<サイバーセキュリティの変遷と規格と認証>
◎情報セキュリティ
関連する規格 ISO/IEC 27001、ISO/IEC 27006 関連する認証 ISMS認証
インターネットの普及により従来のソフトウェアのバグ対策からウイルス対策に変わっていった。企業活動におけるサイバー攻撃の脅威も増えている。例えば、Web内容をオーナーの許諾無しに書き換えたり、メールリストを搾取して売ったり、企業機密情報を搾取して売ったり公開して企業価値を陥れたりする。そういった一連の攻撃に使用されるマルウェアの種類も増えてきて、情報セキュリティ専門対策が必要となってきた。
ここで質問ですが、企業内の「情報システム」と「情報セキュリティ」の役割の違いを説明できますか。
企業内の「情報システム」の仕事として、ネットワークを使用する際の社員ID管理や使用するPCのIDとソフトウェアバージョン管理やWANとのFW、プロキシ管理などがあげられる。これらの管理業務には当然“一般的な”セキュリティ対策も含まれる。
その一方、サイバー攻撃対策を専門とする業務が「情報セキュリティ」の仕事である。情報セキュリティ部門は、企業機密情報や個人情報が盗まれないようにシステム設計上の対策を施し、インシデント監視やログ分析を主な業務とする。
◎制御システムセキュリティ
関連する規格 IEC62443、NIST SP800-82 関連する認証 CSMS認証
2010年にStuxnetが発見されて、インターネットにつながっていなくても制御システムをサイバー攻撃できることが明らかとなった。USBメモリからの感染ルートもあったことが公開され、製造現場やビルオートメーション現場でのUSBメモリ使用を制限するようになった。
2012年にはイランが報復攻撃としてサウジアラビアの企業で使用するPCを標的にオートブートを書き換えるShamoonを使って企業活動を停止させた。
2013年には韓国の放送局や重要インフラ企業が標的でPCのオートブートが書き換えられるサイバー攻撃があった。
2013年頃、インターネットから入り込むマルウェアの検知率は9割あったが、2015年頃には3割以下に、2016年には2割に低下した。背景として、スクリプトタイプや暗号化された高度なマルウェアが増えたため検知率が低下した。システムにマルウェアの種が侵入した後、Serverのインストーラ機能を使ってマルウェアになる。これにより、標的を攻撃しやすいServerに直接マルウェアを生成させることが可能になる。
2015年ウクライナの通信施設とエネルギー関連施設を標的にServerのインストール機能を利用したスクリプトと暗号データを利用したBlack Energyが広域停電を起した。
2016年ウクライナでIndustroyerというマルウェアによって、通信施設とエネルギー関連施設を標的にサイバー攻撃が行われた。2017年においてはウクライナの重要インフラ(通信、交通、空港)でもサイバー攻撃が行われている。
イランにおいても2016年から2017年にかけて度重なるサイバー攻撃により石油施設や関連施設を標的に毎週サイバー攻撃が行われ、爆発や火災、メカニック破損などの事故が多く起きている。
これらのサイバー攻撃手法を視るに情報セキュリティだけではなく制御システムセキュリティも必要となっていった。業務系ネットワークと製造施設のネットワークを分けることやDMZを設置したり、ホワイトリスト方式で許可する通信も一つに絞ったり、通信の一方通行だけを許可するデータダイオードや未知のマルウェアの侵入を検知するデコイサーバーなどの対策製品も次々と登場している。
◎制御セキュリティ
関連する規格 IEC62443-4-1/-4-2 関連する認証 SSA認証、EDSA認証、SDLA認証
2010年Stuxnetの登場以後、その亜種版もネット上で確認されるようになった。
2014年にはドイツの鉄鋼所がサイバー攻撃を受け、その後のサイバー攻撃手法に制御コントローラや制御装置、機械などを標的にしたサイバー攻撃の件数が増えてきた。
