今回は、リモートサービスにおける制御セキュリティ対策を取り上げてみました。
セキュアでありながらコストを抑えるリモートサービスとは
社会インフラ系の設備にインターネットを利用したリモートサービスのIoTを提案している企業がまだ多いようです。
しかし、セキュリティを意識せざるを得なくなったユーザの中には「インターネットを利用せずに専用回線で設備にリモート通信すること」を検討している所も出てきました。その専用回線の通信費が月に数万円というので中には高いと感じられる方もいると思いますが、むしろそのやり方でセキュリティを考慮したリモート通信を実現するには更なるコスト増となります。
直接インターネットにつながっていなくても顧客の設備管理の中で間接的にマルウェアが侵入するリスクがあります。設備に侵入したマルウェアは、専用回線を介してリモートサーバーへ感染し、他のリモートサービス先の設備に感染していきます。近年、マルウェアの暗号化やOS環境を選ばないスクリプトタイプが増えていることから、アンチウイルスソフトでのウイルス/マルウェア検出率が落ちていることは、セミナーなどでお伝えしてきております。対処方法としては、リモートサービスする側にDMZを設置してホワイトリスト方式で対応することで、リモートサービスする企業のServerだけでなく、大切な顧客へ納品している設備及び顧客のネットワークも守ることになります。
よって、専用回線を引き、DMZを設置し、これを維持管理していく費用は月に数万円では済みません。
そこで、コスト面でも維持管理面でも有利なプライベートクラウドを通信の中継Serverとして使用するBtoBをお勧めしております。プライベートクラウドを利用すればインターネットを介さず、クラウド内のDMZを介して通信するのでセキュリティ面でもメリットがあります。
また、それらの対応と同時に設備があるお客様のところではセキュリティ5Sやネットワークのセグメント設計及びゾーン設計を実施し、オペレーション管理やオペレーション操作における様々な制御セキュリティ対策が必要となって参ります。
しかし、セキュリティを意識せざるを得なくなったユーザの中には「インターネットを利用せずに専用回線で設備にリモート通信すること」を検討している所も出てきました。その専用回線の通信費が月に数万円というので中には高いと感じられる方もいると思いますが、むしろそのやり方でセキュリティを考慮したリモート通信を実現するには更なるコスト増となります。
直接インターネットにつながっていなくても顧客の設備管理の中で間接的にマルウェアが侵入するリスクがあります。設備に侵入したマルウェアは、専用回線を介してリモートサーバーへ感染し、他のリモートサービス先の設備に感染していきます。近年、マルウェアの暗号化やOS環境を選ばないスクリプトタイプが増えていることから、アンチウイルスソフトでのウイルス/マルウェア検出率が落ちていることは、セミナーなどでお伝えしてきております。対処方法としては、リモートサービスする側にDMZを設置してホワイトリスト方式で対応することで、リモートサービスする企業のServerだけでなく、大切な顧客へ納品している設備及び顧客のネットワークも守ることになります。
よって、専用回線を引き、DMZを設置し、これを維持管理していく費用は月に数万円では済みません。
そこで、コスト面でも維持管理面でも有利なプライベートクラウドを通信の中継Serverとして使用するBtoBをお勧めしております。プライベートクラウドを利用すればインターネットを介さず、クラウド内のDMZを介して通信するのでセキュリティ面でもメリットがあります。
また、それらの対応と同時に設備があるお客様のところではセキュリティ5Sやネットワークのセグメント設計及びゾーン設計を実施し、オペレーション管理やオペレーション操作における様々な制御セキュリティ対策が必要となって参ります。
医療関係設備のリモートサービス
今年、4月後半におきましたWannaCry+Ransomwareをはじめ、Goldeneye+Ransomware、Petya+Ransomwareなどの被害で医療機関関係が多かったことはニュースなどで日本国内に広く知るところとなりました。この被害を大きくしたのもリモートサービス事業をしている企業のServer経由で広がってしまったところもあって、「そこにホワイトリスト方式のDMZを装備していれば」「リモート通信仕様をセキュリティレベルが高いOPC UAを使用していれば」「セキュリティレベルが高いWindows10や2016Serverを使用していれば」「現場管理にセキュリティ5S活動を実施していれば」「施設内ネットワークにセグメント設計/ゾーン設計がサイバーリスクアセスメントを実施して対応していれば」「セキュリティ性能や機能を持つ制御装置が使われていれば…」などの話が出て参ります。
物流システムやロジスティック管理システムでの制御システムセキュリティ対策
企業製品における物流システムで複数の企業連携を実施していることと思います。
例えば、製造工場より出荷した製品をエリアの物流倉庫に大型トラックで輸送し、その物流倉庫から中間倉庫を経由して店舗別に中型・小型トラックで配送しているケースにおいても、その物流管理システムと倉庫間、輸送トラック間の通信にも適切な情報セキュリティ対策が施されているべきですが、物流倉庫の冷凍機や冷蔵機の自動倉庫/半自動倉庫リモートサービスには制御セキュリティ対策が充分でしょうか?
