制御システムを標的にしたサイバー攻撃対策として、2012年頃には情報セキュリティ技術を駆使して制御システムを守ることが主流でしたが、現在その対策だけでは太刀打ち出来なくなっています。
アンチウイルスソフトのマルウェア侵入検知率は、2013年頃に9割程あったものの、2016年には3割以下まで下がってしまったことを踏まえると、マルウェアの高度化が急速に進んでいることがうかがえます。
図1にあるように、これからは制御製品自体にセキュリティ性能や機能を持ち、システム設計の中で多層防御を施していく制御セキュリティ対策が必要です。
アンチウイルスソフトのマルウェア侵入検知率は、2013年頃に9割程あったものの、2016年には3割以下まで下がってしまったことを踏まえると、マルウェアの高度化が急速に進んでいることがうかがえます。
図1にあるように、これからは制御製品自体にセキュリティ性能や機能を持ち、システム設計の中で多層防御を施していく制御セキュリティ対策が必要です。
また、システム設計プロセスにおいては、様々な制御セキュリティ対策を検討し、ユーザーが運用しやすく、サイバー攻撃に強い製造・制御システムを実現する必要があります。
今回は、安全操業をサポートするリモートサービスシステムを事例にシステム構成ごとにサイバーリスク分析を実施し、リスク低減となる方法を選別していく概要をご紹介します。
今回は、安全操業をサポートするリモートサービスシステムを事例にシステム構成ごとにサイバーリスク分析を実施し、リスク低減となる方法を選別していく概要をご紹介します。
本年4月末から世界中に蔓延したWannaCryで世界中の大手病院施設や自動車工場などで操業停止を起した事件はまだ記憶にあると思います。WannaCryはインターネット上のC&C Serverもしくはダミードメインにアクセスして決まったリターンが返ってきた場合に感染動作するように作られており、決まったリターンが無かったら動作を停止するようにも作られていたそうです。よって、Kill Switchを使った対策が成功した訳ですね。インターネット接続して使用する情報系システムでWannaCryが感染した理由はそこにありますが、リモートサポートのために一時的に工場内の機械をインターネットに接続してその後切り離して操業する使い方をしていた所でも、工場内ネットワークにつながる一部の機械をインターネットにつなげてリモートモニタしていたことでWannaCryが動作したケースもあるようです。
リモートサービスビジネスでは、インターネット利用を考えている技術者が多いようですが、リモートサポート対象の制御システムがサイバー攻撃で制御機能を失い、爆発事故や火災事故、倒壊事故、人身事故、有害物流出などの災害となるリスクがなく、停止しても損害を受けることが無ければインターネットを使用しても良いでしょう。
リモートサービスビジネスでは、インターネット利用を考えている技術者が多いようですが、リモートサポート対象の制御システムがサイバー攻撃で制御機能を失い、爆発事故や火災事故、倒壊事故、人身事故、有害物流出などの災害となるリスクがなく、停止しても損害を受けることが無ければインターネットを使用しても良いでしょう。
ところが、損害責任が発生する場合は、社会的企業責任の有無と、サイバー攻撃対策の投資コストと損害コストの比較で、判断することになります。まずは、サイバーリスク特定・分析を実施して、リスク評価をしてみるところから始まります。
図2の様に、インターネットを使用した場合のリモートサービスシステムの事例でサイバーリスク分析をしてみます。 図2の中の赤い矢印は、サイバー攻撃の侵入口例を示しています。現場の制御システムにおいては、制御装置のコントローラチューニングやシステム構成で使用するアプリケーションのコンフィギュレーションツールのPCやデバイスなどの管理状況もサイバーリスク特定対象になりますが、ここでの分析ではリモート通信でのサイバーリスク分析を目的にしているので対象外にしておきます。図2にありますように、制御現場のサイバーリスクとインターネット接続間のファイヤーウォールのマルウェア検知能力もリスクを抱えています。また、リモートサービスを提供するベンダ側のシステムにもサイバーリスクが存在します。
図2の様に、インターネットを使用した場合のリモートサービスシステムの事例でサイバーリスク分析をしてみます。 図2の中の赤い矢印は、サイバー攻撃の侵入口例を示しています。現場の制御システムにおいては、制御装置のコントローラチューニングやシステム構成で使用するアプリケーションのコンフィギュレーションツールのPCやデバイスなどの管理状況もサイバーリスク特定対象になりますが、ここでの分析ではリモート通信でのサイバーリスク分析を目的にしているので対象外にしておきます。図2にありますように、制御現場のサイバーリスクとインターネット接続間のファイヤーウォールのマルウェア検知能力もリスクを抱えています。また、リモートサービスを提供するベンダ側のシステムにもサイバーリスクが存在します。
