工場における製造システムのネットワーク層についてまとめた国際標準規格にISA95があります。
制御装置や製造機械の制御システムネットワーク層であるトランスミッター、バルブ、アクチュエータとコントローラが繋がるL1層、DCSの監視制御システムやSCADAやHMIとコントローラをつなぐL2層、生産管理システムや設備管理システムや品質管理システムなどのMESとDCSやSCADAやPIMSやLIMSをつなぐL3層までのネットワークにはrootや鍵管理システム(Key Manager System)は存在しません。
制御装置や製造機械の制御システムネットワーク層であるトランスミッター、バルブ、アクチュエータとコントローラが繋がるL1層、DCSの監視制御システムやSCADAやHMIとコントローラをつなぐL2層、生産管理システムや設備管理システムや品質管理システムなどのMESとDCSやSCADAやPIMSやLIMSをつなぐL3層までのネットワークにはrootや鍵管理システム(Key Manager System)は存在しません。
その理由は、情報セキュリティのようにrootやKey Manager Systemを設置して通信のアクセス制御先とのやり取りの鍵や通信スタックからのデータ取り出し書き込みの鍵や暗号処理の鍵を管理して定期的に鍵の変更をするために操業そのものを停止させることはあり得ないですし、操業中に一時的に通信を止めることは安全上危険な状況を作り、プラント制御や劇薬/有毒物を一部扱っているラインでは、爆発事故や火災事故や汚染事故につながってしまいます。よって、通信でつながる相手とのアクセス制御や通信スタックの鍵や暗号処理の鍵の設定は、試運転前の個別チューニング作業でつなげていって、操業中は変更しないことが常識です。無理に装置間の通信の間ごとにKey Manager System/Serverを設置するのは膨大なコスト高になり、バージョン管理の負担の大きくするものです。また、rootやKey Manager Systemを置くとサイバー攻撃によって乗っ取られた場合のリスクは高くなります。これは、制御システム設計をしていく技術者にとっては常識です。
そこで、製造システムの制御システムセキュリティ対策はどうあるべきかという基本的な志向が存在します。
IEC62443で扱っている範囲は、製造業では、製造システムの制御システムに当たる範囲になります。IEC62443-2の対象範囲は、製造業務に係わる範囲になります。その中でもIEC62443-3の対象範囲は、制御システム及び制御システムネットワークになりますので、L1~L3の製造に直接かかわる範囲になります。IEC62443-4-1は制御製品/コンポーネントになり、IEC62443-4-2は制御システムを構成するコンポーネントのエンジニアリングやチューニングやメンテナンスするコンピュータ製品を対象にしています。ただし、ここで示しているのは、工業界の標準的な製造システムを例にしており、各産業によって制御システム構成は、生産する製品やシステム設計志向や法規制や生産方式によって異なります。
IEC62443で扱っている範囲は、製造業では、製造システムの制御システムに当たる範囲になります。IEC62443-2の対象範囲は、製造業務に係わる範囲になります。その中でもIEC62443-3の対象範囲は、制御システム及び制御システムネットワークになりますので、L1~L3の製造に直接かかわる範囲になります。IEC62443-4-1は制御製品/コンポーネントになり、IEC62443-4-2は制御システムを構成するコンポーネントのエンジニアリングやチューニングやメンテナンスするコンピュータ製品を対象にしています。ただし、ここで示しているのは、工業界の標準的な製造システムを例にしており、各産業によって制御システム構成は、生産する製品やシステム設計志向や法規制や生産方式によって異なります。
ISMSとCSMSの違いについて
Information Security Management System(ISMS)は、企業や個人の機密情報やシステム守るために管理するシステムです。
Cyber Security Management System(CSMS)は、サイバー攻撃から機密情報やシステムを守るために管理するシステムです。
この対象となるシステムが情報システムであるか制御システムであるかの違いが志向の違いを意味します。
情報システムは、企業や機関が活動する上で必要となる人の個別管理や情報の機密管理を行うことが目的で作られています。
制御システムは、事業操業したり機械を動かしたりすることが目的で作られています。事業操業には、重要インフラのように人の生活を支え社会的供給義務を果たすために途切れなく電気やガスや燃料や水を供給するものもあれば、制御を怠ると爆発事故や火災事故や環境を汚染するものや人身事故を起こすものもあれば、人に有害な劇薬や危険物を使って製品を作るものもあります。中には、製品そのものが劇薬や危険物のものもあります。また、人や物を乗せて運ぶために使われる飛行機は制御が止まると落ちるし、電車や自動車は危険な状況には、緊急停止する制御システムもあります。交通管制のように、移動体が安全に動けるように見守って管制する制御システムもあります。ビルの中で快適な生活や活動を安全に行えるように支えている空調制御や温水制御や照明制御のシステムがあります。
