アイダホ研 ホフマン氏、侵入実験で国に訴え

　パーラー氏に続き、「重要インフラに対する脅威と防御対策の最前線」と題して演壇に立ったのは、アイダホ・ナショナル・ラボラトリーのロバート・ホフマン氏だ。

アイダホ研究所で重要インフラ防御サイバーセキュリティリサーチマネージャを務めるロバート・ホフマン氏

　アイダホ・ナショナル・ラボラトリー（アイダホ研究所）は米国エネルギー省や国家安全保障省に近い外郭団体で、社会的に重要なインフラの脅威となるサイバーテロへの対策を研究している組織だ。米国では重要インフラを17に規定しているが、アイダホ研究所ではそれぞれのリスク軽減のためにチームを作って研究し、成功を収めてきているという。

　ユニークなのは、攻撃を受ける側だけでなく、攻撃者そのものについても研究していることだ。

　例えば、国土安全保障省のモデルを作り、そこへ実際に侵入を試みさせたケースでは、攻撃チームは30日かかって侵入に成功。発電機などの機器の制御が効かなくなったという。国家機関をモデルに侵入実験を行うなど、いかにもセキュリティ先進国米国らしい試みといえるだろう。

　こうした実験結果を使って国に訴えたため、対抗策が導入され、リスクが除去できた。アイダホ研究所では国の機関やインフラのほかにも、ベンダーやメーカーなどの民間ともチームを組んで研究を進めている。それは製品のセキュリティ向上に結びついているという。

　ホフマン氏は最後に、企業のCSOが陥りやすい陥穽（かんせい）として「どんな企業のCSOも、5年もたつと自分の会社に導入されているシステムを知らないか、忘れてしまっている。攻撃者はまさにその、CSOがもっとも関心を持っていない部分を攻撃してくるのだ」と指摘。これに立ち向かうには「不必要なものはシステムから取り除いていくべきだ」と締めくくった。