日本を標的にしたサイバー攻撃は、2016年一年間で約1281億件に及びます。
サイバー攻撃の手法も高度化しており、インターネット上にあるマルウェアに対して、アンチウイルスソフトで検知できていたマルウェアは、
・2013年頃に7割検知
・2015年頃に3割検知
・2016年には2割検知
という現実があります。これは、スクリプトタイプのマルウェアで侵入した先のインストーラ機能を利用してマルウェアを生成したり、暗号化したマルウェアが侵入先で解かれてマルウェアとして活動したりする。それらのマルウェアを検知するそのものが難しい。アンチウイルスソフトの検知能力とファイヤーウォールの検知能力はほぼ同じなので、ブラックリスト方式では限界があります。
サイバー攻撃の手法も高度化しており、インターネット上にあるマルウェアに対して、アンチウイルスソフトで検知できていたマルウェアは、
・2013年頃に7割検知
・2015年頃に3割検知
・2016年には2割検知
という現実があります。これは、スクリプトタイプのマルウェアで侵入した先のインストーラ機能を利用してマルウェアを生成したり、暗号化したマルウェアが侵入先で解かれてマルウェアとして活動したりする。それらのマルウェアを検知するそのものが難しい。アンチウイルスソフトの検知能力とファイヤーウォールの検知能力はほぼ同じなので、ブラックリスト方式では限界があります。
サイバー攻撃の種類を上げていくと
・標的型攻撃
- APT(Advanced Persistent Threat)攻撃
・ゼロデイ攻撃
・マルウェア
- ウイルス(コンピューターウイルス)
- ワーム
- トロイの木馬
- ランサムウェア(Ransomware)
- WannaCry
- Goldeneye
- Petya
- Bad Rabbit
- バックドア(RAT)
- ダウンローダー
- キーロガー
- マクロウイルス
- ブートセクタウイルス
- C&C Server Connect
- スクリプトウイルス
- クライムウェア
- スケアウェア
- 悪質なアドウェア
- ミスリーディングアプリケーション
・DoS攻撃/DDoS攻撃
・SQLインジェクション
・バッファオーバーフロー(BOF)攻撃
・パスワードリスト攻撃
・セッションハイジャック
- 正規サーバになりますし、クライアントの機密情報を盗む
- 正規クライアントになりすまし、サーバに侵入する
・ポートスキャン
・ブルートフォースアタック
・クロスサイトスクリプティング
・ルートキット攻撃
- 侵入を隠ぺいするためのログの改ざんツール
- 侵入口が防がれても再び侵入できるようにする裏口(バックドア)ツール
- 侵入に気づかれないための改ざんされたシステムコマンド群
・OSインジェクション
などを上げることになりますが、
その中で攻撃タイプとして
・手当たり次第に攻撃する
・標的を特定して攻撃する
- 最初から特定された標的を攻撃する
- 条件が揃った標的を攻撃する
・待ち受け罠
などの区分があります。
- APT(Advanced Persistent Threat)攻撃
・ゼロデイ攻撃
・マルウェア
- ウイルス(コンピューターウイルス)
- ワーム
- トロイの木馬
- ランサムウェア(Ransomware)
- WannaCry
- Goldeneye
- Petya
- Bad Rabbit
- バックドア(RAT)
- ダウンローダー
- キーロガー
- マクロウイルス
- ブートセクタウイルス
- C&C Server Connect
- スクリプトウイルス
- クライムウェア
- スケアウェア
- 悪質なアドウェア
- ミスリーディングアプリケーション
・DoS攻撃/DDoS攻撃
・SQLインジェクション
・バッファオーバーフロー(BOF)攻撃
・パスワードリスト攻撃
・セッションハイジャック
- 正規サーバになりますし、クライアントの機密情報を盗む
- 正規クライアントになりすまし、サーバに侵入する
・ポートスキャン
・ブルートフォースアタック
・クロスサイトスクリプティング
・ルートキット攻撃
- 侵入を隠ぺいするためのログの改ざんツール
- 侵入口が防がれても再び侵入できるようにする裏口(バックドア)ツール
- 侵入に気づかれないための改ざんされたシステムコマンド群
・OSインジェクション
などを上げることになりますが、
その中で攻撃タイプとして
・手当たり次第に攻撃する
・標的を特定して攻撃する
- 最初から特定された標的を攻撃する
- 条件が揃った標的を攻撃する
・待ち受け罠
などの区分があります。
攻撃理由も
・攻撃ツールを試す
・攻撃ツールを高く売るための実績作り
・資金調達
・攻撃ビジネス
・テロ目的
・軍事目的
などといろいろです。
攻撃手法も
・直接攻撃
