CERN：国際研究機関はどのようにリスクを管理しているのか？

欧州原子核研究機構（CERN）ほどの規模と範囲を持つ研究機関は、世界でもそう多くない。1954年に欧州12か国によって設立された欧州素粒子物理学研究所は、ジュネーブ州メイラン（スイス）に所在するが、その施設は仏瑞国境沿いに広がっている。その中には、世界最大の粒子加速器である大型ハドロン衝突型加速器（LHC）も含まれる。国際協力はその成り立ちの中核にある。常勤職員は3,500人以上。さらに、80か国以上の約950機関から集まる科学スタッフを加えると、17,000人規模に膨らむ小さな村のような存在だ。この自前のエコシステムにおいて、ITリスク管理は大きな課題となっている。

「最大の問題は、私たちが巨大な組織を運営していることです」と、CERNのCISOであるステファン・リューダースは説明する。「私たちは地球上で最も重要な素粒子物理学研究機関の一つです。高度で興味深いことをしているため、さまざまなコミュニティから攻撃の標的になります。」彼は想定される脅威をいくつか挙げる。基礎的な知識を持つスクリプトキディやハッカー（いずれも潜在的なセキュリティリスクとなり得る）、ランサムウェアやデータ流出、CERNの業務への妨害、スパイ行為、そしてコンピュータや他のデバイスを通じて侵入を試みる犯罪グループなどだ。

「ここで重要になるのが人です。私たちには非常に大規模で多様、かつ流動性の高い研究コミュニティがあります。毎年多くの物理学者が組織に加わります。彼らは入ってきて、博士課程のために、CERNで研究を行い、その後去っていきます」と彼は述べ、こうした「ユーザーコミュニティの面倒を見る」ことの難しさを指摘する。「もう一つの課題は、柔軟で急速に発展するITの世界です。」これには、プログラミング（オープンソースライブラリの取り込みやそのセキュリティなど）やAIも含まれる。「AIが高度化するほど、AI駆動のセキュリティツールや攻撃ツールが組織に侵入を試みる可能性は高まります。」

CERNを守る

科学活動を妨げずにサイバーセキュリティ施策を効果的に実装するにはどうすればよいのか。「できません」とリューダースは断言する。「サイバーセキュリティは不便です。現実を直視しましょう。」彼はそれを、玄関の鍵をかけることやATMで現金を引き出すためにPINを使うことに例える。面倒ではあるが必要なのだ。「私たちは、なぜセキュリティ対策が必要なのかをコミュニティに説明しようとしています」と彼は言う。「そして、私たちの環境に合わせてセキュリティ対策を適応させれば、人々はそれを受け入れます。確かに研究は少し複雑になりますが、ほんの少しです。」

リューダースは研究活動という要素を強調する。「私たちは銀行ではありません。何十億ドルも持っていません。軍事基地でもないので、国を守る必要もありません。私たちは研究をしているのです。つまり、セキュリティの水準と学術的自由の水準を、両者が両立するように調整する必要があります。そしてそれは、ユーザーコミュニティとの継続的な対話です。」対象は、科学スタッフから産業用制御システムの運用、IT、人事にまで及ぶ。「この課題に対応するには、人と話すことが不可欠です。だからこそ、私は繰り返し言うのですが、サイバーセキュリティは非常に社会学的な問題なのです。人と話し、なぜこれを行うのかを説明することです。」

例えば、多要素認証を進んで使う人ばかりではない。というのも「正直、面倒だからです。パスワードを入力する方がずっと簡単ですし、そもそも誰がパスワードを入力したいでしょう？ただログインしたいだけです。」しかし保護の必要性から、今日ではパスワードと多要素認証が求められる。だから「何を守っているのかを人々に説明するのです。私たちは、彼らの仕事や研究成果を守ることがなぜ重要なのかを伝えます。大多数は、一定のセキュリティレベルが必要だと理解しています」と彼は言う。「ただ、ここには多くの異なる文化、国籍、意見や考え方、背景があるので難しい。私たちはそれに常に適応しようとしています。」

