[{"data":1,"prerenderedAt":85},["ShallowReactive",2],{"journal-detail-40":3},{"main":4,"content":14,"author":80},{"id":5,"level":6,"level_name":7,"title":8,"summary":9,"body":10,"author":11,"created_time":12,"edited_time":13},831,9,"eICS受講者のみ全文閲覧可","VEC主催 制御システムセキュリティ対策カンファレンスのパネルディスカッションサマリと解説","","第12回VEC主催 制御システムセキュリティ対策カンファレンス（2019年5月22日、23日開催）のパネルディスカッションにて出てきた課題を箇条書きしてみました。","murakami","2019-07-12 04:01:00","2019-07-18 04:01:00",[15,19,23,27,31,35,39,43,47,52,56,60,64,68,72,76],{"id":16,"heading":17,"summary":9,"body":18,"gallery":9},832,"① EU及び米国、そして中国国内で2017年にサイバーセキュリティ法制化が進んだ。2018年以降は、サイバーセキュリティ対策の義務化が強まり、認証取得企業が増えている。日本国内は、早期にCSMS認証が制度化されたが、CSMS認証取得そのものにインセンティブが無いため、取得企業が増えていない。これで良いのか？","\u003Cstrong>解説：\u003C/strong>\n日本政府の発注プロジェクトの受諾条件にISMS認証取得を入れているので、他国に比べてISMS認証取得企業が多い。今は、民間の受諾業務でもISMS認証取得をしていないと仕事がもらえないところまで普及しています。ところがCSMS認証は、ISMS認証のようなインセンティブが無いので、そこまで普及していません。しかし、CSMS認証を取得するプロセスにおいて、企業の経営者から社員のサイバーセキュリティ対策についての認識が一気に高まることが期待できます。企業ポリシーにサイバーセキュリティポリシー示す際も内容を明確にできたり、さらに生産／製造システムのシステム規範や取り扱い規範、メンテナンス規範などを作成することで、現場のマニュアルや点検項目などに、制御システムセキュリティ対策項目を明記していくことが出来ます。また、生産／製造システムがあるエリアの物理セキュリティシステムの導入理由も明確になり、テロ対策と併せて導入することで予算確保も容易になります。",{"id":20,"heading":21,"summary":9,"body":22,"gallery":9},833,"② CSMS認証を取得したことにより、IEC62443-2-1で要求されているマネージメント力がついた。定期的に監査があることでPDCAサイクルの維持ができている。このことは、アセットオーナーとして非常に意義があると感じている。","\u003Cstrong>解説：\u003C/strong>\n企業にとってPDCAの実施レベル及び実効レベルを落とさないで継続することは容易ではありません。どうしてもおざなりになっていくし、形式的なロジックになって、実質効果が下がってしまいます。そんな状況に構わず昨今のサイバー攻撃手法は高度化しており、その対策として脆弱性識別管理を継続的なシステムで実施しなければ効果は出ないため、PDCAとその実施効果のレベル維持は重要となります。そこで効果的なのは、CSMS認証を取得して、定期的に第三者機関の監査を受けることで、PDCAのサイクルが回るし、実質効果レベルも落ちないというメリットがあります。そういう意味でもCSMS認証取得は、企業にとってISO9000と同様に重要な制度だと考えられます。",{"id":24,"heading":25,"summary":9,"body":26,"gallery":9},834,"③ WannaCry亜種版やStuxnet／Shamoonなどの亜種版やコントローラインジェクションなどサイバー攻撃手法が巧妙化し、実際に工場の現場で対処する事件が起きているが、企業の外には知らされていないことから危機認識が薄い。","\u003Cstrong>解説：\u003C/strong>\n生産／製造現場にIoTやリモートサポートシステムを導入したことで、外部組織のシステムと繋がる機会も増えています。その外部システムにWannaCryやShamoonなどが侵入もしくは存在し、そこから自社の生産／製造システムのServerやPCに感染して初めて、経営者も自社のサイバーセキュリティ対策の盲点を知ることがあります。外部から持ち込むPCやソフトウェアやデバイスはセキュリティチェックをすることを社内ルールとしていたにもかかわらず、セキュリティメーカーやベンダの専門サポート要員が持ち込んだPCやソフトウェアからマルウェアが侵入することがあります。