[{"data":1,"prerenderedAt":57},["ShallowReactive",2],{"journal-detail-28":3},{"main":4,"content":12,"author":52},{"id":5,"level":6,"level_name":7,"title":8,"summary":7,"body":9,"author":10,"created_time":11,"edited_time":11},457,0,"","サイバー攻撃事例から見るサイバーセキュリティとは何か？【2020年1月27日更新】","サイバー攻撃による事故は、いろいろな産業で起きているがなかなか知られていないのが実情のようである。\n\n弊社（株式会社ICS研究所）は、制御システムセキュリティ対策技術及びマネージメントシステムの人材育成オンデマンドビデオ講座eICSの開発を行っている。そのために、制御システムや制御機器を標的にしたサイバー攻撃手法や事故原因を研究することも重要なテーマとなっている。\n\nそこで、今回は産業別のシステムを標的にしたサイバー攻撃事故事例を取り上げて、サイバーセキュリティとは何かを掘り下げてみようと思う。\nサイバー事故事例資料を見ながら以下ご一読いただければ幸いです。","murakami","2018-09-06 03:05:00",[13,16,20,24,28,32,36,40,44,48],{"id":14,"heading":7,"summary":7,"body":15,"gallery":7},458,"- \u003Ca href=\"/pdf/journal/28/journal-28-20200127.pdf\" target=\"_blank\">【産業別】サイバー攻撃事故事例資料（株式会社ICS研究所）\u003C/a> \u003Csmall class=\"pdf\">PDF形式 / 4.8MB 【2020年1月27日更新】\u003C/small>",{"id":17,"heading":18,"summary":7,"body":19,"gallery":7},459,"1．重要インフラ","「インターネット接続していないからサイバー攻撃は関係ない」と言っておきながら、GatewayもしくはUSBメモリ経由でデータファイルの授受を行っている現場がある。\nまた、業者が持ち込んだPCやベンダーから持ち込まれたソフトウェアからマルウェアに感染して、操業停止になった事例もある。\nよって、「現場の機器がインターネット接続していないこと」を根拠にしても「現場がサイバー攻撃とは無縁であること」の証明にはならない。\n\n「脆弱性は無い」と言いながら、新規発注仕様書のコンピュータ仕様にWindows XP、Windows7、8などを認めているところがあり、脆弱性に関する認識が間違っているケースも多い。\n\nまた、「重要システムは冗長化／多重化しているから大丈夫」と言っている方もいるが、同じ制御コントローラを並べる冗長化／多重化の手法ではサイバー攻撃対策にはなっていない。インターネットにつながっていなくてもモニタ用／チューニング用／メンテナンス用PCやデバイスを接続することでウイルス／マルウェアが侵入してくるリスクはある。では、それらのリスクアセスメントはどうすれば良いのか？ 具体的対策とは？",{"id":21,"heading":22,"summary":7,"body":23,"gallery":7},460,"2．製造業","毎日のようにチョコ停はあるし、毎年「カイゼン」作業で数億円かけている現場がある。\n\nチョコ停の話題に限ると、「うちは5分～10分なら停めて良いから、投資をしないでできる対策が知りたい」と言われる。\n\n短時間回復するために何をどのようにしたら良いか、分からないが故の発言と思われるが、情報セキュリティ対策技術だけでは難しくなっている現実を考慮すると、現場の機器構成から脆弱性情報識別管理、保全交換部品の脆弱性識別管理、セグメント／ゾーン改善、インシデント検知機能を持つ制御製品への交換、インシデント検知／警報システム、緊急時対応マニュアルの整備、定期的な回復作業トレーニングなどの人材育成・・・その他諸々広範囲で奥深いものがある。よって、一切の投資をせずに短時間に回復する製造ラインを実現する方法など存在しない。では、効果的投資とはどのような対策か？",{"id":25,"heading":26,"summary":7,"body":27,"gallery":7},461,"3．航空機","2000年前後にも言われていたことだが、改めて2015年に米国会計検査院から、航空機や船舶などの脆弱性の懸念があるという公示がされた。\n\nそして、2018年8月のBlack hat USA 2018で、航空機に脆弱性があるという公開デモ発表があった。機内にメンテナンス用のUSBメモリインターフェース口があって、「これは使用しないでください。」と書かれている。そこにマルウェアが入ったUSBメモリを挿入するとテロ犯罪になる。\n\n使用されるコンピュータ機器の脆弱性対策は、まず脆弱性を識別して、その攻撃手法を考慮した対策が施されたコンピュータ機器でなければ、Integrity（完全性、整合性、健全性）があるとは言えない。では、それをどう実現するのか？",{"id":29,"heading":30,"summary":7,"body":31,"gallery":7},462,"4．船舶","ClassNKでは、2018年より、船舶で使用するコンピュータ製品（制御製品含む）の登録を義務付けした。