これらの多様な目的を果たす制御システムには、安全安心を構築する機能安全や機械安全や電気安全や危険物取扱い安全やそれらの安全基準を総合的に守っていくグループ安全があり、それらを無視して制御システムは目的を果たすことはできないのであります。
制御システムセキュリティは、それらの制御目的と役割と守らなければならない安全の課題を持った上でシステム設計された制御システムを守るセキュリティでなければなりません。
つまり、CSMSと言っても対象が制御システムになった時には、制御システムの存在目的のために制御を止められないシステムをサイバー攻撃から如何に守るかが主題となります。
Cyber Security Management System(CSMS)は、サイバー攻撃から機密情報やシステムを守るために管理するシステムです。
この対象となるシステムが情報システムであるか制御システムであるかの違いが志向の違いを意味します。
情報システムは、企業や機関が活動する上で必要となる人の個別管理や情報の機密管理を行うことが目的で作られています。
制御システムは、事業操業したり機械を動かしたりすることが目的で作られています。事業操業には、重要インフラのように人の生活を支え社会的供給義務を果たすために途切れなく電気やガスや燃料や水を供給するものもあれば、制御を怠ると爆発事故や火災事故や環境を汚染するものや人身事故を起こすものもあれば、人に有害な劇薬や危険物を使って製品を作るものもあります。中には、製品そのものが劇薬や危険物のものもあります。また、人や物を乗せて運ぶために使われる飛行機は制御が止まると落ちるし、電車や自動車は危険な状況には、緊急停止する制御システムもあります。交通管制のように、移動体が安全に動けるように見守って管制する制御システムもあります。ビルの中で快適な生活や活動を安全に行えるように支えている空調制御や温水制御や照明制御のシステムがあります。
これらの多様な目的を果たす制御システムには、安全安心を構築する機能安全や機械安全や電気安全や危険物取扱い安全やそれらの安全基準を総合的に守っていくグループ安全があり、それらを無視して制御システムは目的を果たすことはできないのであります。
制御システムセキュリティは、それらの制御目的と役割と守らなければならない安全の課題を持った上でシステム設計された制御システムを守るセキュリティでなければなりません。
つまり、CSMSと言っても対象が制御システムになった時には、制御システムの存在目的のために制御を止められないシステムをサイバー攻撃から如何に守るかが主題となります。
サイバー攻撃に強い制御システム設計技術
ところがサイバー攻撃側が標的となる制御システムの仕組みや使っているルール情報を知り、高度化してくると情報セキュリティの技術だけでは守れないことがわかっています。そうなると制御システムそのものがサイバー攻撃に強く生まれ変わらなければ太刀打ちできません。そこでサイバー攻撃に強い制御システムを構成する制御製品技術が必要となり、制御システム設計の技術が必要となるのです。今までサイバー攻撃から制御を守るための制御製品のセキュリティ性能やセキュリティ機能を考えてこなかった技術者にとって全く新しい志向がそこには求められます。システム設計技術者においても同じです。制御製品開発者やシステム設計技術者にとっては、ソフトウェアだけが対象ではなくハードウェアやファームウェアも技術範囲になっているので、サイバー攻撃対策をハードウェアやファームウェア含めて考えることが求められます。そこに従来の志向に無かった様々な特許アイテムが存在しています。しかし、ICS研究所が研修やeICSの講義の中で公開しているノウハウは特許性が無くなっておりますのでそれらの技術は皆さんが使えるノウハウになります。
サイバー攻撃の標的になる脆弱性を持つ標準規格は市場から無くなるのか
制御システムには国際標準化団体の技術が多く使われています。それらの技術規格で作られた制御システムに脆弱性テストをすると標準化団体の規格そのものに脆弱性がある場合と、その技術を利用する周辺のドライバやBIOSなどに脆弱性がある場合があります。ICS-CERTなどから脆弱性の指摘を受けた場合は、標準化団体と言えどもその指摘された脆弱性対応は積極的に取り組んでおくべきです。今まで、機械の中で使われる通信仕様であるからという理由を言って済ませていた標準化団体は、機械の外の情報セキュリティでは防ぎきれないところまでサイバー攻撃側の技術力は高くなっておりますので、機械や装置を使用する側にとっては機械や装置の中の通信仕様も脆弱性を持っていればその機械や装置そのものが脆弱性を持ち、リスクが高いモノになってしまいます。それによって脆弱性を持つ機械や装置は選択されなくなりますので、当然、脆弱性を持つ標準規格は採用されなくなってしまいます。
つまり、ICS-CERTなどから脆弱性の指摘をされて、その対処を怠っていると市場から無くなっていく標準規格となっていくということです。
つまり、ICS-CERTなどから脆弱性の指摘をされて、その対処を怠っていると市場から無くなっていく標準規格となっていくということです。
現場のオペレータの負担を減らせる改革の中に制御セキュリティ対策も