そして、製造ラインのServerに感染して、PLCインジェクションを起こした事故情報を聞いても、「自社は大丈夫」と根拠なく楽観する企業も少なくありません。\n実際にあった事例ですが、企業のポリシーにサイバーセキュリティ対策実施をうたって、社内ルール規範をつくりました。工場内のネットワークにFWやL2／L3スイッチやルータを配置して、サイバーセキュリティ対策を実施しました。その対策をもって、「自社は大丈夫」だと思い込んでいる経営者が多いです。実際に現場のFWやL2／L3スイッチやルータの設定を診てみると、保護が機能する設定になっていないとか、他部門の要求でレガシーな通信プロトコルを使用できるように設定内容を変えたことで、セキュリティレベルを下げていたり、機能しなくなっていたりするケースがありました。セキュリティレベルが維持されていないことに気が付かず、監査も実施していないという企業が多いのです。",{"id":28,"heading":29,"summary":9,"body":30,"gallery":9},835,"④ スマートマニュファクチャリングでデジタルトランスフォーメーション／デジタルツインを導入していくにも、安全操業を保護する制御システムセキュリティ／制御セキュリティ／安全セキュリティ対策が当たり前に実現できていなければ、危険な生産／製造システムになってしまう。","\u003Cstrong>解説：\u003C/strong>\n技術者や管理者の中には、「私はAIを担当していますからセキュリティ対策は不要になりました。」とか、「デジタルトランスフォーメーション担当になりましたので、制御システムセキュリティは別の担当者になりました。」と言う方がいます。こんなことを言う技術者や管理者は、制御システムセキュリティ／制御セキュリティ／安全セキュリティの位置づけを誤解しています。\nAIを担当してもデジタルトランスフォーメーションを担当してもスマートマニュファクチャリングを担当しても、その基本技術には、機能安全や機械安全やグループ安全と同じくセキュリティ技術は存在しており、制御システムセキュリティ／制御セキュリティ／安全セキュリティ対策技術の上に、AIやデジタルトランスフォーメーションやスマートマニュファクチャリングを実現しなければなりません。そのため、AIシステム構造設計やデジタルトランスフォーメーションシステムの構造設計、スマートマニュファクチャリングシステムの構造設計に、制御セキュリティ／安全セキュリティからくる制約事項が出てきます。また、新しいサイバー攻撃手法の登場で、それらの構造設計の基盤規範も見直ししなければならないことも出てきます。制御システムセキュリティ／制御セキュリティ／安全セキュリティ対策技術や管理手法は、適時更新していく必要があります。",{"id":32,"heading":33,"summary":9,"body":34,"gallery":9},836,"⑤ 経営者を説得するのに困っています。「海外ではサイバー攻撃事例が多くあるが、日本国内では聞かないではないか？」と言われます。","それには、ICS研究所のICSジャーナルにあるサイバー攻撃事例集PDFを見て読んでもらってください。政府機関でもこれを参考にして認識共有しているようです。\nICSジャーナル「サイバー攻撃事例から見るサイバーセキュリティとは何か？」\n\u003Ca href=\"https://www.ics-lab.com/e/JOURNAL/28\" target=\"_blank\">https://www.ics-lab.com/e/JOURNAL/28\u003C/a>\n\n\u003Cstrong>解説：\u003C/strong>\n経営者の理解を得るためサイバー攻撃事例を探しても、国内事例が少なく海外事例がほとんどで、経営者は「海外で起きている事故を日本で聞かないのに、こんな予算は要らないだろう。」と勘違いされているケースが多いです。\nまた、メディアのニュースでは専門的な言葉は使われないことが多いため、報道内容から事象を推察するには読み解く必要があります。\n「一部のクライアントからの送信が急激に増えてシステムが機能しなくなり、・・・・・（それは、DOS攻撃を受けたということではないか⁉）」、「システムの負荷が急増して・・・・・（それは、Warmの仕業ではないか⁉）」、「システムの起動ができなくなり、・・・・（それは、ShamoonかDisk Trackではないか⁉）」、「システムに不正コードが入って、・・・・（それは、Stuxnetの亜種版かBlack EnergyかIndustroyer系ではないか⁉）」、「データアクセス妨害にあって、・・・・（Ransomwareではないか⁉）」と言うように国内事例は起きています。国民がパニックを起こさないためにも、「サイバー攻撃」という言葉をできるだけ使わないようにしていることが反って経営者の感覚を鈍らせているのかもしれません。経営者は、あらゆるリスクヘッジのマネージメントを担当していて、その専門家である訳ですから、それぞれのリスクの構造を認識して経営戦略及び事業戦略を推進していく責任があります。