風力発電や半導体工場でも局所的気象情報を扱ったIoT化が進んでいます。物流管理システムにおいても局所的気象情報を組み入れた管理も交通情報と同じく取り入れるソリューションが考えられます。
IoTを導入される時には、情報セキュリティ対策はもちろんですが、設備関係には制御セキュリティ対策が不可欠です。
例えば、製造工場より出荷した製品をエリアの物流倉庫に大型トラックで輸送し、その物流倉庫から中間倉庫を経由して店舗別に中型・小型トラックで配送しているケースにおいても、その物流管理システムと倉庫間、輸送トラック間の通信にも適切な情報セキュリティ対策が施されているべきですが、物流倉庫の冷凍機や冷蔵機の自動倉庫/半自動倉庫リモートサービスには制御セキュリティ対策が充分でしょうか?
風力発電や半導体工場でも局所的気象情報を扱ったIoT化が進んでいます。物流管理システムにおいても局所的気象情報を組み入れた管理も交通情報と同じく取り入れるソリューションが考えられます。
IoTを導入される時には、情報セキュリティ対策はもちろんですが、設備関係には制御セキュリティ対策が不可欠です。
リモート脆弱性管理サービスの盲点
リモートサービスで制御システムネットワークの脆弱性管理サービスを検討されている方もしくはすでに利用されている方へいくつか質問があります。
設備や制御装置や機械などのリモートサービスにおいては、情報セキュリティ対策だけでは不充分です。必ず制御セキュリティ対策が必要です。主要な設備についてはIndustry4.0/IICでは更に多層防御対策を施していくことが進んでおります。
- 制御システムネットワークとセキュリティ監視システムネットワークの間はアイソレートされていますか?
- インシデント検知機能の適応範囲は確認されていますか?
- リモートサービス用にインストールしているソフトのペネトレーション(脆弱性)テストは定期的にされていることを確認していますか?その結果報告は受けておりますか?
- インターネットを利用されていますか?
- 情報セキュリティISMSの項目より制御セキュリティCSMSの項目範囲が多いことをご存知ですか?
