開催報告 - 第4回VEC制御システムセキュリティ対策カンファレンス

2014年5月22日（木）・23日（金）東京にて、第4回VEC制御システムセキュリティ対策ソリューションカンファレンスを開催いたしました。両日とも、170名前後の参加者で、会場が狭いくらいの大盛況でした。

＜一日目＞
制御システムセキュリティ対策演習　　株式会社カスペルスキー様

ロシアからも来日され、松岡様のリーディングの下、実施致しました。
制御システムセキュリティ対策の演習をボードゲームの形式で行ったのは、日本で初めてです。
内容は、制御システムセキュリティ対策を今まで考慮してこなかった水処理制御施設をサンプルに、限られた予算と時間の中で、制御システム対策を選択し、一定期間で事業操業して売り上げを上げるというものです。

入ってくるサイバー脅威情報に対して、内容を判断し、どの対策を選択すると効果が得られるかを考えて、対策手段選択、投資判断、回復力の強化など、現実的なシーンを想定した現場操業者ならではのシナリオになっています。

売り上げを競うのですが、選択した対策によっては、ボーナスなどもあり、醍醐味もありました。

参加された皆様は、時間経過とともに要領をつかめてきたようで、興奮の内に終わりました。
優勝賞品は、ロシアのマトリョーシカでした。

＜二日目＞
E-learning教育ツールのデモと、ユーザー発注仕様書についてのパネルディスカッション

制御システムセキュリティ対策を施そうと思っても、現場社員のモチベーションが上がらなければ実現効果は期待できません。
それには、スキルアップして、お互いの認識共有とインシデント対応時のコミュニケーションが重要となってきます。
そのためには、関係者全員が一定基準の認識教育を受けておく必要があります。

ところが、対象者全員に研修を受けさせるのは現実的ではありませんし、現場を離れることも容易ではありません。
そこで、毎日短時間（短くて一カ月、永くて数カ月）の学習で、認識教育を受けられたら、実際の対策推進に大いに貢献できるというのがこのE-learning教育です。

ビデオコンテンツを聴講して質問に答えるというものです。デモを見られた方々には、絶賛でした。
さっそく、パイロットユーザーの申し込みをされていました。

ユーザーが制御装置を発注する際、発注仕様書に、実現したい制御システムセキュリティ対策を具体的に書かないと供給側も見積もりができません。また、具体的仕様レベルの打ち合わせもできません。

「操業継続できるサイバー攻撃対策を施すこと」では、実現できそうもないので、受注者がいなかったり、膨大な予算計上をされたりと大問題となってしまいます。

また、認証を受けることを義務付けると、それも含めて予算提出されとても発注の土俵にも乗れません。
不勉強のまま対策を行っても、その効果が出てこない設計結果に終わって、実際に攻撃を受けた時にもろくも操業停止状態に入ってしまったというのでは、事業存続も危ぶまれる大問題です。

以上、今回のカンファレンスは、今までにない内容であり、意義あるものになりました。

参加された方々からは、多くの満足の声をいただきました。ご講演された皆様、ご来場くださいました皆様、ありがとうございました。

※次回、第5回制御システムセキュリティ対策カンファレンスは2014年11月の開催を予定しております。

＜アンケートより＞

• 「攻撃者が嫌がるシステム」という視点で検討することの重要性、ありがとうございました。
• システムの多様性を高めることで、脅威や脆弱性・リスクの分散を行うという考えは参考になりました。
• 楽しい演習でしたが、逆に怖くなりました。教育、トレーニングの重要性がわかりました。
• CSSC多賀城での演習ビデオ、結果の紹介が参考になりました。まずは、当社製品の弱点を見つける必要がありそうです。
• E-learning教育ツールについて、社内の啓発活動に非常に有効だと感じました。
• E-learning教育ツールをパイロットユーザーとして使ってみたいと思います。
• 制御システムメーカーとして、システムに求められている項目・メーカーへの提案項目についてまとめるのに有用な発表でした。
• DCSでの異常検出に力を入れていく（人ではサイバー攻撃の判断が難しい）という取り組みが参考になりました。