2016年頃になると、サイバー攻撃者にも制御コントローラの構造が知られるようになった。制御コントローラのレジスタを書き換えたり、空いているメモリエリアにマルウェアを書き込んだりといった「プログラムを書き換えるマルウェア」が拡がったことで、制御製品そのものにインシデント検知機能が必要となっていった。
制御コントローラがサイバー攻撃を受けても制御機能が正常に機能していることを確認する認証が重要となった。
その対策を制御システムセキュリティと区別して、「制御セキュリティ」という。
◎安全セキュリティ
関連する認証 IEC63069/IEC63074/ISO26262など
2017年12月に、プラント制御においてもSISコントローラのプログラムを書き換えるマルウェアが登場した。
サイバー攻撃の事例として、制御装置、機械、ロボット、航空機、船舶、列車、自動車業界などの報告が次々と上がってくるようになった。そして、機能安全、機械安全などの完全性を確保する為に欠かせない要素として、サイバーセキュリティの重要性が増してきた。よって、安全の完全性を確保するための「安全セキュリティ」が重要となった。
特に制御コントローラが制御機能の正常維持ができないことを検知した場合は、制御コントローラの故障と同じく安全シーケンスが作動して安全に停止する仕組みと、冗長化の制御コントローラはサイバー攻撃を受けても同時に停止しない仕組みが求められるようになった。
関連する規格 ISO/IEC 27001、ISO/IEC 27006 関連する認証 ISMS認証
インターネットの普及により従来のソフトウェアのバグ対策からウイルス対策に変わっていった。企業活動におけるサイバー攻撃の脅威も増えている。例えば、Web内容をオーナーの許諾無しに書き換えたり、メールリストを搾取して売ったり、企業機密情報を搾取して売ったり公開して企業価値を陥れたりする。そういった一連の攻撃に使用されるマルウェアの種類も増えてきて、情報セキュリティ専門対策が必要となってきた。
ここで質問ですが、企業内の「情報システム」と「情報セキュリティ」の役割の違いを説明できますか。
企業内の「情報システム」の仕事として、ネットワークを使用する際の社員ID管理や使用するPCのIDとソフトウェアバージョン管理やWANとのFW、プロキシ管理などがあげられる。これらの管理業務には当然“一般的な”セキュリティ対策も含まれる。
その一方、サイバー攻撃対策を専門とする業務が「情報セキュリティ」の仕事である。情報セキュリティ部門は、企業機密情報や個人情報が盗まれないようにシステム設計上の対策を施し、インシデント監視やログ分析を主な業務とする。
◎制御システムセキュリティ
関連する規格 IEC62443、NIST SP800-82 関連する認証 CSMS認証
2010年にStuxnetが発見されて、インターネットにつながっていなくても制御システムをサイバー攻撃できることが明らかとなった。USBメモリからの感染ルートもあったことが公開され、製造現場やビルオートメーション現場でのUSBメモリ使用を制限するようになった。
2012年にはイランが報復攻撃としてサウジアラビアの企業で使用するPCを標的にオートブートを書き換えるShamoonを使って企業活動を停止させた。
2013年には韓国の放送局や重要インフラ企業が標的でPCのオートブートが書き換えられるサイバー攻撃があった。
2013年頃、インターネットから入り込むマルウェアの検知率は9割あったが、2015年頃には3割以下に、2016年には2割に低下した。背景として、スクリプトタイプや暗号化された高度なマルウェアが増えたため検知率が低下した。システムにマルウェアの種が侵入した後、Serverのインストーラ機能を使ってマルウェアになる。これにより、標的を攻撃しやすいServerに直接マルウェアを生成させることが可能になる。
2015年ウクライナの通信施設とエネルギー関連施設を標的にServerのインストール機能を利用したスクリプトと暗号データを利用したBlack Energyが広域停電を起した。
