1.今までの生産工場のネットワーク構造
1990年代後半にWIBの会員企業の計装制御システムエンジニアが生産工場のシステムネットワークと計装制御システムの構造設計規範を出している。この中には、ISA95-L4(業務系ネットワーク)とL3(MES系ネットワーク)の間にFW(Fire Wall)を設置し、L3とL2(DCS系ネットワーク)の間にセキュアルータもしくはFWを設置している。SISは独立しながらも一方向通信でGatewayを経由して、DCSへSISの制御モード情報を渡している。
2.サイバー攻撃の現状
2010年にイランのウラン濃縮施設の遠心分離機へのサイバー攻撃でStuxnetが使用され、インターネットにつながれてない制御システムに攻撃できることを証明し、世界中の技術者に衝撃が走った。その後の8年間にはShamoon、Black Energy、Industroyer、WannaCry、PLC Blaster Warm、TRITONなど様々なマルウェアが登場し、亜種版も急増して、サイバー攻撃の請負業者もわかっているだけで40以上を数える。
一言にマルウェアと言っても制御コントローラを支配したり、制御コントローラの中を操作したり、制御コントローラの中を書き換えたりするものが次々と登場している。
セキュリティベンダは、ネットワーク監視をすることで対策ができると言うものもいるが、異常検知をしてそれを伝えるだけで緊急停止するかどうかはオペレータ任せと言う。危険物を扱い、制御反応が早い制御システムにおいては、5秒や10秒であっても制御不能状態が生まれることは爆発事故や火災事故や人身事故につながる。「サイバー攻撃されていますよ。」という通知だけを受け取っても、メカニックが壊れたり制御コントローラが不能になったりするのを停められなければ対策にはならない。
ServerのSoftwareや制御コントローラなどの脆弱性情報が公開されても、「パッチ処理をすれば良い」とよく言われるが現場のメンテナンス要員やシステム設計エンジニアに制御製品のパッチ作業を頼んでも容易にはできない。実際のパッチ処理作業は、制御製品の開発者を現場に連れてきて行うという、従来のソフトウェアのバク対応で経験してきた様な方法となる。ところが、こればかりに頼ると現場の制御システムのバリデーションがゼロになってしまう。さらには、I/O確認から動作確認、試運転というバリデーション構築作業を実施しなければならない。その後、運転準備を行い操業再開となる。バリデーション経験が不足する中で短時間回復(Resilience)を要求されても容易ではなく、現場人員だけで短時間回復を行える制御製品仕様に切り替えていく時期がすでに来ている。
注: 詳細は、eICSのICSジャーナル「サイバー攻撃事例から見るサイバーセキュリティとは何か?」からダウンロードできるPDF資料「【産業別】サイバー攻撃事故事例資料」で確認することができます。
一言にマルウェアと言っても制御コントローラを支配したり、制御コントローラの中を操作したり、制御コントローラの中を書き換えたりするものが次々と登場している。
セキュリティベンダは、ネットワーク監視をすることで対策ができると言うものもいるが、異常検知をしてそれを伝えるだけで緊急停止するかどうかはオペレータ任せと言う。危険物を扱い、制御反応が早い制御システムにおいては、5秒や10秒であっても制御不能状態が生まれることは爆発事故や火災事故や人身事故につながる。「サイバー攻撃されていますよ。」という通知だけを受け取っても、メカニックが壊れたり制御コントローラが不能になったりするのを停められなければ対策にはならない。
ServerのSoftwareや制御コントローラなどの脆弱性情報が公開されても、「パッチ処理をすれば良い」とよく言われるが現場のメンテナンス要員やシステム設計エンジニアに制御製品のパッチ作業を頼んでも容易にはできない。実際のパッチ処理作業は、制御製品の開発者を現場に連れてきて行うという、従来のソフトウェアのバク対応で経験してきた様な方法となる。ところが、こればかりに頼ると現場の制御システムのバリデーションがゼロになってしまう。さらには、I/O確認から動作確認、試運転というバリデーション構築作業を実施しなければならない。その後、運転準備を行い操業再開となる。バリデーション経験が不足する中で短時間回復(Resilience)を要求されても容易ではなく、現場人員だけで短時間回復を行える制御製品仕様に切り替えていく時期がすでに来ている。
注: 詳細は、eICSのICSジャーナル「サイバー攻撃事例から見るサイバーセキュリティとは何か?」からダウンロードできるPDF資料「【産業別】サイバー攻撃事故事例資料」で確認することができます。
3.サイバー攻撃に強い制御システム設計と制御製品
