2012年 - VECサロン
2012年
- サイバー攻撃に強い制御システムを構築するには その4
VEC事務局長 村上 正志 - サイバー攻撃に強い制御システムを構築するには その3
VEC事務局長 村上 正志 - サイバー攻撃に強い制御システムを構築するには その2
VEC事務局長 村上 正志 - サイバー攻撃に強い制御システムを構築するには
VEC事務局長 村上 正志 - セキュリティゾーン設計と仕掛け技術について
VEC事務局長 村上 正志 - 制御システムセキュリティに関連する団体が「制御システムセキュリティ関連団体合同委員会」を設置
VEC事務局 - 安全操業へのリスク低減:制御システムセキュリティ対策の動向 その3
VEC事務局長 村上 正志 - 安全操業へのリスク低減:制御システムセキュリティ対策の動向 その2
VEC事務局長 村上 正志
安全操業へのリスク低減:制御システムセキュリティ対策の動向 その3
1.はじめに
サイバー攻撃を受けて、工場の生産が止まると売るものが無くなる。それが一ヶ月間続くとほとんどの企業が経営困難の危機に至る。経営者にとって、サイバー攻撃とはとてもリスキーな問題であることをまずは知っていただきたい。
そして、この対策を施していける人材は、企業にとって貴重である。
セキュリティ対策その1でサイバーセキュリティの脅威と政府の取組みと現場ですぐにできることについて記載した。その2で世界の認証制度の動向と制御ベンダの取り組む課題とエンジニアリング会社の課題を記載した。 今回は、インシデント対応と人材育成と高セキュア制御製品開発について述べてみる。
2.インシデント対応時
インシデント発生時に、制御システムや制御装置の不具合とセキュリティ問題(ヴィールス汚染やマルウェア工作やサイバー攻撃)の識別が重要であると言っても、実際の制御システム現場では、セキュリティ問題が起きているとは考え難いものである。ところが、起きている現象によっては「これはもしかしたらセキュリティ問題ではないか」という気付きから解決の糸口が見えてきて、アクション選択が違ってくることがある。
例えば、中央操作室で自動運転中に、操作端ステーションが一斉に手動や自動スタンバイに切り替わったら、電源の瞬停が起きたかどうか確認します。パタパタと手動か自動スタンバイになったら、ノイズかと疑います。ところが、自動から手動になったり自動になったりしたら「もしかしたら通常とは違うこの動きは、外部からの遠隔操作なのか?それによる制御暴走なのか?」と疑ってみることになるが、実際の現場はアラートの洪水で、真の異常を知らせるものが何であるかと警報リセットを押し、波及して起きる警報とトリガの直後の警報を識別しようと行動し、セキュリティ問題であることに気付くのには程遠いのが現実である。制御域が危険区域に入ってくると緊急停止が働く。もしくは、緊急停止TRIPにせざるをえない。
別の例えで、開いてはならない操作端が開いてしまう場合、操作端を手動操作で閉めるオペレーションを先にやる。その時、操作端がオペレーション通りに動いてくれた場合、手動モードで全閉のままで運転を継続して、停止運転時のリスクを考えて人員配置を準備する。その作業の流れの中で、これがセキュリティ問題を含んでいるとは考えられない。それが他の操作端にまで広がってくると、「何か変だ。」と気付きだす。
運転状況が維持できないと判断したら停止の手続きをとって稼動停止して、点検を始める。ここから、識別作業に入る訳である。
しかし、セキュリティ問題の可能性もあるという認識を定期的に行なっていれば、制御ネットワークに不正な通信があったことを見つけてそれを知らせるシステムを導入しておけば、違った対処が可能となってくる。
また、制御製品に纏わるセキュリティ問題の場合、制御製品を供給している制御ベンダへ問い合わせが行く。問い合わせを受けた制御ベンダもセキュリティ問題があるかも知れないということを考慮し、問い合わせサポートの対応ロジックを考えていないとその問題を見過ごしてしまうことになる。
さらに、対象となる産業界は広く、採用している生産方式も多様化し、その自動化レベルも現場のスキルも業界によって企業によって千差万別である。
