「製造ラインは停めても良いからコストがかからない制御システムセキュリティ対策を教えて欲しい。」 そういう質問を受けることが産業によっては増えています。
ここで言う「停めても良いから」の意味は、製造現場で「不具合が発生した時はすぐ停めて、原因を確認して、原因を取り除いて操業再開する。」というものです。製造停止時間は5分~10分程度との認識で言っているものです。
ここでファクトリーオートメーションの生産現場でサイバー攻撃を受けても5分や10分で回復できる仕組みを実現するにはどのような投資が必要になるかを一緒に考えてみましょう。
ここで言う「停めても良いから」の意味は、製造現場で「不具合が発生した時はすぐ停めて、原因を確認して、原因を取り除いて操業再開する。」というものです。製造停止時間は5分~10分程度との認識で言っているものです。
ここでファクトリーオートメーションの生産現場でサイバー攻撃を受けても5分や10分で回復できる仕組みを実現するにはどのような投資が必要になるかを一緒に考えてみましょう。
1.サイバーセキュリティ投資ゼロ状態の場合
まず、サイバー攻撃対策を全く施していないセキュリティ投資ゼロ状態から始める場合で考えてみましょう。言い換えると、サイバー攻撃対策と呼べるものはファイヤーウォールくらいでそれ以上の投資は行っていないという場合です。
WannaCryにかかって、生産計画ファイルが暗号化されたとします。バックアップを取って保管していたとして、
① Serverのネットワークを外す
② ディスクをフォーマットする
③ OSからアプリケーションからバックアップのファイルを入れ直す
④ 動作確認をする
⑤ ネットワークの接続をしてアクセス先を一つ一つ確認する
⑥ 試し生産を行う
問題なければ再操業までの時間製造ラインは停止です。これが一つのServerだけであればまだ作業はしやすいですが、ネットワークでつながっているServer全部にマルウェアが感染した場合は復旧作業道具と作業手順を知っている人数によって製造停止時間が決まります。一日で回復できれば良い方です。ほとんどの場合数日から数週間かかります。その間は生産できません。つまり、売り上げは無しです。
「現物主義」の製造現場では、マスタのプロシージャーファイルやServerを失うことになりますから、上記の作業に加えて、バックアップを取った後のアップデートを記録に従ってフォローする時間もかかります。記録が無い場合は現場作業者の記憶に頼りますからさらに時間を要します。
工作機械や装置のメカニックを攻撃するマルウェアに感染した場合、メカニック破壊を起しているとその修理もあります。制御コントローラの中を書き換えるマルウェア被害の場合、交換製品を調達する時間も要し、マスタファイルの確認(現物主義ではマスタファイルは使っていた現物でそれが書き換えられたので外部の最新版を確認しながらマスタファイルを作ることになる。)、制御コントローラにつながるデバイスやServerなどとの接続テストから試作生産などを経過して、操業再開の手続きを進めることになります。
これらの作業を実施した損害費用を計算すると数週間から一か月間に及ぶ操業停止となりとても大きな損害となります。
WannaCryにかかって、生産計画ファイルが暗号化されたとします。バックアップを取って保管していたとして、
① Serverのネットワークを外す
② ディスクをフォーマットする
③ OSからアプリケーションからバックアップのファイルを入れ直す
④ 動作確認をする
⑤ ネットワークの接続をしてアクセス先を一つ一つ確認する
⑥ 試し生産を行う
問題なければ再操業までの時間製造ラインは停止です。これが一つのServerだけであればまだ作業はしやすいですが、ネットワークでつながっているServer全部にマルウェアが感染した場合は復旧作業道具と作業手順を知っている人数によって製造停止時間が決まります。一日で回復できれば良い方です。ほとんどの場合数日から数週間かかります。その間は生産できません。つまり、売り上げは無しです。
「現物主義」の製造現場では、マスタのプロシージャーファイルやServerを失うことになりますから、上記の作業に加えて、バックアップを取った後のアップデートを記録に従ってフォローする時間もかかります。記録が無い場合は現場作業者の記憶に頼りますからさらに時間を要します。
工作機械や装置のメカニックを攻撃するマルウェアに感染した場合、メカニック破壊を起しているとその修理もあります。制御コントローラの中を書き換えるマルウェア被害の場合、交換製品を調達する時間も要し、マスタファイルの確認(現物主義ではマスタファイルは使っていた現物でそれが書き換えられたので外部の最新版を確認しながらマスタファイルを作ることになる。)、制御コントローラにつながるデバイスやServerなどとの接続テストから試作生産などを経過して、操業再開の手続きを進めることになります。
これらの作業を実施した損害費用を計算すると数週間から一か月間に及ぶ操業停止となりとても大きな損害となります。
2.サイバーセキュリティ投資有の場合
どのようなサイバー攻撃を受け、どのような被害が出るか明確にすることによって必要な対策が整理できて投資予算が見えてきます。その作業がサイバーリスクアセスメントです。
リスクアセスメントを実施するには、eICS講座でも解説しているように終了目標が必要です。
その終了目標を「5分~10分のチョコ停レベルで回復すること」と定義してみましょう。但し、プラントオートメーションの場合はチョコ停そのものができませんから対象範囲から外します。ここでは、自動車製造、船舶製造、列車製造などのファクトリーオートメーションが対象になります。