- リアルライブでのハッキング攻撃
・間接攻撃
- マルウェアを使ってリモート攻撃
- マルウェアバラマキ攻撃
・罠
- 待ち受け攻撃
- フィッシング
などがあります。
攻撃レベルも
・超プロ級
・プロ級
・見習い級
・初級
と巧妙さで見ることもできます。
・攻撃ツールを高く売るための実績作り
・資金調達
・攻撃ビジネス
・テロ目的
・軍事目的
などといろいろです。
攻撃手法も
・直接攻撃
- リアルライブでのハッキング攻撃
・間接攻撃
- マルウェアを使ってリモート攻撃
- マルウェアバラマキ攻撃
・罠
- 待ち受け攻撃
- フィッシング
などがあります。
攻撃レベルも
・超プロ級
・プロ級
・見習い級
・初級
と巧妙さで見ることもできます。
問題は、サイバー攻撃が人類の文明維持をしている重要インフラや社会インフラや企業の製造システムで使用している制御システムを攻撃することで文明維持ができなくなることです。
つまり、課題は、サイバー攻撃から重要インフラや社会インフラや製造業を守るにはどうしたら良いかということで「情報セキュリティ」が必要になるのですが、特にインフラ事業を支えている制御システムは一般情報システムとは異なるシステム仕様と産業別に事業条件が異なることから、「制御システムセキュリティ」という特別ジャンルが存在します。
特に、電力、ガス、水道、石油、鉄鋼のように連続制御で供給および製造条件を維持している制御システムは連続操業し安定供給できることになります。
石油、化学、半導体製造などは、制御システムの機能が侵されると爆発・火災・人身事故などにつながるリスクが高くなるので安全に停めることが優先になります。
HSE(Health、Safety、Environment)を優先する制御システムを如何に守るかという課題に、制御システムセキュリティ対策があります。
サイバー攻撃を利用して犯罪や金儲けや国防や戦争をしている以上、サイバー攻撃手法のエスカレートは留まることがありません。そこで、制御システムセキュリティ対策の展開もサイバー攻撃に強い制御システム設計技術やサイバー攻撃に強い制御製品開発技術が重要となり、安全のアセスメント同様、サイバーリスクアセスメントの実施が重要となってきます。このサイバーリスクアセスメントと制御システムセキュリティ対策技術の範囲はとても広く深い範囲の知見となっており、さらにサイバー攻撃の手法が高度化するにつれ、新しい対策技術も研究されております。なので、一定期間で習得できるものではありません。だからと言って諦めては重要インフラも製造業も維持することができなくなります。
日々の技術業務に制御システムセキュリティ対策技術を活かしていくには、ICS研究所の研修+eICSを受講していただくことができます。
つまり、課題は、サイバー攻撃から重要インフラや社会インフラや製造業を守るにはどうしたら良いかということで「情報セキュリティ」が必要になるのですが、特にインフラ事業を支えている制御システムは一般情報システムとは異なるシステム仕様と産業別に事業条件が異なることから、「制御システムセキュリティ」という特別ジャンルが存在します。
特に、電力、ガス、水道、石油、鉄鋼のように連続制御で供給および製造条件を維持している制御システムは連続操業し安定供給できることになります。
石油、化学、半導体製造などは、制御システムの機能が侵されると爆発・火災・人身事故などにつながるリスクが高くなるので安全に停めることが優先になります。
HSE(Health、Safety、Environment)を優先する制御システムを如何に守るかという課題に、制御システムセキュリティ対策があります。
サイバー攻撃を利用して犯罪や金儲けや国防や戦争をしている以上、サイバー攻撃手法のエスカレートは留まることがありません。そこで、制御システムセキュリティ対策の展開もサイバー攻撃に強い制御システム設計技術やサイバー攻撃に強い制御製品開発技術が重要となり、安全のアセスメント同様、サイバーリスクアセスメントの実施が重要となってきます。このサイバーリスクアセスメントと制御システムセキュリティ対策技術の範囲はとても広く深い範囲の知見となっており、さらにサイバー攻撃の手法が高度化するにつれ、新しい対策技術も研究されております。なので、一定期間で習得できるものではありません。だからと言って諦めては重要インフラも製造業も維持することができなくなります。
日々の技術業務に制御システムセキュリティ対策技術を活かしていくには、ICS研究所の研修+eICSを受講していただくことができます。
ここで制御システムセキュリティのもう一つの対策として、制御システムセキュリティの認証と検証の違いを取り上げてみたいと思います。
まずは、制御システムセキュリティ認証について考えてみましょう。