業務系ネットワークのServerからサイバー攻撃されても、インシデント検知できなければ対処のしようがない。制御システムを攻撃してくるものを検知して業務系ネットワークと制御系ネットワークの通信を切り離すことができれば操業継続が可能となる。もし制御コントローラがサイバー攻撃されたら、制御コントローラ自体にインシデント検知機能が無ければ安全に停めることは難しい。故障時と同様の対処ができたら、緊急時対応でかろうじてメカニックを守ることは可能である。冗長化システムでプライマリ側とバックアップ側のコントローラやServerが同じ製品であれば故障時には対応出来ても、サイバー攻撃時には冗長化システム丸ごと異常となる確率が高い。サイバー攻撃に対しても冗長化されているシステムを構築するにはどうすればよいか。
サイバー攻撃に強い制御製品を採用していれば安心ということではない。サイバー攻撃に強い制御製品を使って、インシデント検知および対応ができる制御システム設計はどのようになるかを図にまとめた。但し、ここに記載の各項目にどのような対策技術及び管理内容を確認しなければならないかは、ICS研究所のオンデマンドビデオ講座eICSでご確認ください。
注: 詳細は、eICSの「サイバーリスクアセスメントの手引き」の「石油・ガスシステムにおけるサイバーリスクアセスメント事例」講座で解説しております。サイバー攻撃に強い制御システム設計や制御製品については、「制御セキュリティとシステム設計」「制御製品開発技術」で解説しております。
サイバー攻撃に強い制御製品を採用していれば安心ということではない。サイバー攻撃に強い制御製品を使って、インシデント検知および対応ができる制御システム設計はどのようになるかを図にまとめた。但し、ここに記載の各項目にどのような対策技術及び管理内容を確認しなければならないかは、ICS研究所のオンデマンドビデオ講座eICSでご確認ください。
注: 詳細は、eICSの「サイバーリスクアセスメントの手引き」の「石油・ガスシステムにおけるサイバーリスクアセスメント事例」講座で解説しております。サイバー攻撃に強い制御システム設計や制御製品については、「制御セキュリティとシステム設計」「制御製品開発技術」で解説しております。
4.IEC62443-3-2/-3-3をベースにしたリスクアセスメント
HSE(Health、Safety、Environment)にSecurityを加えてHSSEのリスクアセスメントを実施することでグループ安全となる。
サイバーセキュリティ・リスクアセスメントの分析・評価の方法として、個々のデバイスのリスク評価値を決めて計算していく方法がある。しかし、このやり方では評価レンジ定義の妥当性や評価数値計算の妥当性を検証するのが難しい。
DCS・PLC・SCADAなどの制御製品の中で、セキュリティ対策仕様が入って無いものや、あってもインシデント検知・警報システムを組んで安全対策とするには不充分なものがある。また、第三者認証(ISA Secure認証ーEDSA認証)を取得しているものもある。その機種選択における検証が俗人的判断では事故が起きた時の責任問題となってくる。
リスクアセスメントは国際標準規格をベースに実施することで妥当性を持たせることができる。制御システムセキュリティも同じで、IEC62443-3-2にリスクアセスメント、IEC62443-3-3にシステム設計要件がまとめられている。
新規建設する制御システムでは、最初にシステム構成図を作成する。レガシーシステムのセキュリティ改善では既存のシステム構成図を用意する。そして、システム構成図でセグメント及びゾーン設計する。それぞれのゾーンにおけるセキュリティレベルをIEC62443のセキュリティレベル評価基準に基づいて仮決めしていく。その仮決めしたセキュリティレベルについて、物理セキュリティ、ネットワーク、オペレーションHMI、インシデント検知/対応、アセット対応などの項目ごとに実操業条件を考慮して、適用する制御製品の要求仕様(セキュリティレベル)をまとめる。この段階では、操業開始から運転/停止/メンテナンス、警報システムや脆弱性識別情報ベースの保全品管理など、事業継続に必要な条件全てを網羅した要求仕様書としてまとめ、残留リスクの項目も明確にしておくことが肝要である。
その作成した要求仕様に合った制御製品を選択し割り付ける。制御製品はIEC62443-4-1/-4-2で決められたセキュリティレベルの要求仕様(機能や性能)を満たした制御製品を採用する。この時に第三者認証を取得している制御製品を採用する場合には、受け入れ検査及び立会試験時に、個々の詳細要求仕様の適合性を制御ベンダが提出する試験結果で確認することができる。
注: 詳細については、eICSの「サイバーリスクアセスメントの手引き」の各講座で解説しております。
サイバーセキュリティ・リスクアセスメントの分析・評価の方法として、個々のデバイスのリスク評価値を決めて計算していく方法がある。しかし、このやり方では評価レンジ定義の妥当性や評価数値計算の妥当性を検証するのが難しい。
