[{"data":1,"prerenderedAt":35},["ShallowReactive",2],{"journal-detail-31":3},{"main":4,"content":13,"author":30},{"id":5,"level":6,"level_name":7,"title":8,"summary":9,"body":10,"author":11,"created_time":12,"edited_time":12},512,9,"eICS受講者のみ全文閲覧可","各種セキュリティ対策の分類と関連する規格／認証について","これからの展望","","murakami","2019-01-20 04:01:00",[14,19,22,26],{"id":15,"heading":16,"summary":10,"body":17,"gallery":18},513,"＜サイバーセキュリティの変遷と規格と認証＞","\u003Cstrong>◎情報セキュリティ\u003C/strong>\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連する規格\u003C/strong>　ISO/IEC 27001、ISO/IEC 27006\u003C/span>　\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-green\">関連する認証\u003C/strong>　ISMS認証\u003C/span>\n\nインターネットの普及により従来のソフトウェアのバグ対策からウイルス対策に変わっていった。企業活動におけるサイバー攻撃の脅威も増えている。例えば、Web内容をオーナーの許諾無しに書き換えたり、メールリストを搾取して売ったり、企業機密情報を搾取して売ったり公開して企業価値を陥れたりする。そういった一連の攻撃に使用されるマルウェアの種類も増えてきて、情報セキュリティ専門対策が必要となってきた。\n\nここで質問ですが、企業内の「情報システム」と「情報セキュリティ」の役割の違いを説明できますか。\n\n企業内の「情報システム」の仕事として、ネットワークを使用する際の社員ID管理や使用するPCのIDとソフトウェアバージョン管理やWANとのFW、プロキシ管理などがあげられる。これらの管理業務には当然“一般的な”セキュリティ対策も含まれる。\nその一方、サイバー攻撃対策を専門とする業務が「情報セキュリティ」の仕事である。情報セキュリティ部門は、企業機密情報や個人情報が盗まれないようにシステム設計上の対策を施し、インシデント監視やログ分析を主な業務とする。\n\n\u003Cstrong>◎制御システムセキュリティ\u003C/strong>\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連する規格\u003C/strong>　IEC62443、NIST SP800-82\u003C/span>　\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-green\">関連する認証\u003C/strong>　CSMS認証\u003C/span>\n\n2010年にStuxnetが発見されて、インターネットにつながっていなくても制御システムをサイバー攻撃できることが明らかとなった。USBメモリからの感染ルートもあったことが公開され、製造現場やビルオートメーション現場でのUSBメモリ使用を制限するようになった。\n\n2012年にはイランが報復攻撃としてサウジアラビアの企業で使用するPCを標的にオートブートを書き換えるShamoonを使って企業活動を停止させた。\n\n2013年には韓国の放送局や重要インフラ企業が標的でPCのオートブートが書き換えられるサイバー攻撃があった。\n\n2013年頃、インターネットから入り込むマルウェアの検知率は9割あったが、2015年頃には3割以下に、2016年には2割に低下した。背景として、スクリプトタイプや暗号化された高度なマルウェアが増えたため検知率が低下した。システムにマルウェアの種が侵入した後、Serverのインストーラ機能を使ってマルウェアになる。これにより、標的を攻撃しやすいServerに直接マルウェアを生成させることが可能になる。\n\n2015年ウクライナの通信施設とエネルギー関連施設を標的にServerのインストール機能を利用したスクリプトと暗号データを利用したBlack Energyが広域停電を起した。\n\n2016年ウクライナでIndustroyerというマルウェアによって、通信施設とエネルギー関連施設を標的にサイバー攻撃が行われた。2017年においてはウクライナの重要インフラ（通信、交通、空港）でもサイバー攻撃が行われている。\n\nイランにおいても2016年から2017年にかけて度重なるサイバー攻撃により石油施設や関連施設を標的に毎週サイバー攻撃が行われ、爆発や火災、メカニック破損などの事故が多く起きている。\n\nこれらのサイバー攻撃手法を視るに情報セキュリティだけではなく制御システムセキュリティも必要となっていった。業務系ネットワークと製造施設のネットワークを分けることやDMZを設置したり、ホワイトリスト方式で許可する通信も一つに絞ったり、通信の一方通行だけを許可するデータダイオードや未知のマルウェアの侵入を検知するデコイサーバーなどの対策製品も次々と登場している。\n\n\u003Cstrong>◎制御セキュリティ\u003C/strong>\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連する規格\u003C/strong>　IEC62443-4-1／-4-2\u003C/span>　\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-green\">関連する認証\u003C/strong>　SSA認証、EDSA認証、SDLA認証\u003C/span>\n\n2010年Stuxnetの登場以後、その亜種版もネット上で確認されるようになった。\n\n2014年にはドイツの鉄鋼所がサイバー攻撃を受け、その後のサイバー攻撃手法に制御コントローラや制御装置、機械などを標的にしたサイバー攻撃の件数が増えてきた。