ICS研究所　制御システムセキュリティ対策と認証の最新情報

【安全への「特効薬」となる対策はない　海外グローバルと日本に認識格差】
〜株式会社ICS研究所　村上正志〜

■サイバーインシデント事例と対策

IoT（Internet of Things）を推進する中で、対岸の火事の火の粉が飛んできた事例を紹介する。

2016年になって、国内でこのような事例が出ている。工場内の制御システムをインターネットに接続しないということを決めているが、業務系の要請で、製造システムのデータをUSBメモリでPCに集めて、クラウド上のFTPサーバーにデータを上げて、業務系で利用する仕組みを作っている。

起きた現象としては、ある日、設備の一部の制御装置の制御システムで通信エラーが発生した。現場では通信ケーブルに異常が発生したと考え、予備の通信ケーブルを並列に取り付けた。その直後に装置がトリップした。

現場の設備は、設備別に異なる制御ベンダの製品で構成されていた。よって、トリップした装置は一部であったが、工場の排水処理施設であったために、復旧作業終了まで操業停止となった。

ここで、問題と対策であるが、

(1)PC内のセキュリティソフトやアプリケーションのアップデートのためにインターネット接続のターミナルの設定でInternet VPN以外の通信を許している

対策：パブリッククラウドをプライベートクラウドにしてIP-VPN接続にすることで公衆回線のインターネットを使用しない〈Industry4.1J〉

(2)USBメモリの運用方法で、マルウェアを拡散させている

対策1：USBメモリなどの電子媒体をセキュリティチェックする専用PCを用意してデータのリードライトごとにチェックする

対策2：セキュリティ検知機能付きのUSBメモリを使用する〈eICS：セキュリティ5S〉

(3)使用している制御製品の脆弱性をつくマルウェアがサイバーインシデントを起こす

対策：ICS-CERTのAlertやAdvisoriesで使用している制御製品のパッチ情報を入手してベンダのサポートを得てセキュアな制御製品管理を実施する〈eICS：脆弱性情報管理〉

(4)制御製品にマルウェアが侵入したことが検知できない

対策1：サイバーインシデント検知機能IDSを制御システムに装備する〈eICS：インシデント検知機能〉

対策2：制御システムネットワークにデコイサーバーを置いて、侵入したマルウェアを検知する〈eICS：セキュリティベンダ製品解説〉

(5)どの制御製品にマルウェアが侵入して、どの制御製品は正常なのかがわからない

対策：サイバーインシデント情報の監視システムを設置してオペレーションの訓練をする〈eICS：インシデント監視システム／Industry4.1J〉

(6)侵入したマルウェアの種類がわからないので、対処方法が判断できない

対策：制御システムに侵入したマルウェアで起きた現象情報や攻撃特性で種類を判断するツールを用意してオペレーション訓練をする〈eICS：インシデント対応／インシデントフロー〉

(7)制御製品に侵入したマルウェアを排除できない

対策：侵入したマルウェアの種類によって排除手順書を用意して作業ができるようにトレーニングを実施する〈eICS：インシデント対応〉

(8)制御製品を正常な状態に戻せない

対策：マルウェアの種類別に復旧作業マニュアルをそろえてトレーニングをして作業そのものを習得しておく〈eICS：インシデント対応／インシデントフロー〉

(9)制御システムにどのような脆弱性があるのかわからない

対策：定期点検時や改修工事の時に、制御システムネットワークに接続しているデバイスの接続確認と脆弱性検査を実施する〈eICS：セキュリティベンダ製品〉

(10)現場の従業員の制御システムセキュリティ対策に関するスキルがない

対策：制御システムセキュリティ対策専門のE-learning教育ビデオ講座やセミナーを受講して基本的な知見や認識を持つことを実施する〈eICS〉

など、やらなければならないことが多くある。だから、制御システムセキュリティ対策は、これをしておけば大丈夫という特効薬となる対策はない。

■海外のグローバル企業はどうしているか

2010年にStuxnetが発見されてから、世界中の制御システムエンジニアや制御製品開発技術者はショックを受けた。その後、米国のISA SecureにIECが制御システムセキュリティに関する国際標準規格IEC62443についての協力を求め、具体的な技術的対策が検討された。IEC62443のドラフトができ、ISA Secure認証の評価基準も決まっていく中、これに参加していた海外のグローバル企業は、自社の工場の制御システムセキュリティ対策と自社の制御製品のセキュア改革を2012年から2014年に至る間に実施していった。

■制御システムセキュリティ対策はIoT／CPSを支える基盤技術

日本国内でもIoTの推進に力を入れている活動が多く、開催されるセミナーでもIoTの事例発表が多くされているが、サイバー攻撃に弱い製造システムをセキュア改革しないまま、公衆回線を利用したインターネット接続をすることは、現場の安全そのもののリスクを抱えるだけでなく、操業停止による出荷停止は、企業の売り上げそのものを減らし、緊急対処のコストも増え、企業経営を脅かすことになる。

つまり、セキュリティ対策は、経営改革の一部であり、経営基盤を損わない大切な改革である。

企業経営のイノベーションとしてIoTは期待するところが大きいソリューションであるが、海外のグローバル企業の工場と日本企業の工場には、大きな差が出ている。

日本企業の多くは、制御システムセキュリティ対策ができていないのでクラウドを活用することが不十分である。

しかし、海外のグローバル企業は、制御システムセキュリティ対策を2012年から2014年の2年間かけて実施してきたことで、IoTだけでなくfog Computingも範囲に入れたネットワークのセキュリティ標準化やモデリング連携の標準化などにも取り組んでいる。

■ISA Secure認証の最新情報

ISA Secure認証のEDSA認証やSSA認証の中に合ったSDLA認証が独立して設置された。それによってSSA認証やEDSA認証の内容も見直しされて、バージョンが2になった。

経済産業省で制度化したIEC62443-2-1をベースにしたCSMS認証もV1.2が出され、三つ目の認証企業が登録された。さらに、CSMS認証取得を目指す企業が増えている。

■技術者のためのE-learning教育ビデオ講座

IEC62443やNISTのGuide to Industry Control System SecurityやISA Secureをベースにした制御システムセキュリティ対策を身に着けたいという技術者は多いと思うし、企業にとって重要な人材となることは言うまでもない。

ICS研究所では、この技術者のための制御システムセキュリティ対策技術を習得する目的でE-learning教育ビデオ講座（151講座）をリリースした。

講座は今後も最新技術や新製品が登場することもあり、ICS研究所が責任もって更新していく。受講するかどうかは、どのような講座内容なのかを体験してみないとわからないので、お試し体験も可能である。

何度も何度も繰り返し聴講して、スキルアップをし、それを維持していくために継続した受講をお勧めする。