IoTを導入する企業は多く、「高度IoT」や「スマート」「第4次産業革命」の言葉が多く使われている。ところが制御システムはサイバー攻撃のリスクを避けて業務系ネットワークにつながることもなく制御セキュリティの強化もなく、IoT導入をしようとしているところが多いです。
業務系ネットワークにつながっていないからと制御システムを独立ネットワークにしている現場があります。
制御システムのデマンド信号インターフェースがリレーやアナログ信号で他のコンピュータシステムとつながっている制御システムについて、そのコンピュータシステムがマルウェアに乗っ取られた場合、それにつながる制御システムはそのマルウェアの支配下に入ってしまいます。つまり、リレーやアナログ信号でインターフェースをしているから感染しない。だから良いというものではありません。
USBメモリを介してマルウェアが感染するリスクを無くすために現場ではUSBメモリを使わせないという現場があります。それでもサイバーインシデントが発生して、汚染範囲の特定やウイルスチェック、パッチ処理、復旧などの作業をする時には、USBメモリを使わない方法でできる方法をマニュアルに記載して、トレーニング作業で精度を上げていくことが求められます。つまり、現場の作業全体を考慮した対策が必要な訳です。
WannaCryが国内の工場に感染し、そこからリモートサポートシステム経由で世界中の工場に感染が広がったのが2017年の4月末であることは記憶にまだ新しいところです。インターネットを使ったり専用回線を使ったりしてもリモートサポートシステムの場合、1クライアントが感染するとServer経由で他のクライアントに感染が広がるのも本来あるべき制御セキュリティ対策ができていないからです。
LinuxにVM機能を置きXPでアプリケーションを動かしているシステムがまだ少なくないです。しかも冗長化システムとして使用しているところもあります。XPは脆弱性が多く、Microsoft社は対応しきれていないのが現状です。Linuxも脆弱性がいくつも発見されています。また、この組み合わせで構成している制御システムでは、何度もサイバーインシデントが起きて、制御機能停止に至っている現場もあります。その現場では何度も緊急体制を実施したことでコストが大きく膨れて事業継続に支障をきたすという判断で、最新のServerでの冗長化システムに更新しました。しかし、その後も、脆弱性テストを実施してパッチ処理を行って制御システムの制御セキュリティ性能を維持し、マルウェアが侵入した場合のインシデント対応でシステム復旧できるまでのトレーニングが必要です。それがサイバーリスクアセスメントの結果となります。
内閣サイバーセキュリティセンターNISCが2017年4月に公示した「重要インフラの情報セキュリティに係わる第4次行動計画」では、「安全基準等」の見直しと「リスクアセスメント」の重要性を打ち出しています。まだ、読んでいない方は是非読んでください。今までの情報セキュリティや制御セキュリティについての取組みの見直しが必要であることを認識できます。そして、これを機会に高度IoT事業を推進して行くに、事業戦略のSWOT分析をやってみませんか?