DCS・PLC・SCADAなどの制御製品の中で、セキュリティ対策仕様が入って無いものや、あってもインシデント検知・警報システムを組んで安全対策とするには不充分なものがある。また、第三者認証(ISA Secure認証ーEDSA認証)を取得しているものもある。その機種選択における検証が俗人的判断では事故が起きた時の責任問題となってくる。
リスクアセスメントは国際標準規格をベースに実施することで妥当性を持たせることができる。制御システムセキュリティも同じで、IEC62443-3-2にリスクアセスメント、IEC62443-3-3にシステム設計要件がまとめられている。
新規建設する制御システムでは、最初にシステム構成図を作成する。レガシーシステムのセキュリティ改善では既存のシステム構成図を用意する。そして、システム構成図でセグメント及びゾーン設計する。それぞれのゾーンにおけるセキュリティレベルをIEC62443のセキュリティレベル評価基準に基づいて仮決めしていく。その仮決めしたセキュリティレベルについて、物理セキュリティ、ネットワーク、オペレーションHMI、インシデント検知/対応、アセット対応などの項目ごとに実操業条件を考慮して、適用する制御製品の要求仕様(セキュリティレベル)をまとめる。この段階では、操業開始から運転/停止/メンテナンス、警報システムや脆弱性識別情報ベースの保全品管理など、事業継続に必要な条件全てを網羅した要求仕様書としてまとめ、残留リスクの項目も明確にしておくことが肝要である。
その作成した要求仕様に合った制御製品を選択し割り付ける。制御製品はIEC62443-4-1/-4-2で決められたセキュリティレベルの要求仕様(機能や性能)を満たした制御製品を採用する。この時に第三者認証を取得している制御製品を採用する場合には、受け入れ検査及び立会試験時に、個々の詳細要求仕様の適合性を制御ベンダが提出する試験結果で確認することができる。
注: 詳細については、eICSの「サイバーリスクアセスメントの手引き」の各講座で解説しております。
5.CPPS対応の計装制御システム技術者に求められること
IoT(Internet of things)はインターネットで見える化をして人の判断に任せるソリューションである。これに対してCPS(Cyber Physical System)は、サイバー空間とフィジカル空間でモノや人などがデータと連携した構造の二つの層と、その上にバリューチェーン層を構成するソリューションを言う。CPPS(Cyber Physical Production System)は、CPSのフィジカル部分を生産工場として定義したソリューションである。CPS/CPPSは、サイバーセキュリティリスクが低いプライベートクラウドを使用することも含まれている。プライベートクラウドでは、大きなメモリ空間や多くのプロセッサを使用できることで高速処理が可能になる。これによりビッグデータを扱えたり、AI/ディープニューラルネットワーク/ディープラーニングなどの最新技術を使用したりすることが可能となる。
更に、生産設備の様々な課題をライフサイクル管理するためには、データモデル連携する必要があり、それを実現させようとしているのがISO15926である。また、異なる3D CADを連携させるデータモデルエンジンの開発もIndustry4.0では進められており、今やHMIは3D CADとなって多様化するオブジェクトに対応している。
そして、生産する製品の品質改善やTBM/CBMを活用した設備管理など、今まで物理Serverの性能で制限されてできなかった最新技術をプライベートクラウド空間で展開させることが可能となる。
制御ループにプライベートクラウドを組み入れることはできるのか。それをやろうとすると、プライベートクラウドとの通信の遅れが制御性能に制限を加えるし、通信が切れた時の緊急対処が間に合わないことと、安全シーケンスのタイミングの取り方が難しくなるためそれは現実的ではない。しかし、近いことを実現させたい場合には、フィジカル部分にEdge Computing機能を設置して、実制御部分の操業継続性と安全対応の確実性を確保することで可能となる。
CPPSを活用したシステム構造を導入する場合のユースケースとして
• 事業継続のための災害時対応+サイバーセキュリティ対応のサーベランス監視システム
• 安全操業のためのオペレーションナビ
• 設備機器個々のライフサイクルに基づくTBM/CBMを使用した設備管理
• 建設プロジェクトやレガシーリフレッシュプロジェクト(ISO15926+シミュレータ)
• サプライチェーンパートナー企業との事業連携
など、事業戦略上必要となる課題解決のソリューションが多く出てくる。詳細は、eICSの「Industry4.1J」の各講座で解説しております。