物を生産するモノづくりには、事業操業安全のために必要なオペレーションを現場ルールとしてマニュアルで示してこれを守っていますが、現場の警報の洪水は大変なものです。システム設計技術者がオペレータの操作範囲まで考慮した制御システム設計をしている場合は、警報の洪水が無いように的確なオペレーションができるように作られるのですが最終仕上げは現場のチューニングに依存しているところも少なくありません。制御システムの設備も時間経過や設備の老朽化が進むことでこのチューニングのバランスがズレて、警報の洪水になっている現場もあります。タンクや配管やバルブや触媒装置も経年変化や使用している薬品やガスなどの化学変化で沈殿物ができてそれが配管やバルブに詰まったり、漏れて固まったりして危険な状態になっているものもあります。(中には「予算が無い」ということでリフレッシュ工事を先延ばしにして、IoTで何とかしようというレベルではなく、取り換えた方が良いという設備もあります。)それらをパトロールしたりすることも現場の仕事になっていますのでオペレータの負担は多くなっています。また、部分自動化をするたびに現場のオペレータも人数を減らされてきたこともあり、オペレータ一の作業ボリュームが計算通りに効率化されていない場合も多く、負担は増えているのが現状です。
そこへ制御システムを標的にしたサイバー攻撃が加わってきており、現場のリスクは高くなっているというのが現場の声です。そこまで考えたシステム設計を実施するには、安全のリスクアセスメントだけでなくサイバーリスクアセスメントも実施したシステム設計が求められています。さらに現場対処の残留リスクを減らすための対策としてサイバー攻撃を受けてもボタン一つで元に戻せる回復機能や制御製品を交換するにも交換作業が円滑に短時間で行える制御ネットワーク仕様を持つ制御製品やデバイスであって欲しいという現場ニーズも出てきます。それが解って対策ができる技術者を目指して欲しいです。
そこへ制御システムを標的にしたサイバー攻撃が加わってきており、現場のリスクは高くなっているというのが現場の声です。そこまで考えたシステム設計を実施するには、安全のリスクアセスメントだけでなくサイバーリスクアセスメントも実施したシステム設計が求められています。さらに現場対処の残留リスクを減らすための対策としてサイバー攻撃を受けてもボタン一つで元に戻せる回復機能や制御製品を交換するにも交換作業が円滑に短時間で行える制御ネットワーク仕様を持つ制御製品やデバイスであって欲しいという現場ニーズも出てきます。それが解って対策ができる技術者を目指して欲しいです。
今の技術伝承
モノづくりの企業に新入社員で入って、朝の挨拶や名刺の出し方や生活習慣の研修を受けた後、いきなり部門配属されて、OJT(On JOB Training)ということでベテランにつけて仕事をするところが多いですね。昔は、半年間ぐらい時間をかけて、専門部門のベテランが習得過程項目を講義したり実習をさせたりしてモノづくりの基本を教えていたのですが、部門の現場から「人手が足らないからすぐに配属してくれ」「仕事はやればわかるから」ということでOJTの言葉で配属されているのが多いようです。
新入社員にとっては、仕事をしていく基本的知識もなく配属されますから、そのギャップに耐えていかなければならない状況に追い込まれます。若い社員の離職率が高い企業はその配慮が欠けているのかも知れません。
ロボットは24時間働いて文句も言わないからロボットに置き換えるところは今後増えてくると思います。そのロボットもAIを積んだりAIがあるクラウドとつながったりしますので、ロボットとエッジコンピューティングとプライベートクラウドの間でAIやディープラーニング技術を自律分散と相互連携で動かして、安全と適正動作連携を実現していくことになっていきます。そうなるとそのシステム設計のツールに求められる仕様は、シミュレーションはもちろん、物理的・化学的状態関数はもちろん、様々なKPIを扱った、しかも連携した動きを設計できることが要求されるだけでなく、機能安全や機械安全や電気安全はもちろんサイバー攻撃対策での防御、検知、分析、回復、自己診断、再起動などもロボットとエッジコンピューティングとプライベートクラウドの中で実施できるように設計しなければならなくなる。今のロボットメーカーさんは、ロボット管制システムも含めて考えていれば良いのですが。
新入社員にとっては、仕事をしていく基本的知識もなく配属されますから、そのギャップに耐えていかなければならない状況に追い込まれます。若い社員の離職率が高い企業はその配慮が欠けているのかも知れません。
ロボットは24時間働いて文句も言わないからロボットに置き換えるところは今後増えてくると思います。そのロボットもAIを積んだりAIがあるクラウドとつながったりしますので、ロボットとエッジコンピューティングとプライベートクラウドの間でAIやディープラーニング技術を自律分散と相互連携で動かして、安全と適正動作連携を実現していくことになっていきます。そうなるとそのシステム設計のツールに求められる仕様は、シミュレーションはもちろん、物理的・化学的状態関数はもちろん、様々なKPIを扱った、しかも連携した動きを設計できることが要求されるだけでなく、機能安全や機械安全や電気安全はもちろんサイバー攻撃対策での防御、検知、分析、回復、自己診断、再起動などもロボットとエッジコンピューティングとプライベートクラウドの中で実施できるように設計しなければならなくなる。今のロボットメーカーさんは、ロボット管制システムも含めて考えていれば良いのですが。