図1では、ドラッガーのSWOT分析に対策改善策を加えて表記する手法を使いました。これを見ていただけるとお解りのように制御セキュリティ対策無しに事業は成立しません。では、その制御セキュリティ対策はどのようなレベルで扱われなければならないのかを示すのが図2です。何故、安全リスクアセスメントと同じレベルで扱うべきか?というと、Sound Boxでも検知できないマルウェア(ステルス機能を持つマルウェア)やアンチウイルスソフトで検知できないマルウェア(暗号化されたマルウェアなど)が増えていることと、インストール機能があるOSであればOSを選ばないスクリプトタイプのマルウェアも増えています(Black Energy)。さらに、制御コントローラのレジスタを書き換える攻撃技術も公開されています (PLC Blaster Worm)。
業務系ネットワークにつながっていないからと制御システムを独立ネットワークにしている現場があります。
制御システムのデマンド信号インターフェースがリレーやアナログ信号で他のコンピュータシステムとつながっている制御システムについて、そのコンピュータシステムがマルウェアに乗っ取られた場合、それにつながる制御システムはそのマルウェアの支配下に入ってしまいます。つまり、リレーやアナログ信号でインターフェースをしているから感染しない。だから良いというものではありません。
USBメモリを介してマルウェアが感染するリスクを無くすために現場ではUSBメモリを使わせないという現場があります。それでもサイバーインシデントが発生して、汚染範囲の特定やウイルスチェック、パッチ処理、復旧などの作業をする時には、USBメモリを使わない方法でできる方法をマニュアルに記載して、トレーニング作業で精度を上げていくことが求められます。つまり、現場の作業全体を考慮した対策が必要な訳です。
WannaCryが国内の工場に感染し、そこからリモートサポートシステム経由で世界中の工場に感染が広がったのが2017年の4月末であることは記憶にまだ新しいところです。インターネットを使ったり専用回線を使ったりしてもリモートサポートシステムの場合、1クライアントが感染するとServer経由で他のクライアントに感染が広がるのも本来あるべき制御セキュリティ対策ができていないからです。
LinuxにVM機能を置きXPでアプリケーションを動かしているシステムがまだ少なくないです。しかも冗長化システムとして使用しているところもあります。XPは脆弱性が多く、Microsoft社は対応しきれていないのが現状です。Linuxも脆弱性がいくつも発見されています。また、この組み合わせで構成している制御システムでは、何度もサイバーインシデントが起きて、制御機能停止に至っている現場もあります。その現場では何度も緊急体制を実施したことでコストが大きく膨れて事業継続に支障をきたすという判断で、最新のServerでの冗長化システムに更新しました。しかし、その後も、脆弱性テストを実施してパッチ処理を行って制御システムの制御セキュリティ性能を維持し、マルウェアが侵入した場合のインシデント対応でシステム復旧できるまでのトレーニングが必要です。それがサイバーリスクアセスメントの結果となります。
内閣サイバーセキュリティセンターNISCが2017年4月に公示した「重要インフラの情報セキュリティに係わる第4次行動計画」では、「安全基準等」の見直しと「リスクアセスメント」の重要性を打ち出しています。まだ、読んでいない方は是非読んでください。今までの情報セキュリティや制御セキュリティについての取組みの見直しが必要であることを認識できます。そして、これを機会に高度IoT事業を推進して行くに、事業戦略のSWOT分析をやってみませんか?
図1では、ドラッガーのSWOT分析に対策改善策を加えて表記する手法を使いました。これを見ていただけるとお解りのように制御セキュリティ対策無しに事業は成立しません。では、その制御セキュリティ対策はどのようなレベルで扱われなければならないのかを示すのが図2です。何故、安全リスクアセスメントと同じレベルで扱うべきか?というと、Sound Boxでも検知できないマルウェア(ステルス機能を持つマルウェア)やアンチウイルスソフトで検知できないマルウェア(暗号化されたマルウェアなど)が増えていることと、インストール機能があるOSであればOSを選ばないスクリプトタイプのマルウェアも増えています(Black Energy)。さらに、制御コントローラのレジスタを書き換える攻撃技術も公開されています (PLC Blaster Worm)。
制御システムの異常操作は制御対象によっては爆発事故や火災事故を起こすリスクが高いものも多く、社会を支える電力、ガス、水道、交通などの重要インフラの制御システムにおいては、重要対策対象になります。