認証とは、何かによって対象となるものの正当性・妥当性を確認する行為を言います。制御システムセキュリティ認証では、対象となるのが制御システムもしくはそれを構成する制御製品があるセキュリティレベルにあることを確認することでそのシステムや製品がそのセキュリティレベルのセキュリティ機能やセキュリティ性能を持っている正当性・妥当性を証明することになります。
制御システムセキュリティ認証は、制御システムに脆弱性が無いことを確認するSSA認証と制御製品に脆弱性が無いことを確認するEDSA認証とがあります。また、製品開発や制御システム設計のプロセスを確認するSDLA認証があります。また、制御システムがある現場におけるマネージメント対策評価がCSMS認証です。
サイバー攻撃における認証で審査する脆弱性対策レベルは、既知の一定のサイバー攻撃については防御できるが、それを越える攻撃は、防御できません。ですから、認証を受けた制御製品や制御システムが全てのサイバー攻撃に対応できるというものではありません。
では、認証が果たす役割とは何かということについてお話しします。
認証は、標的の脆弱性を発見して高度な攻撃を加える場合は除いて、認証審査で検査している脆弱性を利用したマルウェア攻撃については防衛できることを確認できていますから、防衛能力は高いということが言えます。
設備を持つオーナー(製造業界では制御製品を使って製造するので「ユーザー」と言います。)にとって、どこまでを制御装置ベンダに責任持ってもらうかを決める必要があります。そうなるとある一定のセキュリティレベルを維持したいということで、アセットオーナー自身が審査をしようとするとその審査機能を持つ組織を維持しなければならなくなりますが、その組織を維持する経費は大きなものになります。ところが第三者認証機関があるとその組織の維持経費は認証機関が持ちますので、認証を受ける企業の負担になります。
制御装置や機械や制御製品を開発し、販売するベンダ企業にとって、自己認証機能を有し、これを維持することは、沢山の製品を抱えている企業にとっては投資コストが製品に分散するので、その組織を維持できますが、そうではないベンダ企業にとっては第三者認証機関を利用する方が経費削減になります。
まずは、制御システムセキュリティ認証について考えてみましょう。
認証とは、何かによって対象となるものの正当性・妥当性を確認する行為を言います。制御システムセキュリティ認証では、対象となるのが制御システムもしくはそれを構成する制御製品があるセキュリティレベルにあることを確認することでそのシステムや製品がそのセキュリティレベルのセキュリティ機能やセキュリティ性能を持っている正当性・妥当性を証明することになります。
制御システムセキュリティ認証は、制御システムに脆弱性が無いことを確認するSSA認証と制御製品に脆弱性が無いことを確認するEDSA認証とがあります。また、製品開発や制御システム設計のプロセスを確認するSDLA認証があります。また、制御システムがある現場におけるマネージメント対策評価がCSMS認証です。
サイバー攻撃における認証で審査する脆弱性対策レベルは、既知の一定のサイバー攻撃については防御できるが、それを越える攻撃は、防御できません。ですから、認証を受けた制御製品や制御システムが全てのサイバー攻撃に対応できるというものではありません。
では、認証が果たす役割とは何かということについてお話しします。
認証は、標的の脆弱性を発見して高度な攻撃を加える場合は除いて、認証審査で検査している脆弱性を利用したマルウェア攻撃については防衛できることを確認できていますから、防衛能力は高いということが言えます。
設備を持つオーナー(製造業界では制御製品を使って製造するので「ユーザー」と言います。)にとって、どこまでを制御装置ベンダに責任持ってもらうかを決める必要があります。そうなるとある一定のセキュリティレベルを維持したいということで、アセットオーナー自身が審査をしようとするとその審査機能を持つ組織を維持しなければならなくなりますが、その組織を維持する経費は大きなものになります。ところが第三者認証機関があるとその組織の維持経費は認証機関が持ちますので、認証を受ける企業の負担になります。
制御装置や機械や制御製品を開発し、販売するベンダ企業にとって、自己認証機能を有し、これを維持することは、沢山の製品を抱えている企業にとっては投資コストが製品に分散するので、その組織を維持できますが、そうではないベンダ企業にとっては第三者認証機関を利用する方が経費削減になります。
つまり、ユーザー企業が自分の工場の設備のセキュリティレベルの維持を実施するに指定の第三者認証機関の認定制御製品を使用することを決め、そのユーザーからの発注を受注する形で第三者認証機関の審査を受けるというものです。