CERN

独自技術の採用はリスクをもたらし得ると、CERNのITガバナンス、リスク、コンプライアンス部門の責任者で、事業継続と災害復旧を担当するティム・ベルは述べる。「大学の訪問者であれば、自分のノートPCを持ち込み、CERNで使いたいと思うでしょう。施設に到着した際に、これらの電子機器を取り上げることはできません。それは組織の性質と相容れないからです。つまり、BYOD型のセキュリティ対策を実装できなければならないということです。」

なぜなら、CERNの中核には常に協働という性質があるからだ。「学術論文、オープンサイエンス、研究の自由は、私たちの中核の一部です。サイバーセキュリティはこれに適応する必要があります」とリューダースは指摘する。「私たちのネットワークにはBYODのデバイスが20万台あります。」では、サイバー防御の適応はどのように適用されるのか。「それは多層防御（defense in depth）と呼ばれます」とCISOは説明する。「これらのエンドデバイスは私たちの所有物ではないので、何もインストールできませんが、（…）ネットワーク監視は行っています。」このように、各デバイスへ直接アクセスできなくても、サイバーセキュリティの観点でも不適切利用の観点でも、センターのポリシーに反する行為が行われた際には警告を受け取れる。例えば、提供された技術を個人的な目的のために利用する、といったケースだ。

これらの対策は旧式システムにも及ぶ。組織は、仮にある機器が侵害されても他のCERNシステムに損害が及ばないほど十分に強靭なネットワークを備えているため、それらを取り込むことができる。レガシー技術の問題は、センターで行われている物理実験に必要な機器にも及ぶ。「これらは専用ネットワークで保護されており、ネットワーク防御が機能して、あらゆる種類の悪用から守ることができます」とリューダースは説明する。サイバーセキュリティを念頭に設計されていないIoT接続デバイスについては、「あらゆる業界に共通する問題」だとした上で、リューダースは率直だ。「IoTデバイスでセキュリティを得ることは決してできません。」解決策は、それらを他と通信できない制限付きネットワークセグメントに接続し、通信を許可する宛先を定義することだ。

全体的な枠組み

これはより大きな課題の一部である。すなわち、組織全体でセキュリティの連続性を確立するために、ITとOTの両面を整合させることだ。その課題は中央集約化を通じて進められる。「現在、CERNのOT側、つまり制御システムはITの仮想化を利用しています」とリューダースは説明する。「戦略は、IT担当者と制御担当者を一緒にして、制御担当者がITサービスを有利に活用できるようにすることです。」技術部門からは、運用向けのさまざまな機能に加え、組織内の他領域向けの機能も備えた中央システムが提供され、単一の入口からアクセスできる。「それが中央集約化の力です。」このシステムには、LLMのAIツールのような新しいツールも含まれ、最適な活用方法を見いだすためのワーキンググループが設置されている。「私たちは大きな探索の段階にあり、その後、中央ITサービスとして中央集約化します。すべての技術で同じように進めています。」

CERNで研究されるテーマが進化しているのと同様に、ITガバナンスの枠組みも進化している。ベルによれば、これは業界の動向に追随しており、ベストプラクティスに沿って運用できるようにする監査と並行して進められている。「ガバナンスの部分はより正式になってきています。全体としてはよく整理されていましたが、標準化し、その周りにポリシーの枠組みを整備する必要があっただけです。」これらの標準を確立しても、結果は硬直化とは逆だとベルは説明する。最近のサイバーセキュリティ監査で、CERNが国際標準の一つに照らして評価され、成熟度の向上につながった事例を挙げる。「私たちはかなり柔軟なITガバナンスポリシーを採用しており、業界標準を取り入れるにあたって他者の経験から学んでいます。」