CPPSのセキュリティ対策としては、ISO27000シリーズの27006(Information Security Management System)/27017(Cloud Computing Security Management System)とIEC62443(Industry Control System Security)で対応することが基本となる。そこで使用されるセキュアな通信仕様はIEC62541(OPC UA)である。
注: 詳細は、eICSの「Industry4.1J/IoT・CPS」「サイバー・フィジカル・セキュリティ」で解説しております。
更に、生産設備の様々な課題をライフサイクル管理するためには、データモデル連携する必要があり、それを実現させようとしているのがISO15926である。また、異なる3D CADを連携させるデータモデルエンジンの開発もIndustry4.0では進められており、今やHMIは3D CADとなって多様化するオブジェクトに対応している。
そして、生産する製品の品質改善やTBM/CBMを活用した設備管理など、今まで物理Serverの性能で制限されてできなかった最新技術をプライベートクラウド空間で展開させることが可能となる。
制御ループにプライベートクラウドを組み入れることはできるのか。それをやろうとすると、プライベートクラウドとの通信の遅れが制御性能に制限を加えるし、通信が切れた時の緊急対処が間に合わないことと、安全シーケンスのタイミングの取り方が難しくなるためそれは現実的ではない。しかし、近いことを実現させたい場合には、フィジカル部分にEdge Computing機能を設置して、実制御部分の操業継続性と安全対応の確実性を確保することで可能となる。
CPPSを活用したシステム構造を導入する場合のユースケースとして
• 事業継続のための災害時対応+サイバーセキュリティ対応のサーベランス監視システム
• 安全操業のためのオペレーションナビ
• 設備機器個々のライフサイクルに基づくTBM/CBMを使用した設備管理
• 建設プロジェクトやレガシーリフレッシュプロジェクト(ISO15926+シミュレータ)
• サプライチェーンパートナー企業との事業連携
など、事業戦略上必要となる課題解決のソリューションが多く出てくる。詳細は、eICSの「Industry4.1J」の各講座で解説しております。
CPPSのセキュリティ対策としては、ISO27000シリーズの27006(Information Security Management System)/27017(Cloud Computing Security Management System)とIEC62443(Industry Control System Security)で対応することが基本となる。そこで使用されるセキュアな通信仕様はIEC62541(OPC UA)である。
注: 詳細は、eICSの「Industry4.1J/IoT・CPS」「サイバー・フィジカル・セキュリティ」で解説しております。
6.これから求められる計装制御技術者とは
企業力を高める重要課題として、如何にして国際ビジネスで通じる計装制御システムエンジニアを育てるかが挙げられる。それには、従来の機能安全やグループ安全のリスクアセスメントを実施できる実力と合わせて、制御システムセキュリティ対策技術とセキュリティマネージメントシステムを学び、実施能力を身に付ける必要がある。ところが、世界でもそれを教えられる人材は少ないのが現状である。
海外のグローバル企業は、IT分野では情報セキュリティ部門が規範を作り、情報システム部門はこれに従って情報システム設計を行い、これを維持管理している。OT分野では、制御セキュリティ部門が規範を作り、計装制御システムエンジニアはこれに従ってリスクアセスメントを行い、現場はこれを維持管理している。つまり、専門化して組織連携で対応していくことで数少ないスペシャリストを活用している。
ところが日本のシステムインテグレータや計装制御システムエンジニアは、日常の業務範囲が広く、多忙な中でサイバーセキュリティを学ぶ研修に出かけることも容易ではない。また、サイバーセキュリティ対策技術を学ぶにもその範囲は広く内容も深い。セキュリティベンダのセミナーや研修は、セキュリティベンダの製品を販売することを目的にしており、販売したい製品にたどり着くシナリオに基づいて研修シナリオを構成している。大学の先生方で作っているウェビナーでは断片的なテーマの講座で、学術的な色が濃い。基礎的な知見を身につけても、自分たちの現場実状に合った計装制御システム設計を実現できなければ意味がない。そういった実用面で能力が問われるのが計装制御技術者である。それにも関わらず、都度の研修を受ける余裕がないのは前述した通りである。
では、どうしたら良いか?