さらに、その認証機関の認定基準を維持管理するために、認証機関は、テストベッドを持って、実証実験を繰り返し、対象制御製品に求められる対象業界のセキュリティ機能やセキュリティ性能を研究する機能も必要で、その研究機能は、第三者の研究機関でも良い訳です。
制御システムセキュリティの第三者認証機関としては、ISA Secure認証、WIB認証、UL-2900認証などがあり、自己認証機関を持つ企業としてはSiemens、Schneider Electric、ABB、GEなどグローバル制御ベンダの大手企業があります。それらの企業は、自社内にテストベッドを持ち、ホワイトハッカーチームを組織として持ち、IEC62443などの国際規格の更新内容を確認しながら、自社製品の産業別自己認証基準を作り、認証業務に努めています。
制御システムセキュリティ認証機関は、アセットオーナー企業が制御システムセキュリティレベルを維持する上で必要な仕組みの機関です。
また、アセットオーナーと制御装置や機械や制御製品を供給する企業の責任範囲を明確にする場合に利用できます。
制御製品で使用するセキュリティ検査のツールは認証機関が採用しているものを使用する方が認証取得する時にスムーズに認証が取得できる。
さらに、その認証機関の認定基準を維持管理するために、認証機関は、テストベッドを持って、実証実験を繰り返し、対象制御製品に求められる対象業界のセキュリティ機能やセキュリティ性能を研究する機能も必要で、その研究機能は、第三者の研究機関でも良い訳です。
制御システムセキュリティの第三者認証機関としては、ISA Secure認証、WIB認証、UL-2900認証などがあり、自己認証機関を持つ企業としてはSiemens、Schneider Electric、ABB、GEなどグローバル制御ベンダの大手企業があります。それらの企業は、自社内にテストベッドを持ち、ホワイトハッカーチームを組織として持ち、IEC62443などの国際規格の更新内容を確認しながら、自社製品の産業別自己認証基準を作り、認証業務に努めています。
制御システムセキュリティ認証機関は、アセットオーナー企業が制御システムセキュリティレベルを維持する上で必要な仕組みの機関です。
また、アセットオーナーと制御装置や機械や制御製品を供給する企業の責任範囲を明確にする場合に利用できます。
制御製品で使用するセキュリティ検査のツールは認証機関が採用しているものを使用する方が認証取得する時にスムーズに認証が取得できる。
次に制御システムセキュリティ検証とは何かを考えてみましょう。
検証とは、ある仮説が存在していて、それを証明することを言います。つまり、検証には仮説が先に存在する訳です。
例えば、
「制御システムで使用しているServerは2016Serverでセキュリティレベルは最高にして、使用する通信プロトコルをOPC UAのセキュリティレベル3で、使用する制御製品はEDSA認証を持っているものであれば、通常のハッキング技術では、サイバー攻撃できない。」と仮設して、その実証実験を行って、検証しました。
という場合などが考えられます。
それは、その条件が保たれている場合を意味しており、その条件が一つでも違ってくるとその検証結果は崩れてしまいます。しかも、検証方法は公開する義務が無いとなると契約はその検証機関を信頼することが契約条件になります。
この検証というやり方を採用したアセットオーナー企業では、改造や設定変更をする度に検証をしなければならない訳で、維持コストが膨大になって現実的な選択にはなりません。
それに検証能力を超えるサイバー攻撃がなされた場合の損害・被害の保障は誰が責任持つのかを決めておくことになります。当然、検証機関の責任もそこには発生する訳です。
制御システムセキュリティ検証機関は、アセットオーナーとの契約で検証結果に何らかの責任が課せられることになります。
(検証結果は制御システムの構造や維持管理条件で変わりますので、その都度検証が必要になり、投資コストが大きくなります。検証責任を負わない検証機関とは契約しない方が良い。)
検証とは、ある仮説が存在していて、それを証明することを言います。つまり、検証には仮説が先に存在する訳です。
例えば、
「制御システムで使用しているServerは2016Serverでセキュリティレベルは最高にして、使用する通信プロトコルをOPC UAのセキュリティレベル3で、使用する制御製品はEDSA認証を持っているものであれば、通常のハッキング技術では、サイバー攻撃できない。」と仮設して、その実証実験を行って、検証しました。
という場合などが考えられます。
それは、その条件が保たれている場合を意味しており、その条件が一つでも違ってくるとその検証結果は崩れてしまいます。しかも、検証方法は公開する義務が無いとなると契約はその検証機関を信頼することが契約条件になります。