2012年頃のセキュリティ対策に比べて、サイバー攻撃の高度化が進んだことで、2016年には情報セキュリティの対策で多層防御の方法が取り上げられています。これは情報システムのセキュリティ保証を戦略的にどう対応するべきかの指針で見直すことを意味します。
2012年頃のセキュリティ対策に比べて、サイバー攻撃の高度化が進んだことで、2016年には情報セキュリティの対策で多層防御の方法が取り上げられています。これは情報システムのセキュリティ保証を戦略的にどう対応するべきかの指針で見直すことを意味します。
次に制御システムについて考えたのですが、制御システムのミッションから考えると、事業継続を支え、MTBF延長とMTTR短縮を実現する現場の安全を確保するに、セキュリティ対策は外して考えられない状況となっております。その安全を確保するために必要な制御セキュリティ対策は、事業要求仕様の段階から対処項目に入れておく必要があり、システム設計のプロセスの中にも実施項目として入っているべきものになります。
この中でサイバーリスクアセスメントをどう実施するかという課題がありますが、それは図3に作成しました。このサイバーリスクアセスメントでの見積もりと評価がポイントになりますが、最初にサイバーリスクの特定と分析の段階で、サイバー攻撃の難易度を決めるのですがそれはIEC62443-3にあるセキュリティレベルを基準にします。リスク見積もりの発生頻度は、サイバーリスク特有ですが、脆弱性があるかどうかで、一桁から二桁変わります。ダメージは制御システムのどこでどのような攻撃になるのかによって変わってきます。
この中でサイバーリスクアセスメントをどう実施するかという課題がありますが、それは図3に作成しました。このサイバーリスクアセスメントでの見積もりと評価がポイントになりますが、最初にサイバーリスクの特定と分析の段階で、サイバー攻撃の難易度を決めるのですがそれはIEC62443-3にあるセキュリティレベルを基準にします。リスク見積もりの発生頻度は、サイバーリスク特有ですが、脆弱性があるかどうかで、一桁から二桁変わります。ダメージは制御システムのどこでどのような攻撃になるのかによって変わってきます。
制御システムの構成は、発電所/ガス上流系/石油精製などの連続プロセス制御、化学製品/医薬製品などのバッチ制御、送配電/交通管制/ビル総合監視などの複合制御の管制システム、半導体や自動車製造などの搬送機制御がある製造システム、前工程と後工程に分かれて中間在庫管理が存在する製造システムなど、生産方式によって変わってくるが、それぞれサイバーリスクアセスメントで考慮するところが多少変わります。自動化の範囲とオペレータのカバー範囲も変ってきます。
制御セキュリティ対策の効果は、実証実験で確認していくことが必要です。この実証実験に任意団体Virtual Engineering Communityが“つるまいプロジェクト”として取り組んでいます。
制御セキュリティ対策の効果は、実証実験で確認していくことが必要です。この実証実験に任意団体Virtual Engineering Communityが“つるまいプロジェクト”として取り組んでいます。
この“つるまいプロジェクト”の目的は、制御システムを標的にしたサイバー攻撃の手法をテストベッド環境で再現し、実施することで、制御システムの防御技術及び手法を研究するところにあります。また、実施内容としては、
①セキュリティレベルが高いOSとOPC UAのセキュリティ設定をした状況でどこまで実力があるのかを確認
②ペネトレーションテストの評価試験方法の確立
③セキュリティベンダの製品能力確認
④制御セキュリティ対策製品の能力確認
などがあげられます。
制御システムを標的にしたサイバー攻撃としては、インターネットからの攻撃だけではなく、制御ベンダや装置ベンダ、エンジニアリング会社のサポートするツール経由でマルウェアが侵入する場合もあり、装置のリモートサービスシステムから侵入してくる場合もあります。実際のシステムのどこにサイバーリスクが存在し、どのような攻撃がされると安全で無くなり、それをどう検知してどのようにオペレータに知らせ、危険回避ができるように対処するタイミングを失わないようにするかというところまで考慮した場合の残留リスクを上げて、現場対処すべき事項を明らかにしていくことがシステム設計技術者に求められることになります。そのためにもサイバーリスクアセスメントを実施していくことが重要となってきます。
制御セキュリティ対策の範囲は広くて深いです。数日の研修で全て身につけることは難しいです。サイバーディフェンスからサイバーインシデント対応までできる人材を育成する産業サイバーセキュリティセンターでも9か月間のカリキュラムが組まれています。