セキュリティ対策として脆弱性情報を整理する上で、最低限必要な管理体制構築である。登録されていないコンピュータ製品（制御製品含む）は使えなくなる。\n\n船主、コンテナ船、車両専用輸送船、保険会社、海事協会が共同で「Guidelines on Cyber Security Onboard Ships Version 2.0」を発行しており、実践的な指摘事項が多く書かれている。それら一つ一つに対応するには、サイバー攻撃手法解析に基いた制御システム設計仕様や制御製品機能や性能の仕様対策を取り入れる必要がある。それにより、サイバー攻撃に強い制御製品で構築した制御システムを導入できる。では、それをどう実現するのか？",{"id":33,"heading":34,"summary":7,"body":35,"gallery":7},463,"5．交通機関","ロンドンの鉄道の新規設備購入仕様書の設計条件に、「Windows.NT4サービスパック6又はそれ以上・・・」という条件が今もって入っていたという。\n\n「それで脆弱性が無いと言えるのか？ サイバー攻撃の可能性が無いと言えるのか？」もしそれをWindows10のセキュリティセットフル仕様に変更すると、「対応できるソフトウェアがありません。」とサプライヤーが言う。\n\nOSに依存しないソフトウェアソース開発管理体制にするにはどうすれば良いか？\n実機製品の開発プロセスはどうすれば良いか？",{"id":37,"heading":38,"summary":7,"body":39,"gallery":7},464,"6．国を標的にした攻撃","サイバー軍が組織されるのが当たり前になっている。サイバー攻撃で情報収集もすれば破壊工作もする。軍事戦略も変るし、戦術も変る。相手国のサイバー攻撃機能を無能化する攻撃もある。サイバー軍に攻撃されるとあらゆるところで爆発事故や火災事故、破壊事故が起きることは既にその標的になっている国の惨状で知ることができるが、その情報は伝わってこない。\n\n国は深刻な状況であることを認識して対策を急いでいるが、その実感がない為か対策投資を控えてしまう。",{"id":41,"heading":42,"summary":7,"body":43,"gallery":7},465,"7．増えるサイバー犯罪集団","サイバー攻撃をビジネスにしている犯罪集団（組織）もある。ブローカーもいれば下請け業者もいる。これらは年々増えている。標的にしたIPアドレスはDOS攻撃で容易に通信不通状況に追い込まれる。さらに、高度なサイバー攻撃を受け負う集団も増えている。",{"id":45,"heading":46,"summary":7,"body":47,"gallery":7},466,"8．共通","リモートサポートシステムにおいて、リモート監視で便利になる訳だが、サイバー攻撃に利用されてしまうこともある。一つのクライアントがウイルスに感染して、適切なセキュリティが施されていなければリモートServer経由で他のクライアントにも感染が拡大するリスクは高い。\n\n脆弱性が無いシステムは現状として存在しないのだから、当然セキュリティ監視システムにも脆弱性を突いた攻撃は仕掛けられる。それらを利用して制御システムをハッキングできるし、マルウェアも侵入できる。攻撃によって制御システムの操作端も操作できるとなると、制御システムを守るための対策が必要となる。\nでは、それはどのような対策なのか？\n\n安全神話や聖域が存在するならば、平穏な日々の幸運が続いているに過ぎません。運に頼るのではなく、一寸先の安心や安全を積極的に作り上げる積み重ねが肝要です。",{"id":49,"heading":50,"summary":7,"body":51,"gallery":7},467,"9．まとめ","すでに情報セキュリティだけでは太刀打ちできないところまで来ている。\n対策技術や管理は、制御システム設計手法や制御機器仕様や保全管理やサプライヤパートナー企業との連携まで変えていかないと対処できなくなっている。\nMTTRの短縮は企業経営にとって売り上げや営業利益に直接影響する。\n\n制御システムセキュリティ対策／制御セキュリティ対策／安全セキュリティ対策を積極的に行わない企業の売り上げ計画は予測できないリスクを抱え、株主の企業評価の査定に影響するところまできている。\n医薬品業界でもFDAの監査で「制御システムセキュリティ対策は実施していますか？」「どのようなサイバー攻撃対策をしていますか？」と問われて、製造現場の対策ができていないと診られたら、米国への製品出荷停止になった事例もある。\n船舶業界で言えば、船主からの注文条件に、船舶及び造船設備のサイバーセキュリティ対策が入っていることで入札に参加することすらできない時代が来ている。\n\nひとたび組織化するとその維持や繁栄のために労して、時代の流れに気も留めず、結果的に思考停止に陥りやすくなる。その良い意味では、組織の一員として機能することで組織を支える。ところが時代の変革に直面する時にそれが悪い方に出てくる。何もしないで済ませると機を逃して企業の危機・衰退につながっていく。\n\nそうあってはならないと企業を救う維新の志士になれるのも機を逃さないようにありたいものです。",[53],{"id":10,"company":54,"name":55,"profile":56},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343246]