プライベート5Gの活用意向とセキュリティリスクにおけるグローバルの意識調査第2回 Proof of “Security” Conceptの重要性

第1回　企業が求めるセキュリティ要件
第3回　テクノロジの進化とセキュリティ

企業におけるプライベート5Gの実装が進んでいます。トレンドマイクロがS&Pグローバル・マーケット・インテリジェンスのグループ企業で、情報テクノロジー調査・アドバイザリを提供する451 Researchと共同で2022年6月に公開した調査※では、全体の18％が既に生産現場において、プライベートワイヤレス5Gネットワークを展開しており、6％がPoCを行っている段階と回答しています。検討段階にある、という回答者を含めれば、60%以上の回答者がプライベート5Gを利用、検討している状況にあります。

本連載の第1回でも述べたように、プライベートワイヤレスネットワークの検討にあたっては、セキュリティの向上が最も重要な側面であることが確認されています。今回は、調査で明らかになったプライベート5Gのユースケースにおける利用者のセキュリティ対策の意識を紐解きます。

※世界4か国（アメリカ、ドイツ、イギリス、スペイン）における製造業、電力、石油・ガス、ヘルスケアの4業種を対象に実施。

セキュリティの懸念はデータ漏えいとネットワーク機器の侵害

プライベートワイヤレスネットワークの導入は、企業にとって新たな価値を生み出しますが、サイバーセキュリティの観点から見れば新たなアタックサーフェス（攻撃対象領域）を追加することにもつながります。

今回の調査では、ネットワーク上のデータ漏洩（31％）、ネットワーク機器の侵害（28％）がプライベートワイヤレスネットワークにおけるセキュリティ懸念事項の上位を占める結果となりました。

これらの懸念に呼応するかのように、ネットワーク上のデータ交換（25%）、ネットワークコアのデバイス（20%）がセキュリティの最重点対策ポイントとして上がりましたが、一方でそれ以外の回答は分散しています。プライベートワイヤレス5Gのような新テクノロジーの導入にあたっては、まだ十分なセキュリティアセスメントが実施されていないという実情が現れた結果かもしれません（図1）。

図１：質問「プライベートワイヤレスネットワークにおけるセキュリティの最重点対策ポイントは何だとお考えですか」（n=408 451 Researchカスタム調査）

自社でリスク評価を行う企業は１割未満

セキュリティアセスメントの第一歩は、対象システムにおけるリスク評価から始まります。今回の調査では、最も重要なプライベート5Gのユースケースにおいて、自分たち自身でリスク評価を行うと答えたのは全体の8％に留まりました。一方で、回答者の3分の1以上にあたる37%がパートナーと共同で評価する予定、21％がパートナーに評価を依頼する予定、と回答しました（図2）。

もちろんパートナーや第三者は、潜在的なリスクについて客観的な評価を提供し、また彼らの専門知識により、リスクの特定と管理がより強化される可能性があります。他方で、自社でリスク評価を行うと答えた割合が極めて低いことは、ユーザ企業のプライベート5G環境のリスク分析に対する自信の無さの表れである可能性もあります。

プライベートワイヤレスネットワークにおけるセキュリティアセスメントはどのように考えていくべきでなのでしょうか。

情報セキュリティアセスメントとも呼ばれるセキュリティアセスメントは、評価対象（例えば、ホスト、システム、ネットワーク、手順や個人など）が、特定のセキュリティ目標をどの程度効果的に達成しているかを判断するプロセスです。（NIST SP800-115による定義）

この観点から、プライベートワイヤレスネットワークを導入する際においても、企業のセキュリティゴールを反映したセキュリティの概念検証（PoC）、Proof of "Security" Conceptsが必要となります。

図2：質問「最も重要なユースケースにおいて、どのようにリスク評価を行う予定ですか」（n=408 451 Researchカスタム調査）

プライベートワイヤレスネットワークの具体的なリスクに関して、回答者の多くは、脆弱性によって引き起こされると感じているようです（図3）。最も重要な攻撃ベクタとして回答された上位5つのうち4つは、脆弱性に関連するリスクでした。

図3: 質問「プライベートワイヤレスネットワークでの、最も重要な攻撃ベクタや脆弱性は何だと考えていますか」（n=408 451 Researchカスタム調査）

こうした回答者の懸念は残念ながら外れてはいないようです。

2021年、アンダーグラウンドの攻撃者（脅威アクター）はRaaS（Ransomware as a Service）グループとしてチームを組み、マルウェア、エクスプロイト、攻撃用ツールなどを組み合わせた攻撃で、世界中のヘルスケア、保険、製造、運輸、石油およびガス業界の組織を悩ませました。

プライベート5Gのセキュリティに関して我々が行ったフィールドテストにおいても、こうした脆弱性に起因する侵入の可能性を指摘しています。

また、調査では、約80%の回答者が何らかの形で既存のエンタープライズネットワークまたはICSネットワークとプライベート5Gネットワークを接続する意向があると答えました（図4）。

図4: 質問「どの程度プライベートワイヤレスネットワークをエンタープライズネットワークやICSネットワークに相互接続する予定、もしくは接続していますか」（n=408 451 Researchカスタム調査）

この場合、プライベートワイヤレスネットワークのリスクアセスメントやセキュリティの検討は、プライベートネットワーク単体に留まらず、それらと接続される企業全体のネットワークセキュリティとして進められるべきです。

多くの企業がプライベートワイヤレスネットワークの活用を推進していますが、こうした新しいテクノロジーの導入にあたっては、PoCの段階で、5Gのパフォーマンスやシステム稼働といった機能要件の確認のみに留まらず、企業全体のセキュリティに対する概念検証（PoC）を同時に進められることを強く推奨します。

次回の第3回では、今後のプライベート5G実装で求められるセキュリティについて考察します。

第三回の記事はこちら

調査のエグゼクティブサマリ
Security Expectations in Private 5G Networks:A Journey with Partners（英語）
https://resources.trendmicro.com/IoT-5G-Networks-Report.html

調査概要
本レポートは、トレンドマイクロの委託を受け、アメリカ、ドイツ、イギリス、スペインで実施した調査のデータを活用しています。調査対象は、製造業、電力、石油・ガス、ヘルスケア業界における部長職以上の役職を持つ、上記各国の約400名の回答者です。
回答者の役職例：
-VP/IT事業部　部長/CIO
-IT・ネットワーク事業部部長/ネットワーク構築担当者/データセンタのインフラおよびネットワーク、5G戦略、ネットワークの仮想化、エッジコンピューティングのプラン策定者/MEC戦略立案者/上記同等の役職者
自社のプライベート5Gワイヤレスネットワーク戦略や導入計画、推進計画、セキュリティに関する懸念などを把握している意思決定者を対象としています。

トレンドマイクロでは、IT,OTそして、プライベート5Gに代表されるCT（Communication Technology）を包含する業界別のセキュリティソリューションを提供しています。
https://www.trendmicro.com/ja_jp/business/solutions/iot/smart-factory.html

トレンドマイクロ企業向け5G セキュリティ
https://www.trendmicro.com/ja_jp/business/solutions/iot/enterprise-5g-iot.html