2016年ウクライナでIndustroyerというマルウェアによって、通信施設とエネルギー関連施設を標的にサイバー攻撃が行われた。2017年においてはウクライナの重要インフラ(通信、交通、空港)でもサイバー攻撃が行われている。
イランにおいても2016年から2017年にかけて度重なるサイバー攻撃により石油施設や関連施設を標的に毎週サイバー攻撃が行われ、爆発や火災、メカニック破損などの事故が多く起きている。
これらのサイバー攻撃手法を視るに情報セキュリティだけではなく制御システムセキュリティも必要となっていった。業務系ネットワークと製造施設のネットワークを分けることやDMZを設置したり、ホワイトリスト方式で許可する通信も一つに絞ったり、通信の一方通行だけを許可するデータダイオードや未知のマルウェアの侵入を検知するデコイサーバーなどの対策製品も次々と登場している。
◎制御セキュリティ
関連する規格 IEC62443-4-1/-4-2 関連する認証 SSA認証、EDSA認証、SDLA認証
2010年Stuxnetの登場以後、その亜種版もネット上で確認されるようになった。
2014年にはドイツの鉄鋼所がサイバー攻撃を受け、その後のサイバー攻撃手法に制御コントローラや制御装置、機械などを標的にしたサイバー攻撃の件数が増えてきた。
2016年頃になると、サイバー攻撃者にも制御コントローラの構造が知られるようになった。制御コントローラのレジスタを書き換えたり、空いているメモリエリアにマルウェアを書き込んだりといった「プログラムを書き換えるマルウェア」が拡がったことで、制御製品そのものにインシデント検知機能が必要となっていった。
制御コントローラがサイバー攻撃を受けても制御機能が正常に機能していることを確認する認証が重要となった。
その対策を制御システムセキュリティと区別して、「制御セキュリティ」という。
◎安全セキュリティ
関連する認証 IEC63069/IEC63074/ISO26262など
2017年12月に、プラント制御においてもSISコントローラのプログラムを書き換えるマルウェアが登場した。
サイバー攻撃の事例として、制御装置、機械、ロボット、航空機、船舶、列車、自動車業界などの報告が次々と上がってくるようになった。そして、機能安全、機械安全などの完全性を確保する為に欠かせない要素として、サイバーセキュリティの重要性が増してきた。よって、安全の完全性を確保するための「安全セキュリティ」が重要となった。
特に制御コントローラが制御機能の正常維持ができないことを検知した場合は、制御コントローラの故障と同じく安全シーケンスが作動して安全に停止する仕組みと、冗長化の制御コントローラはサイバー攻撃を受けても同時に停止しない仕組みが求められるようになった。
◎これからのサイバーセキュリティ
2018年以降、各産業界でサイバーセキュリティガイドラインの整備が急速に進んでいる。
【続きはeICS受講者のみログイン後、閲覧可。】
・生産工場やビル施設や放送施設、通信施設、航空機、船舶、列車、自動車などで、どこまでを対策範囲にして、何が必要となるのか解説。
2018年以降、各産業界でサイバーセキュリティガイドラインの整備が急速に進んでいる。
【続きはeICS受講者のみログイン後、閲覧可。】
・生産工場やビル施設や放送施設、通信施設、航空機、船舶、列車、自動車などで、どこまでを対策範囲にして、何が必要となるのか解説。
<米国が中国企業を敵視している理由の一つ>
◎中国の国家情報法について
2017年6月27日に中国は「国家情報法」を法制化した。施工日は2017年6月28日。
【続きはeICS受講者のみログイン後、閲覧可。】
・中国の国家情報法の条項内容を引用し、どのような監査項目が必要となるのか解説。
2017年6月27日に中国は「国家情報法」を法制化した。施工日は2017年6月28日。
【続きはeICS受講者のみログイン後、閲覧可。】
・中国の国家情報法の条項内容を引用し、どのような監査項目が必要となるのか解説。
<取引契約と認証と保険>
◎認証制度と認証機関は何故あるのか?