「制御セキュリティを施したシステム設計」で必要な制御セキュリティ項目をシステム技術者が知っていれば良いのですが今までそのようなことをまとめて学ぶ教材がありませんでした。その教材がICS研究所のeICSです。産業サイバーセキュリティセンターCoEの教材としてもeICSは採用されています。
制御セキュリティ対策についての知識を頭に入れればそれで済むと思うことは間違いです。知識や情報が多すぎて、実際にシステムを目の前にした時、何から手を付けて良いのか分からないものです。それは物事の整理ができていないからで、使いこなすには、その場の数をこなしていくことで身について行くものです。使いこなせるようになって、制御セキュリティ対策ができるエンジニアです。それには、時間がかかります。それを考慮するとオンデマンドビデオ講座で必要な時に必要な知識や情報を手にできる環境を持つことです。
eICSの講座カリキュラムは図5にあるように、受講者対象が経営者からアセットオーナー、エンジニアリング会社、制御装置ベンダ、機械ベンダ、制御ベンダというように制御システムに係わる方全ての技術者及び管理者になります。eICSの講座は全部で200講座を越えます。IEC62443やNISTのGuide to Industry Control System Security/Frame Workをベースに作成しております。安全とセキュリティでは機能安全、機械安全、グループ安全とセキュリティの関係についても解説しており、制御セキュリティ対策を施したシステム設計の作業プロセスに従って、サイバーリスクアセスメントをシステムパターン別に解説している講座もあります。中には、セキュリティ製品ベンダの講座もあります。
①セキュリティレベルが高いOSとOPC UAのセキュリティ設定をした状況でどこまで実力があるのかを確認
②ペネトレーションテストの評価試験方法の確立
③セキュリティベンダの製品能力確認
④制御セキュリティ対策製品の能力確認
などがあげられます。
制御システムを標的にしたサイバー攻撃としては、インターネットからの攻撃だけではなく、制御ベンダや装置ベンダ、エンジニアリング会社のサポートするツール経由でマルウェアが侵入する場合もあり、装置のリモートサービスシステムから侵入してくる場合もあります。実際のシステムのどこにサイバーリスクが存在し、どのような攻撃がされると安全で無くなり、それをどう検知してどのようにオペレータに知らせ、危険回避ができるように対処するタイミングを失わないようにするかというところまで考慮した場合の残留リスクを上げて、現場対処すべき事項を明らかにしていくことがシステム設計技術者に求められることになります。そのためにもサイバーリスクアセスメントを実施していくことが重要となってきます。
制御セキュリティ対策の範囲は広くて深いです。数日の研修で全て身につけることは難しいです。サイバーディフェンスからサイバーインシデント対応までできる人材を育成する産業サイバーセキュリティセンターでも9か月間のカリキュラムが組まれています。
「制御セキュリティを施したシステム設計」で必要な制御セキュリティ項目をシステム技術者が知っていれば良いのですが今までそのようなことをまとめて学ぶ教材がありませんでした。その教材がICS研究所のeICSです。産業サイバーセキュリティセンターCoEの教材としてもeICSは採用されています。
制御セキュリティ対策についての知識を頭に入れればそれで済むと思うことは間違いです。知識や情報が多すぎて、実際にシステムを目の前にした時、何から手を付けて良いのか分からないものです。それは物事の整理ができていないからで、使いこなすには、その場の数をこなしていくことで身について行くものです。使いこなせるようになって、制御セキュリティ対策ができるエンジニアです。それには、時間がかかります。それを考慮するとオンデマンドビデオ講座で必要な時に必要な知識や情報を手にできる環境を持つことです。
eICSの講座カリキュラムは図5にあるように、受講者対象が経営者からアセットオーナー、エンジニアリング会社、制御装置ベンダ、機械ベンダ、制御ベンダというように制御システムに係わる方全ての技術者及び管理者になります。eICSの講座は全部で200講座を越えます。IEC62443やNISTのGuide to Industry Control System Security/Frame Workをベースに作成しております。安全とセキュリティでは機能安全、機械安全、グループ安全とセキュリティの関係についても解説しており、制御セキュリティ対策を施したシステム設計の作業プロセスに従って、サイバーリスクアセスメントをシステムパターン別に解説している講座もあります。中には、セキュリティ製品ベンダの講座もあります。