ICS研究所は計装制御技術者や制御装置設計者、製品開発者を対象にしたオンデマンドビデオ講座eICSを提供しており、制御システムセキュリティ/制御セキュリティ/安全セキュリティの対策技術やIEC62443セキュリティレベル対応のリスクアセスメントを実施できる技術者、サイバー攻撃に強い制御システム設計技術者/制御製品開発者を育てることの支援をしています。また、それらに関するご相談やコンサルにも対応しております。
ここに記載した内容は、計装制御システムエンジニアや製品開発者の方向性を示したものであって、対策技術やマネージメントシステムの解説ではありません。それを学びたい場合は、ICS研究所のオンデマンドビデオ講座eICSを受講してください。
eICSは、一年間全講座何度でも見放題なので、実際の業務で必要となった対応策を学ぶことができます。何度も見ている内に広範囲の深い知見が身についてきます。
是非、ご検討ください。
注: ICS研究所のeICSのアクセスはURL https://www.ics-lab.com/e/ からお願いします。
海外のグローバル企業は、IT分野では情報セキュリティ部門が規範を作り、情報システム部門はこれに従って情報システム設計を行い、これを維持管理している。OT分野では、制御セキュリティ部門が規範を作り、計装制御システムエンジニアはこれに従ってリスクアセスメントを行い、現場はこれを維持管理している。つまり、専門化して組織連携で対応していくことで数少ないスペシャリストを活用している。
ところが日本のシステムインテグレータや計装制御システムエンジニアは、日常の業務範囲が広く、多忙な中でサイバーセキュリティを学ぶ研修に出かけることも容易ではない。また、サイバーセキュリティ対策技術を学ぶにもその範囲は広く内容も深い。セキュリティベンダのセミナーや研修は、セキュリティベンダの製品を販売することを目的にしており、販売したい製品にたどり着くシナリオに基づいて研修シナリオを構成している。大学の先生方で作っているウェビナーでは断片的なテーマの講座で、学術的な色が濃い。基礎的な知見を身につけても、自分たちの現場実状に合った計装制御システム設計を実現できなければ意味がない。そういった実用面で能力が問われるのが計装制御技術者である。それにも関わらず、都度の研修を受ける余裕がないのは前述した通りである。
では、どうしたら良いか?
ICS研究所は計装制御技術者や制御装置設計者、製品開発者を対象にしたオンデマンドビデオ講座eICSを提供しており、制御システムセキュリティ/制御セキュリティ/安全セキュリティの対策技術やIEC62443セキュリティレベル対応のリスクアセスメントを実施できる技術者、サイバー攻撃に強い制御システム設計技術者/制御製品開発者を育てることの支援をしています。また、それらに関するご相談やコンサルにも対応しております。
ここに記載した内容は、計装制御システムエンジニアや製品開発者の方向性を示したものであって、対策技術やマネージメントシステムの解説ではありません。それを学びたい場合は、ICS研究所のオンデマンドビデオ講座eICSを受講してください。
eICSは、一年間全講座何度でも見放題なので、実際の業務で必要となった対応策を学ぶことができます。何度も見ている内に広範囲の深い知見が身についてきます。
是非、ご検討ください。
注: ICS研究所のeICSのアクセスはURL https://www.ics-lab.com/e/ からお願いします。