\n\n2016年頃になると、サイバー攻撃者にも制御コントローラの構造が知られるようになった。制御コントローラのレジスタを書き換えたり、空いているメモリエリアにマルウェアを書き込んだりといった「プログラムを書き換えるマルウェア」が拡がったことで、制御製品そのものにインシデント検知機能が必要となっていった。\n\n制御コントローラがサイバー攻撃を受けても制御機能が正常に機能していることを確認する認証が重要となった。\n\nその対策を制御システムセキュリティと区別して、「制御セキュリティ」という。\n\n\u003Cstrong>◎安全セキュリティ\u003C/strong>\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-green\">関連する認証\u003C/strong>　IEC63069／IEC63074／ISO26262など\u003C/span>\n\n2017年12月に、プラント制御においてもSISコントローラのプログラムを書き換えるマルウェアが登場した。\n\nサイバー攻撃の事例として、制御装置、機械、ロボット、航空機、船舶、列車、自動車業界などの報告が次々と上がってくるようになった。そして、機能安全、機械安全などの完全性を確保する為に欠かせない要素として、サイバーセキュリティの重要性が増してきた。よって、安全の完全性を確保するための「安全セキュリティ」が重要となった。\n\n特に制御コントローラが制御機能の正常維持ができないことを検知した場合は、制御コントローラの故障と同じく安全シーケンスが作動して安全に停止する仕組みと、冗長化の制御コントローラはサイバー攻撃を受けても同時に停止しない仕組みが求められるようになった。","image1.jpg,image2.jpg,image3.jpg",{"id":20,"heading":10,"summary":10,"body":21,"gallery":10},514,"\u003Cstrong>◎これからのサイバーセキュリティ\u003C/strong>\n\n2018年以降、各産業界でサイバーセキュリティガイドラインの整備が急速に進んでいる。\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・生産工場やビル施設や放送施設、通信施設、航空機、船舶、列車、自動車などで、どこまでを対策範囲にして、何が必要となるのか解説。\u003C/span>",{"id":23,"heading":24,"summary":10,"body":25,"gallery":10},515,"＜米国が中国企業を敵視している理由の一つ＞","\u003Cstrong>◎中国の国家情報法について\u003C/strong>\n\n2017年6月27日に中国は「国家情報法」を法制化した。施工日は2017年6月28日。\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・中国の国家情報法の条項内容を引用し、どのような監査項目が必要となるのか解説。\u003C/span>",{"id":27,"heading":28,"summary":10,"body":29,"gallery":10},516,"＜取引契約と認証と保険＞","\u003Cstrong>◎認証制度と認証機関は何故あるのか？\u003C/strong>\n\nサイバー攻撃の被害が今後増えていくであろうことから、損害賠償請求訴訟案件も今後増えてくると思います。\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・サイバー攻撃被害による損害賠償請求訴訟に対応していくにはどうすれば良いか解説。\u003C/span>\n\n\u003Cstrong>◎IoT/CPPS/セキュリティ製品の現場仕様\u003C/strong>\n\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・施設や生産工場の設備や製造システムのリフレッシュ時に追設する製品の要注意ポイントを解説。\u003C/span>\n\n\u003Cstrong>◎損害賠償請求訴訟が日本でも始まっている\u003C/strong>\n\nサイバー攻撃の被害が今後増えていくであろうことから、損害賠償請求訴訟案件も今後増えてくると思います。\n\n2018年12月6日のVEC協賛セミナーで真和総合法律事務所の弁護士から、サイバーセキュリティにおける損害賠償請求訴訟が海外では既に当たり前のように起きており、日本国内でも弁護士の間では、訴訟準備に入っている案件も既にあることが明らかとなった。\n\n損害賠償請求訴訟対策で重要になるのが、発注仕様書、受け入れ検査、立会検査、検収審査などの購買契約に関すること。基本取引契約、脆弱性識別情報管理、サイバーセキュリティ監査などのパートナー企業契約に関することが責任の分岐点になる。\n\nサプライヤー企業にとっては、企業のガバナンスについてはCSMS認証、製品開発やシステム設計におけるセキュリティマネージメントシステムについてはSDLA認証、制御装置制御システムのサイバーセキュリティレベルはSSA認証、制御製品コンポーネントについてはEDSA認証を取得していることが企業を守る手段となる。\n\nまた、認証機関の審査に問題があると、認証機関の瑕疵責任が裁判で問われることになるのですが、それは責任の一部に過ぎません。この問題の一番の大きな責任は製品を供給したベンダに課せられ、損害賠償請求をされることもあります。\n\nその対策として、保険契約の中のサイバーセキュリティ項目をどのように扱うかがあります。\n\nサイバーリスクアセスメントについては、その手法や評価方法についての妥当性を問われます。また、リスク低減や残留リスクの継承・維持責任などもしっかりやっていくことが求められます。つまり、リスクアセスメントとリスクマネージメントの質レベルを審査・評価することが重要になる時代が来ています。",[31],{"id":11,"company":32,"name":33,"profile":34},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343241]