図3は、現場から侵入したマルウェアがインターネット経由でベンダ側のServer類にも感染し、インターネットでつながる他の顧客にも感染が広がっていくことを示しています。
図4は、ベンダ側のシステムでマルウェア感染し、それが顧客のシステムに感染が広がる事例です。
顧客からインターネット経由での接続を断られると図5のように直接回線接続で代案を出すことを考えるでしょうが、顧客の現場から侵入したマルウェアはベンダのServer経由で他の顧客のシステムに感染するサイバーリスクは無くなりません。
その対策として、図6にあるように、ベンダのシステムの通信入口にDMZを設置する方法があります。ここで使用するDMZはホワイトリスト方式仕様で、許可した通信だけが通過できるようにし、尚且つIEC62541(OPC UA)だけを使用することでセキュリティレベルは高くなります。
しかし、この場合DMZを設置する費用とそのメンテナンス技術者や専門技術を持つアナリストを抱える必要があります。自社内で対応できない場合は、アウトソーシングすることになりますが、そのコストは、設置コストだけでなく年間数千万円の運営コストが必要になります。
これらの投資コストを軽減し、リスクも低減する方法として、図7に示すプライベートクラウドを通信ゲートウェイとして利用する方法があります。
これらの投資コストを軽減し、リスクも低減する方法として、図7に示すプライベートクラウドを通信ゲートウェイとして利用する方法があります。
しかし、この場合ベンダ内の制御システムセキュリティ対策ができていないことで、侵入したマルウェアによる攻撃で、顧客へのリモートサービスができなくなる可能性があります。サイバー攻撃の内容によってはシステム停止だけでなく顧客サービスに必要不可欠なデータベースまで失う可能性もあります。
そこで、図8にあるように、ベンダ自社内のServerもプライベートクラウド対応にすることでクラウドのDMZで守られることになります。
そこで、図8にあるように、ベンダ自社内のServerもプライベートクラウド対応にすることでクラウドのDMZで守られることになります。
また、Serverがプライベートクラウドにあることでハードウェアの老朽化によるトラブルリスクも低減できます。また、ベンダのアプリケーションが古いOSでしか動かない場合、そのOSの脆弱性対策機能を解決するべく、通信のゲートウェイとしてプライベートクラウドを配置し、そのゲートウェイ機能をセキュリティレベルが高く管理しやすい最新のOSにすることで、より安全なシステムを構成できます。
更に、顧客の制御システム及びマネージメントにおいても、eICSで示している制御セキュリティ対策を実施することで、顧客の制御システムも守られることになります。
ここまでサイバーリスク分析の結果により、制御システムセキュリティ対策評価も変ればコストも変わるという事例をご紹介してきました。
サイバー攻撃は新しい攻撃が次々と登場してくるでしょうが、顧客の製造現場でも、装置や機械を供給しているベンダでも、制御セキュリティ対策におけるサイバーリスクアセスメントを的確に実施して、適切な対策を実施していることで、企業責任としてベストを尽くしていると言えるのではないでしょうか。
どの様なサイバーリスクが存在し、その評価と判断と対策ができる人材を早急に育てることが重要です。その人材育成の専門教材としてICS研究所のeICSがあります。
更に、顧客の制御システム及びマネージメントにおいても、eICSで示している制御セキュリティ対策を実施することで、顧客の制御システムも守られることになります。
ここまでサイバーリスク分析の結果により、制御システムセキュリティ対策評価も変ればコストも変わるという事例をご紹介してきました。
サイバー攻撃は新しい攻撃が次々と登場してくるでしょうが、顧客の製造現場でも、装置や機械を供給しているベンダでも、制御セキュリティ対策におけるサイバーリスクアセスメントを的確に実施して、適切な対策を実施していることで、企業責任としてベストを尽くしていると言えるのではないでしょうか。
どの様なサイバーリスクが存在し、その評価と判断と対策ができる人材を早急に育てることが重要です。その人材育成の専門教材としてICS研究所のeICSがあります。