サイバー攻撃の被害が今後増えていくであろうことから、損害賠償請求訴訟案件も今後増えてくると思います。
【続きはeICS受講者のみログイン後、閲覧可。】
・サイバー攻撃被害による損害賠償請求訴訟に対応していくにはどうすれば良いか解説。
◎IoT/CPPS/セキュリティ製品の現場仕様
【続きはeICS受講者のみログイン後、閲覧可。】
・施設や生産工場の設備や製造システムのリフレッシュ時に追設する製品の要注意ポイントを解説。
◎損害賠償請求訴訟が日本でも始まっている
サイバー攻撃の被害が今後増えていくであろうことから、損害賠償請求訴訟案件も今後増えてくると思います。
2018年12月6日のVEC協賛セミナーで真和総合法律事務所の弁護士から、サイバーセキュリティにおける損害賠償請求訴訟が海外では既に当たり前のように起きており、日本国内でも弁護士の間では、訴訟準備に入っている案件も既にあることが明らかとなった。
損害賠償請求訴訟対策で重要になるのが、発注仕様書、受け入れ検査、立会検査、検収審査などの購買契約に関すること。基本取引契約、脆弱性識別情報管理、サイバーセキュリティ監査などのパートナー企業契約に関することが責任の分岐点になる。
サプライヤー企業にとっては、企業のガバナンスについてはCSMS認証、製品開発やシステム設計におけるセキュリティマネージメントシステムについてはSDLA認証、制御装置制御システムのサイバーセキュリティレベルはSSA認証、制御製品コンポーネントについてはEDSA認証を取得していることが企業を守る手段となる。
また、認証機関の審査に問題があると、認証機関の瑕疵責任が裁判で問われることになるのですが、それは責任の一部に過ぎません。この問題の一番の大きな責任は製品を供給したベンダに課せられ、損害賠償請求をされることもあります。
その対策として、保険契約の中のサイバーセキュリティ項目をどのように扱うかがあります。
サイバーリスクアセスメントについては、その手法や評価方法についての妥当性を問われます。また、リスク低減や残留リスクの継承・維持責任などもしっかりやっていくことが求められます。つまり、リスクアセスメントとリスクマネージメントの質レベルを審査・評価することが重要になる時代が来ています。
サイバー攻撃の被害が今後増えていくであろうことから、損害賠償請求訴訟案件も今後増えてくると思います。
【続きはeICS受講者のみログイン後、閲覧可。】
・サイバー攻撃被害による損害賠償請求訴訟に対応していくにはどうすれば良いか解説。
◎IoT/CPPS/セキュリティ製品の現場仕様
【続きはeICS受講者のみログイン後、閲覧可。】
・施設や生産工場の設備や製造システムのリフレッシュ時に追設する製品の要注意ポイントを解説。
◎損害賠償請求訴訟が日本でも始まっている
サイバー攻撃の被害が今後増えていくであろうことから、損害賠償請求訴訟案件も今後増えてくると思います。
2018年12月6日のVEC協賛セミナーで真和総合法律事務所の弁護士から、サイバーセキュリティにおける損害賠償請求訴訟が海外では既に当たり前のように起きており、日本国内でも弁護士の間では、訴訟準備に入っている案件も既にあることが明らかとなった。
損害賠償請求訴訟対策で重要になるのが、発注仕様書、受け入れ検査、立会検査、検収審査などの購買契約に関すること。基本取引契約、脆弱性識別情報管理、サイバーセキュリティ監査などのパートナー企業契約に関することが責任の分岐点になる。
サプライヤー企業にとっては、企業のガバナンスについてはCSMS認証、製品開発やシステム設計におけるセキュリティマネージメントシステムについてはSDLA認証、制御装置制御システムのサイバーセキュリティレベルはSSA認証、制御製品コンポーネントについてはEDSA認証を取得していることが企業を守る手段となる。
また、認証機関の審査に問題があると、認証機関の瑕疵責任が裁判で問われることになるのですが、それは責任の一部に過ぎません。この問題の一番の大きな責任は製品を供給したベンダに課せられ、損害賠償請求をされることもあります。
その対策として、保険契約の中のサイバーセキュリティ項目をどのように扱うかがあります。
サイバーリスクアセスメントについては、その手法や評価方法についての妥当性を問われます。また、リスク低減や残留リスクの継承・維持責任などもしっかりやっていくことが求められます。つまり、リスクアセスメントとリスクマネージメントの質レベルを審査・評価することが重要になる時代が来ています。