その中でサイバーセキュリティ及び生産／製造セキュリティは事業の根幹の一部であることを認識しておく必要があります。",{"id":36,"heading":37,"summary":9,"body":38,"gallery":9},837,"⑥ 業務系ネットワーク経由のサイバー攻撃対策はある程度進んでいます。しかし、装置や機械やロボットのメンテナンスツールやチューニングツールなどで使用するPCや、メーカーから供給されるソフトウェアアップデートソフトやリモートサポートシステムなどから来るサイバー攻撃に対するリスクまで考慮されていない現場が多いです。","\u003Cstrong>解説：\u003C/strong>\n保守用／メンテナンス用PCは、使用する部門が部門費用で購入する場合、情報システム部門のセキュリティ管理機器リストに含まれていない企業が多い。\n脆弱性を持つOSを無くすために、脆弱性のないアプリケーションであるために、マルウェアが侵入しない管理を実施するため、下記の事項に1つでも該当するものがあれば改善活動を行う必要があります。\n\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・改善活動を行うべき事象を解説。\u003C/span>\n\nそこであきらめるのではなく、正面からこの問題に取り組んでいくことが求められます。\n対策のための新しい投資をする際は、以下のことを検討して計画書を作成してみてください。\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・計画書作成時に検討する項目を解説。\u003C/span>",{"id":40,"heading":41,"summary":9,"body":42,"gallery":9},838,"⑦ IT，IoT製品で、タブレットやモバイルを利用したソリューション製品があります。ワイヤレスやモバイルコードを制御システムに使用する場合、ISA-99／Secure認証ではワイヤレスネットワークをプロセス制御にそのまま使用することは対象外（安全確保のために論外）としております。","IEC62443-3-3／-4-2では、セキュリティ要件FRのシステム要件、コーポレート要件、ソフトウェアアプリケーション要件、エンベデッドデバイス要件、ホストデバイス要件、ネットワークデバイス要件が明確に出ております。それに適合したシステム設計及び製品設計をする必要があります。\n\n\u003Cstrong>解説：\u003C/strong>\nワイヤレス通信やモバイルを利活用したIoTですが、インターネットを使用しない方法があります。\nIEC62443では、ワイヤレス通信やモバイルコードの採用に際し、適合基準を示しています。",{"id":44,"heading":45,"summary":9,"body":46,"gallery":9},839,"⑧ リモートサポートでインターネットを使用しているものについては、信用できないネットワーク経由での通信として、IEC62443-3-3では対策が必要とされています。セキュリティレベルによっては認められません。","\u003Cstrong>解説：\u003C/strong>\nインターネットを使用しないリモートサポート通信方法があります。",{"id":48,"heading":49,"summary":9,"body":50,"gallery":51},840,"⑨ 自分たちの制御システムセキュリティ対策がどこまでできているかを自己評価する時のチェックシートとして、IEC62443-3-3を利用する方法があります。","セキュリティ要件FR1～7までの各システム要件SRの項目をセキュリティレベルで仕分けして、診ていく方法です。一般製造であれば、セキュリティレベル1を目標にSL-Tとします。自分たちの工場の実力を評価するのに、できているかどうかで判定します。できている項目を合わせてSL-Aとします。そして、自分たちのセキュリティ対策能力SL-Cを上げていくことで、SL-TにSL-Aを近づける対策技術と管理方法を習得して実現していく計画書（システムセキュリティ対策規範、コスト、改善時間、人材育成、スケジュールなど）を作成し、セキュリティ改善を行います。計画書作成段階で経営会議での承認を得ていき、進行状況を報告していきます。\n\n\u003Cstrong>解説：\u003C/strong>\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・「IEC62443-3-3のセキュリティベクトルについて」と、それに関するセキュリティ改善について解説。\u003C/span>","image-2.jpg",{"id":53,"heading":54,"summary":9,"body":55,"gallery":9},841,"⑩ IEC62443-3-3のセキュリティ要件FR6のシステム要件SR6.2のセキュリティレベル2以上は、制御システムの重要度によって、セキュリティ監視システムを装備することになる。