まとめ
①制御セキュリティ対策無しのIoTは事業リスクを負います。
IoTにつなげる制御システムの制御セキュリティ対策無しにIoT実現は、サイバー攻撃手法の向上は止まらないし、システムの脆弱性が見つかる度に投資が必要となり、IoTができなくなります。
②安全対策にセキュリティ対策は含まれます。
安全のリスクアセスメントのFTAを考えた場合、制御システムを標的にしたサイバー攻撃は安全を脅かす要因となることは明らかです。サイバー攻撃を受けたらという条件の有無は、装置の故障の有無と同じに考えることができます。その対策ができているのかどうかで爆発や火災や事故の災害につながるかどうかが決まります。
③安全対策のリスクアセスメントと同じくサイバーリスクアセスメントも重要です。
サイバー攻撃のリスクアセスメントでは、侵入路の有無や脆弱性の有無やサイバーインシデント検知機能の有無、セキュリティ性能の有無でリスクの見積もりができます。制御コントローラが故障したら取り換えて復旧することと同じく、サイバーインシデント対応でも回復能力が現場に必要になります。サイバーリスクアセスメントのリスク特定、分析、評価、低減を実施して、災害にならない、現場で対応できる残留リスクレベルにして現場に引き継ぐところまで対処していくことが必要となります。
④現場の安全の仕組みを考える技術者及び現場の管理者の人材育成が急がれます。
サイバーリスクアセスメントが重要であることは理解頂いたと思いますが、その対象となる制御システムへの評価・対策は、個々のシステム設計技術者の能力に依存します。つまり、全技術者にある対策情報を渡しても、それをどう理解し実現するかという判断のバラツキは個々によって大きく異なります。
そこで、まずは各部署の要となる技術者がeICSを受講します。eICSは国際標準や規格を元に制作している為、国内外で通用する共通認識を社内に持つことができ、個々の判断のバラツキは低減出来ます。また、そこで解説していることを元に自分たちの現場でのリスクアセスメントと対策を実施出来るようになります。さらに、講義の中のちょっとしたアドバイスが技術者に直接伝わることで正しく伝わる技術があります。
以上の具体的制御セキュリティ対策は、eICSを直接受講していただくことで習得することができます。
https://www.ics-lab.com/e/
IoTにつなげる制御システムの制御セキュリティ対策無しにIoT実現は、サイバー攻撃手法の向上は止まらないし、システムの脆弱性が見つかる度に投資が必要となり、IoTができなくなります。
②安全対策にセキュリティ対策は含まれます。
安全のリスクアセスメントのFTAを考えた場合、制御システムを標的にしたサイバー攻撃は安全を脅かす要因となることは明らかです。サイバー攻撃を受けたらという条件の有無は、装置の故障の有無と同じに考えることができます。その対策ができているのかどうかで爆発や火災や事故の災害につながるかどうかが決まります。
③安全対策のリスクアセスメントと同じくサイバーリスクアセスメントも重要です。
サイバー攻撃のリスクアセスメントでは、侵入路の有無や脆弱性の有無やサイバーインシデント検知機能の有無、セキュリティ性能の有無でリスクの見積もりができます。制御コントローラが故障したら取り換えて復旧することと同じく、サイバーインシデント対応でも回復能力が現場に必要になります。サイバーリスクアセスメントのリスク特定、分析、評価、低減を実施して、災害にならない、現場で対応できる残留リスクレベルにして現場に引き継ぐところまで対処していくことが必要となります。
④現場の安全の仕組みを考える技術者及び現場の管理者の人材育成が急がれます。
サイバーリスクアセスメントが重要であることは理解頂いたと思いますが、その対象となる制御システムへの評価・対策は、個々のシステム設計技術者の能力に依存します。つまり、全技術者にある対策情報を渡しても、それをどう理解し実現するかという判断のバラツキは個々によって大きく異なります。
そこで、まずは各部署の要となる技術者がeICSを受講します。eICSは国際標準や規格を元に制作している為、国内外で通用する共通認識を社内に持つことができ、個々の判断のバラツキは低減出来ます。また、そこで解説していることを元に自分たちの現場でのリスクアセスメントと対策を実施出来るようになります。さらに、講義の中のちょっとしたアドバイスが技術者に直接伝わることで正しく伝わる技術があります。
以上の具体的制御セキュリティ対策は、eICSを直接受講していただくことで習得することができます。
https://www.ics-lab.com/e/