設備や制御装置や機械などのリモートサービスにおいては、情報セキュリティ対策だけでは不充分です。必ず制御セキュリティ対策が必要です。主要な設備についてはIndustry4.0/IICでは更に多層防御対策を施していくことが進んでおります。
サイバー攻撃請負業
中国にサイバー攻撃請負業者が多いのですが、韓国でも100ヶ所以上あるという情報(売り上げも30億円以上あるそうです。)もあります。5・6人程度のグループでDDOS攻撃する請負業者がほとんどだそうですが、欧米方面では、高度な技術を使った請負業者が専用サイトを作って追跡が難しいビットコインで取引されているとのことです。
これらの制御セキュリティ対策についてはICS研究所のeICSを受講されれば具体的対策が学べます。
eICSのダイジェスト版視聴、価格確認、見積書依頼、お申し込み、お問合せのページはこちら
eICS受講費用は、社内研修費で確保されたり、(内閣サイバーセキュリティセンターの「サイバーセキュリティ2015/2016」及び経済産業省が公示されている「サイバーセキュリティ経営ガイドライン」に沿った)企業方針に従って人材育成の一環で予算を確保して計画的に実施されたりすることをお勧めしております。
ICS研究所のeICSの講座に「安全とセキュリティ」カテゴリが追加になりました。
重要インフラや製造現場には、危険リスクがあります。その対策として安全対策があります。私たちは、その安全対策である本質安全、機能安全、機械安全、電気安全、グループ安全などについて従来積み上げてきた技術や管理方法があります。ところが、サイバー攻撃技術の高度化(アンチウイルスソフトの検知率低下、スクリプトタイプのマルウェア登場、制御コントローラを標的にしたマルウェアの種類増加など)によりコンピュータ部分の脅威リスクを上げている事実を改めて認識しなければなりません。IEC TC65 WG20でも「安全とセキュリティ」をテーマにして検討が進められていますが、現場の脅威リスクは急激に高まる一方です。そこで、ICS研究所では、「安全とセキュリティ」の講座シリーズを追加することにしました。
(2017年8月4日現在)
追加した「安全とセキュリティ」の講座(3講座)
・機能安全と制御セキュリティ対策 その1/その2/その3
追加予定の「安全とセキュリティ」の講座(10講座)
・機械安全と制御セキュリティ対策 その1/その2/その3
・安全と制御セキュリティ安全 その1/その2
・グループ安全と制御セキュリティ対策 その1/その2
・多層防御対策技術
・事故から学ぶ安全とセキュリティ その1/その2
編集・検証が済みeICSにアップした際は、お知らせします。尚、IEC TC65 WG20及びIEC63069が進んで参りましたら、その都度内容を確認して、該当講座の講義内容を更新して参ります。
eICS受講費用は、社内研修費で確保されたり、(内閣サイバーセキュリティセンターの「サイバーセキュリティ2015/2016」及び経済産業省が公示されている「サイバーセキュリティ経営ガイドライン」に沿った)企業方針に従って人材育成の一環で予算を確保して計画的に実施されたりすることをお勧めしております。
ICS研究所のeICSの講座に「安全とセキュリティ」カテゴリが追加になりました。
重要インフラや製造現場には、危険リスクがあります。その対策として安全対策があります。私たちは、その安全対策である本質安全、機能安全、機械安全、電気安全、グループ安全などについて従来積み上げてきた技術や管理方法があります。ところが、サイバー攻撃技術の高度化(アンチウイルスソフトの検知率低下、スクリプトタイプのマルウェア登場、制御コントローラを標的にしたマルウェアの種類増加など)によりコンピュータ部分の脅威リスクを上げている事実を改めて認識しなければなりません。IEC TC65 WG20でも「安全とセキュリティ」をテーマにして検討が進められていますが、現場の脅威リスクは急激に高まる一方です。そこで、ICS研究所では、「安全とセキュリティ」の講座シリーズを追加することにしました。
(2017年8月4日現在)
追加した「安全とセキュリティ」の講座(3講座)
・機能安全と制御セキュリティ対策 その1/その2/その3
追加予定の「安全とセキュリティ」の講座(10講座)
・機械安全と制御セキュリティ対策 その1/その2/その3
・安全と制御セキュリティ安全 その1/その2
・グループ安全と制御セキュリティ対策 その1/その2
・多層防御対策技術
・事故から学ぶ安全とセキュリティ その1/その2
編集・検証が済みeICSにアップした際は、お知らせします。尚、IEC TC65 WG20及びIEC63069が進んで参りましたら、その都度内容を確認して、該当講座の講義内容を更新して参ります。