ゾーン単位のセキュリティレベルの違いで、装備するセキュリティ監視システムの内容をどこまでやるべきかは、明らかになっていない。この課題は、VECの“つるまいプロジェクト”の成果報告に期待するところが大きいです。","\u003Cstrong>解説：\u003C/strong>\n制御システムのサイバーセキュリティ監視システムに求められる能力は、セキュリティレベルにより異なります。\n一般製造を対象にしたセキュリティレベル1では、制御システムのサイバーセキュリティ監視システムは装備しなくても、業務系ネットワークと製造系ネットワークの間のDMZやワイヤレス通信ネットワークと有線通信ネットワークのゾーン設計における多層防御ができていることや脆弱性識別管理、被害最小、回復時間短縮などの総合的な対応で維持できると思われます。しかし、電力、水処理、防衛、石油、化学、鉄鋼、空港、交通などの重要インフラにおいては、セキュリティレベル2からレベル4を適用するのが妥当だと思われます。もちろん、設備のすべてがセキュリティレベルの高いものである必要はありませんが、それぞれのセグメントやゾーンの区分で重要と考えられる順番にセキュリティレベルが定義されるものです。\n\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・サイバーセキュリティ監視システムや制御コントローラなどに求められる機能を解説。\u003C/span>",{"id":57,"heading":58,"summary":9,"body":59,"gallery":9},842,"⑪ ログデータが取れますという製品が多いですが、「ログデータをどう解析するか使い方が明確になっていないので、そのログ機能仕様で良いのか判らない。」というユーザーやシステムインテグレータが多いです。","実際にログデータを診る場合、まず最初のインシデント検知データを診ます。そのインシデントに関連する送信元と送信先の通信の正常時と異常時のデータ内容を確認します。そして、送信元がその後どのような通信をしているのかを診てから、他のインシデント検知との関係を診ます。そのような解析作業をしていくのに適したログデータ機能仕様になっているかどうかも大切です。またそれだけではなく、そのインシデント検知や通信データの時刻がすべて同期していなければ、その解析作業の信用度は担保されません。そこで、OPC UA TSNと各フィールドバス及びEthernet通信仕様のTSN対応仕様（IEEE：802が担当）が連動しているソリューションが急がれている訳です。\n\n\u003Cstrong>解説：\u003C/strong>\n今までは、現場から上がってくるデータのタイムスタンプは、管理層から見えない現場の仕組みで時刻合わせ（時刻同期）を行った結果をもらうやり方でした。ところが、制御システム全体に及ぶサイバーインシデント監視でのログデータ解析やAIを活用したデジタルトランスフォーメーションやデジタルツインでは、装置や機械やデバイス間のタイムスタンプデータの同期がとれなければ、信頼の置ける高度処理の効果は得られません。そこで、時刻同期の仕組みが必要となりますが、セグメント単位やゾーン単位で使用するネットワークやフィールドバスの仕様でできたりできなかったりします。\n\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・時刻同期に関する課題の解決のための関連団体による取り組みを解説。\u003C/span>",{"id":61,"heading":62,"summary":9,"body":63,"gallery":9},843,"⑫ 制御システムの構造やHSEの対処レベルや機能安全・機械安全の要求内容と制御システム上の実現アーキテクチャーによって、装置や機械やロボットや制御製品に要求されるサイバー攻撃からの保護対策の重度が高くなる。しかし、そこまでできる製品仕様の装置や機械やロボットや制御製品が出そろっていないです。今後のメーカーの動きに期待するところが大きいです。","\u003Cstrong>解説：\u003C/strong>\nこれからの時代に適応できる制御装置や機械やロボットや制御製品は、サイバー攻撃に強い製品であることが求められます。仮にサイバー攻撃を受けても、インシデント検知機能があり、制御機能が維持できるかできないかの判定機能が求められます。さらに、安全に回避できる方法を顧客に明示し、短時間で回復できる製品取り扱いが可能なことが求められます。これらを具体的に実現する製品開発やシステムインテグレート技術を持った技術者が企業にとって重要となっています。自社にいなければ他社から来てもらってでも欲しい人材となります。",{"id":65,"heading":66,"summary":9,"body":67,"gallery":9},844,"⑬ 実際に、業務系ネットワークと制御系ネットワークの間に装備するDMZの仕様は、ITセキュリティ技術で使用するDMZの仕様とは異なります。