上で、最適な対策をフィジカル空間のOTシステムに対して同期させます。

3層モデルのメリットとして、専門家の知見を各層のモデルに反映できることが挙げられます。例えば、製造業向けに作ったプロセス層のモデルを別ドメインのモデルに置き換えるだけで、別分野の社会インフラに対しても技術適用ができます。この３層モデルは日立オリジナル技術(特許出願中)でして、計測自動制御学会の2024年度論文賞を頂くなど、高い評価をいただいています。
※参考文献：辻大輔 他, 3-layer modelling method to improve the cyber resilience in Industrial Control Systems, SICE Journal of Control, Measurement, and System Integration , Pages 63-74 | Published online: 26 Feb 2023

田村：当初は製造業をターゲットにして研究開発を始めたプロジェクトですが、製造業だけで終わってしまっては勿体無い。他の業界にも拡張できるように、さらにOTだけでなくITでも使えるように、汎用化をめざしています。

辻：このプロジェクトでは、OTのシミュレーションができる私と、情報セキュリティの専門家の田村さんと、もう1人ネットワークの研究者が開発を進めていました。3層モデルが出来上がってから振り返ると、3人が得意なところをレイヤーとして分担して作業したのだなと考えることもできそうです。全体の価値を最大化するときに、得意なところをレイヤーで分けて開発し協力していったのが今回の成果なので、つまり研究開発自体が3層モデルだったんですね（笑）。

技術開発の次に待ち構えた「伝える」という関門

田村：コンセプトが具体化できて、この方向で行けるとなってからの問題は、コンセプトがなかなか理解してもらえないことでした。ITの人は、「パッチをなぜ適用しないの」と考えますし、OTの人は「業務影響の評価も何も、機器を止めたらだめだよ」と考えます。日立の内部でもなかなか実証に取り組めない状況でした。

そこで、どうしたら伝わるかを考えた末に作ったのが「セキュリティデジタルツイン」の紹介動画でした。コンセプト段階で動画を作って世の中に広めるということは、私たちにとっては大きなチャレンジでした。ストーリー仕立ての動画で、セキュリティデジタルツインがないとどうなるか、現場の人と経営者がどう動かないといけないかなどを説明しています。これでかなり意味が伝わるようになったと思います。

辻：動画の効果は大きかったですね。研究者として学会発表や論文執筆にやりがいを感じる一方、こうした世間に広く認知してもらうための取り組みも大切なのだと学びました。

田村：ほぼ同じころ、セキュリティデジタルツインが実際にどう動くかを示すプロトタイピングを始めました。情報をどのように入れて、実際にどう動いて、どのようなインタフェースで表現するのか、プロトタイピングしてみないと先に進まないと感じていました。そうしたころに、日立のお客さまに研究技術を紹介するイベントに合せてプロトタイプを作る必要性が出てきました。

辻：2021年にプロジェクトが始まり、1年目でコンセプトを立て、2年目になって成果が求められたころでした。プロトタイプを見せて価値をわかっていただく必要があると考えて、イベントに合わせてものすごい勢いで作りました。2年目の秋にプロトタイプとして動く3層モデルのデジタルツインを体感いただき、価値を認めてもらえるようになりました。

田村：実際、1カ月か2カ月でイベントに間に合わせて開発しましたよね。いざ紹介してみると、お客さまから「いいね」「これ、やってみたい」といった多くのお声をいただきました。そもそものコンセプトを伝わりやすくするための動画と、実際に動く技術を見せるプロトタイプの両方があって、お客さまに真意を伝えることができたと思います。

辻：プロトタイプは、Webアプリケーションとして作り、評価を見える化できるようにしました。アセットのデータを入れるとネットワーク図が自動的に生成され、同時に脆弱性の情報が収集されます。その上でどのアセットを使って、どのようにプロセスが動くかといった情報をGUI（グラフィカルユーザーインタフェース）で入力します。すると、アクターがアセットにセキュリティ対策を適用したときにプロセスがどう変化するかをシミュレーションできます。

田村：例えば、「生産業務」「遠隔監視業務」「品質保証業務」の3つの業務プロセスがあるときに、3種類のセキュリティ対策があったとして、これらを適用したときに業務が時間軸でどう推移するかがグラフ化されます。対策1と3では生産に影響が出る一方で、対策2だと遠隔監視業務が止まるけれど生産は止まらない－－といったことが見える化できます。

辻：事業を継続するためには、どうバランスを取るか。現場で全部を満たすことは難しいですから、どこまでなら許容できるかといったことを、事前にシミュレーションできることをプロトタイプで伝えられるようになりました 。

シミュレーションから対策の実施の自動化までを目標に

田村：現在までの成果としては、プロトタイプを使ってPoC（概念実証）にたどり着けたことが大きいです。セキュリティデジタルツインという難解なコンセプトに賛同してもらって、「自社のデータを使って分析してみてほしい」という社外のお客さまとのPoCに2023年度から取り組みました。まず攻撃が見えるようにしてほしいという要望に応えて評価をいただき、現在までに対策のシミュレーションにも拡大しています。プロトタイプを本番のシステムに実装したときに、シミュレーションと実態が乖離していないかどうか、対策が受け入れ可能かを評価しているところです。

現在はセキュリティ対策によって業務への影響をシミュレーションするまでにと留まっていますが、今後は業務への影響が少ない最適な対策を自動適応できるようにすることが目標です。これを入れると工場のセキュリティ環境が自動的に良くなるといった形で、より多くのお客さまにセキュリティデジタルツインを使ってもらえるようにしていきたいです。工場の専門家も、セキュリティの専門家もたくさんいらっしゃいますが、両方がわかる工場セキュリティの専門家は意外と少ないのが実情です。両方がわかる専門家の代わりにセキュリティデジタルツインが役立つと考えますし、AIとも相性がいい分野だと思います。対策ができていなくて攻撃を受けている現状を変えていきたいと考えています。

辻：プロトタイプをイベントで展示したときに、経営層の方が続々と集まってきたことに驚きました。そこから社外のお客さまとPoCを実施した実績ができ、またプロトタイプ、動画のおかげで様々なところから声がかかるようになってきました。これから社内も含めて事例を増やしていって、セキュリティデジタルツインの製品を実際にリリースできるまで、粘り強く取り組んでいきたいと思います。

書籍

セキュリティ研究に舵を切った学生時代の書籍との出会い

セキュリティの歴史を知って最新技術を見つめる目を育む