この検証というやり方を採用したアセットオーナー企業では、改造や設定変更をする度に検証をしなければならない訳で、維持コストが膨大になって現実的な選択にはなりません。
それに検証能力を超えるサイバー攻撃がなされた場合の損害・被害の保障は誰が責任持つのかを決めておくことになります。当然、検証機関の責任もそこには発生する訳です。
制御システムセキュリティ検証機関は、アセットオーナーとの契約で検証結果に何らかの責任が課せられることになります。
(検証結果は制御システムの構造や維持管理条件で変わりますので、その都度検証が必要になり、投資コストが大きくなります。検証責任を負わない検証機関とは契約しない方が良い。)
次にテストベッドについて考えてみましょう。
テストベッドとは、実際に運用している制御システムを危険にさらすことなく、オフラインで実際に運用されている状況に近い試験プラットフォームのことです。
テストベッドとは、実際に運用している制御システムを危険にさらすことなく、オフラインで実際に運用されている状況に近い試験プラットフォームのことです。
制御システムセキュリティにおいては、
①サイバー攻撃に強い制御システム設計技術研究
- 電力・ガス・水道・石油・鉄鋼などの連続操業のプラントの制御システム
- 石油化学・半導体製造の危険物取扱で緊急時停止する制御プラントの制御システム
- 交通・航空・港湾の管制システム
- 自動車・医薬品・飲料・食品などの製造システム
- リモートサポートシステム
②サイバー攻撃に強い制御製品研究
- DCS、PLC、インバータ、モーションコントローラ、ロボットなどコントローラ製品
- SCADA、PIMS、LIMSなど監視制御システムで使用する製品
- 生産管理や品質管理、設備管理、保安管理などのシステムで使用する製品
- 現場で使用するデバイス製品
- 無線通信デバイス製品
③サイバー攻撃に強いプラントのCSMS研究
④サイバー攻撃に強い製造システムのCSMS研究
⑤インシデント対応におけるMTTR目的の回復手法研究
⑥プラントや製造システムのペネトレーションテスト手法研究
⑦自己認証/第三者認証の検査ツール研究
⑧ペネトレーションテストで使用する検査ツール研究
など、研究テーマは多くあり、それぞれのテーマについて研究を目的にしたテストベッドの活用があります。
勘違いしてはならないのがこのテストベッドで最優先に取り組むべき目的は、制御システムを標的にした将来的に起き得るであろうサイバー攻撃手法の研究をするのも良いのですが、重要インフラや製造業の制御システムをサイバー攻撃から如何に守るかの研究です。
サイバー攻撃手法だけの研究であれば、軍事方面の研究のテストベッドが相応しいと思います。
制御システムセキュリティ対策技術のテストベッドは、制御システムをサイバー攻撃から守る研究が目的であって、ハッカー養成が目的ではありません。
今回は、以上の考えをまとめてみました。
①サイバー攻撃に強い制御システム設計技術研究
- 電力・ガス・水道・石油・鉄鋼などの連続操業のプラントの制御システム
- 石油化学・半導体製造の危険物取扱で緊急時停止する制御プラントの制御システム
- 交通・航空・港湾の管制システム
- 自動車・医薬品・飲料・食品などの製造システム
- リモートサポートシステム
②サイバー攻撃に強い制御製品研究
- DCS、PLC、インバータ、モーションコントローラ、ロボットなどコントローラ製品
- SCADA、PIMS、LIMSなど監視制御システムで使用する製品
- 生産管理や品質管理、設備管理、保安管理などのシステムで使用する製品
- 現場で使用するデバイス製品
- 無線通信デバイス製品
③サイバー攻撃に強いプラントのCSMS研究
④サイバー攻撃に強い製造システムのCSMS研究
⑤インシデント対応におけるMTTR目的の回復手法研究
⑥プラントや製造システムのペネトレーションテスト手法研究
⑦自己認証/第三者認証の検査ツール研究
⑧ペネトレーションテストで使用する検査ツール研究
など、研究テーマは多くあり、それぞれのテーマについて研究を目的にしたテストベッドの活用があります。
勘違いしてはならないのがこのテストベッドで最優先に取り組むべき目的は、制御システムを標的にした将来的に起き得るであろうサイバー攻撃手法の研究をするのも良いのですが、重要インフラや製造業の制御システムをサイバー攻撃から如何に守るかの研究です。
サイバー攻撃手法だけの研究であれば、軍事方面の研究のテストベッドが相応しいと思います。
制御システムセキュリティ対策技術のテストベッドは、制御システムをサイバー攻撃から守る研究が目的であって、ハッカー養成が目的ではありません。
今回は、以上の考えをまとめてみました。