詳細は、ICS研究所のeICS講座で解説しています。","\u003Cstrong>解説：\u003C/strong>\neICS講座の制御製品開発技術「製品仕様で対策できること」の講座を参考にしてください。",{"id":69,"heading":70,"summary":9,"body":71,"gallery":9},845,"⑭ レガシーシステムと新しいシステムの扱いは、どうしたら良いのか？　レガシーシステムと新しいシステムは、ゾーン分けします。DMZ＋スイッチもしくはFW＋スイッチを設置することになります。これもIEC62443-3-3のセキュリティ要件に書かれております。その対策方法は、ICS研究所のeICS講座で解説しています。","\u003Cstrong>解説：\u003C/strong>\n\u003Cspan class=\"tx-orange\">【続きはeICS受講者のみログイン後、閲覧可。】\n・レガシー制御システムと新しい制御システムを組み合わせる際の構成に関するポイントを解説。\u003C/span>",{"id":73,"heading":74,"summary":9,"body":75,"gallery":9},846,"⑮ 「HTTPやFTPやD-COMには脆弱性が存在する」と、ICS-CERTでは扱っています。その他、カンファレンスでいくつか通信製品について話題に上がりましたが、ご採用の前にICS-CERTのWebサイトで脆弱性情報を確認してから、選択のご判断をお勧めします。","\u003Csmall>注：OPC UA仕様の製品名がカンファレンスで挙がりました。その中で、ICS-CERTで脆弱性識別情報報告があった項目に対策アップデートが施されていますが、まだ数項目解決したという検証確認がとれていないものもあります。\u003C/small>\n\n\u003Cstrong>解説：\u003C/strong>\nベンダ側の見解で脆弱性への対処は解決したと考えても、ICS-CERTの評価審査員が未解決と判断したら、ICS-CERT機関の記録は未解決ということになります。\n米国政府は、ICS-CERTの見解を採用しますので、ICS-CERTの評価審査員の納得が得られるように対応することが基本と考えます。\nそれから、IEC62443-3-3及び-4-2のIDとパスワード及び承認手続き機能のセキュリティ要件を満たしていない場合、セキュリティレベル1をクリアすることはできません。つまり、脆弱性が残された製品を採用している制御システムは、IEC62443のセキュリティレベル1をクリアできないということになります。（2019年5月の時点）",{"id":77,"heading":78,"summary":9,"body":79,"gallery":9},847,"⑯ 実際に工場や設備のサイバーセキュリティ対策を実施するのに、ITセキュリティとOTセキュリティの両方を理解している人材が必要となります。更に、制御セキュリティ／安全セキュリティの対策技術と管理手法を理解して、具体的対策を見出すことができる人材が求められています。企業にとって、そういう人材は貴重です。外部に継続的に委託・依存すると機密情報管理が大変になります。","そこで、ICS研究所のコンサルティングでは、そういった人材を育てていく手法をお伝えしています。オンデマンドビデオ講座eICSはその人材育成のためにあります。\n\n\u003Cstrong>解説：\u003C/strong>\nサイバー攻撃手法は日々高度化、巧妙化しています。StuxnetもShamoonも亜種版が登場し、Ransomwareも侵入するだけでなく、ファイルやソフトウェアやOSを消去するものまで登場しています。これらに対して、情報セキュリティの対策技術だけでは限界があります。\nICS研究所は、情報セキュリティ技術だけでなく、制御製品のハードウェアやアーキテクチャーやシステム設計などのインテグレート技術や脆弱性識別情報管理などマネージメントシステム手法も組み合わせた総合的な対策手法によって、サイバー攻撃に強い制御システムを実現させようと研究しております。その成果をeICS講座やeICSジャーナルなどに掲載して、皆様のお役に立てられるよう取り組んでおります。\nオンデマンドビデオ講座eICSの受講は、社員教育の一環としてお考えいただきたいと思います。更に新技術を探求し、社内のスタッフの技術指導をする立場の方やシステムインテグレート・リーダークラスの方、R&Dのサイバーセキュリティ研究者、技術コンサルティングビジネスをされている方は継続的な受講をお勧めします。",[81],{"id":11,"company":82,"name":83,"profile":84},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343236]