この取り組みは、戦国時代の城作りのように、どこからどのような攻撃を受けるかを分析して効果的防衛及び回復の仕組みを設計していくということに似ています。
リスクアセスメントを実施するには、eICS講座でも解説しているように終了目標が必要です。
その終了目標を「5分~10分のチョコ停レベルで回復すること」と定義してみましょう。但し、プラントオートメーションの場合はチョコ停そのものができませんから対象範囲から外します。ここでは、自動車製造、船舶製造、列車製造などのファクトリーオートメーションが対象になります。
この取り組みは、戦国時代の城作りのように、どこからどのような攻撃を受けるかを分析して効果的防衛及び回復の仕組みを設計していくということに似ています。
つまり、外堀、内堀、櫓、三の丸、二の丸、天守、桝形、馬出、空堀、障子堀などの防御はそれぞれ意味がある。
①外堀:業務系ネットワークと製造系ネットワークを分ける。
②内堀:ISA-95対応とセグメント/ゾーン設計
③桝形/馬出/障子堀:多層防御の境界強化対策(2012年頃のやり方では防衛能力は低いです。)
④櫓/手旗/伝令/太鼓:IDS、IPS設置、インシデント検知機能+警報システム
⑤訓練:防衛機能を適格に活かしていくには日頃の訓練を実践レベルで行う。
以上、これだけの対策を行っても、まだ5分~10分での回復は実現しません。
もっとも大切になるのは、
⑥サイバー攻撃に強い制御製品を制御ベンダに作ってもらう
⑦脆弱性情報の統括管理
⑧制御コントローラのコンフィギュレーションファイルのマスタ管理
各項目の実現にどのようなセキュリティ機能や性能が必要かはeICSの講座で解説しております。
注:これらの対策を施していくに、「現物主義」の基本的考えは、災害対策とサイバーセキュリティ対策の導入で障害になります。
①外堀:業務系ネットワークと製造系ネットワークを分ける。
②内堀:ISA-95対応とセグメント/ゾーン設計
③桝形/馬出/障子堀:多層防御の境界強化対策(2012年頃のやり方では防衛能力は低いです。)
④櫓/手旗/伝令/太鼓:IDS、IPS設置、インシデント検知機能+警報システム
⑤訓練:防衛機能を適格に活かしていくには日頃の訓練を実践レベルで行う。
以上、これだけの対策を行っても、まだ5分~10分での回復は実現しません。
もっとも大切になるのは、
⑥サイバー攻撃に強い制御製品を制御ベンダに作ってもらう
⑦脆弱性情報の統括管理
⑧制御コントローラのコンフィギュレーションファイルのマスタ管理
各項目の実現にどのようなセキュリティ機能や性能が必要かはeICSの講座で解説しております。
注:これらの対策を施していくに、「現物主義」の基本的考えは、災害対策とサイバーセキュリティ対策の導入で障害になります。
3.サプライチェーンのセキュリティ品質情報管理
2.で表記の対策を施し、さらに設備のコンピュータ製品に関するサプライチェーンのパートナー企業とのセキュリティ品質管理を徹底する必要があります。
ここで言うセキュリティ品質管理で扱う情報とは、
①構成部品のコンピュータ部分に関する脆弱性情報
②セキュリティ性能及び機能情報
③認証試験及び試験結果情報
④制御システム構成品情報
などのことで、これらはサプライヤー企業の協力無しには実現できません。
さらに、サイバー攻撃に強い制御製品は、セキュリティ機能や性能を引き出す基本構造やメンテナンスや部品供給における脆弱性情報管理の徹底を追及していくことで実現できるのですが、それには専門チームと専用のテストベッド環境が必要になります。
ここで言うセキュリティ品質管理で扱う情報とは、
①構成部品のコンピュータ部分に関する脆弱性情報
②セキュリティ性能及び機能情報
③認証試験及び試験結果情報
④制御システム構成品情報
などのことで、これらはサプライヤー企業の協力無しには実現できません。
さらに、サイバー攻撃に強い制御製品は、セキュリティ機能や性能を引き出す基本構造やメンテナンスや部品供給における脆弱性情報管理の徹底を追及していくことで実現できるのですが、それには専門チームと専用のテストベッド環境が必要になります。
4.まとめ
先ず取り組めることとして、システムのサイバーセキュリティリスクアセスメントの実施。そして、ハード面においては、やるべき制御システムセキュリティ対策と制御セキュリティ対策を施し、ソフト面ではネットワークにつながる制御製品の確認することは何であり、何を判断して、何を実施するかを明確にして、マニュアル整備することが必須であり、やるべきことを整理することから始まります。
それから、
・インシデント検知機能レベルアップ
・短時間回復作業トレーニング
などはタクトタイムを計測しながらの取り組みになります。
このような研究を行い、必要となるエッセンスを整理したものをコンテンツにしているICS研究所のオンデマンドビデオ講座eICSを参考書代わりに取り組んで行かれるのが無駄な投資をしないで済む方法ではないでしょうか。
お問い合わせお待ちしております。
それから、
・インシデント検知機能レベルアップ
・短時間回復作業トレーニング
などはタクトタイムを計測しながらの取り組みになります。
このような研究を行い、必要となるエッセンスを整理したものをコンテンツにしているICS研究所のオンデマンドビデオ講座eICSを参考書代わりに取り組んで行かれるのが無駄な投資をしないで済む方法ではないでしょうか。
お問い合わせお待ちしております。