その現実を踏まえて対処できるICS-CERT機関が現場を抱えるユーザー企業から望まれているのであるが、日本には、現在これについて機能する機関が存在しない。日本に作る場合、生産方式別に多種多様な制御システムの現場を知らずに、企業サポートなど到底できるものではない。しかも、制御コントローラの内部構造やSCADAの構造、通信プロトコルの仕様が分からずして、現場に与えられたアドバイスほど危険なものは無い。
存在させるとしても、実際に制御システムの設計経験を積んだ制御システムエンジニアのインシデントサポートする人材育成が不可欠であり、インシデントに関する様々な知見を集めて、実機を使って実際に検証していくことが不可欠である。
ここで重要なことは、インシデント対策は、多くの知見と経験の分析、既知の現象と未知の現象、問題点の解決策とその実験、海外の事例情報と現場の違い、制御で扱っている制御対象の危険性と作業のリスク、現場の使い方と制御ベンダの設計思想の違い、そういったデータベースを基に、現場にフィードバックして対策を施していく改善行為につながっていかないと、インシデント対策は未完成のままになってしまうことを認識して、仕事をしていくことになる。
3.人材育成
現場を守っているのは現場の人であることは当然のことだが、現場を守るためには人材育成が重要であることは、皆様も同意していただけると思う。
制御システムセキュリティ対策を行ない、安定した操業ができる制御システムの現場を維持していくには、そのための人材を育てていく環境とトレーナーが必要となる。特にヴィールスやサイバー攻撃に関しては、攻撃側がレベルアップしてくることから、日々研究し、それに対応していく必要がある。また、人材を育てる場所として実機を扱ったトレーニングカリキュラムと内容を改善する為の環境として、テストベッドが必要となる。
以下に、育てるべき人材を挙げていく。
- 認証制度の審査官
認証制度を布いていくに、認証試験そのものが決められた条件で実施されたかどうかを第三者機関が確認する際の審査官が必要となる。この審査官は、制御システム特有の設計事情とともに、使われている制御製品の特性も理解し、サイバー攻撃手法や認証技術も理解している人材となってくる。この条件に合った人材は、今の日本にいないことから、育てる必要がある。また、ISA-Secure認証やWIB認証の査察官も日本で認証を実施していく上では、必要となってくる。 - インシデント対応のエキスパート
インシデント対応ができる人材については、各業界の現場事状に精通し、制御ベンダや装置ベンダのサポートチームと専門用語で直接話ができ、サイバー攻撃の技術情報に精通している人材ということになる。 - セキュリティ・アセッサ制度の資格認証トレーナー
制御システムセキュリティ対策を製造現場の制御システムに浸透させるには、セキュリティ・アセッサという人材が必要となる。ISO12100やISO11161の安全確保に関するセーフティ・アセッサは既に存在するが、セキュリティ・アセッサについては、世界レベルでもほとんどいない。制御製品を設計するにも制御システムセキュリティに関する知識が必要であり、現場の制御システムネットワークを設計し、カイゼンを行う場合にもそれに関係する知識があるなしでは大きな結果の違いをもたらす。また、現場の操業に従事している人やメンテナンス/保守に従事する人も最低限ここまではという知識が必要となる。これらの制御システムセキュリティ対策に関する知識にも、レベルがある為それぞれ求められるスキルに合わせてプログラムが必要となる。 - サイバー攻撃対策を施せる計装制御システムエンジニア
生産する製品によって生産方式が決まり、制御システムをどう構成するかを設計していく中で、サイバー攻撃対策やマルウェア対策をどう組み込んで制御性能を維持し、継続的な保全管理ができるかを考えられる計装制御エンジニアを育てる必要が急務である。 - 高セキュアな制御製品を設計できるエンジニア
高セキュア技術を制御製品に取り込んで設計できるエンジニアが必要である。 - エンジニアを育てるトレーナー
計装制御エンジニアや現場運転員/保全員の思考を理解し、制御システム設計の構想思考を熟知し、情報セキュリティにおけるサイバー攻撃対策を施せるエンジニアの技術向上トレーニングができる人材が必要となる。
情報セキュリティの人材育成の資格トレーニングカリキュラムをそのまま制御システムセキュリティの人材育成にもってくるのは、馴染まないことが今までの受講者の感想である。その理由は、制御システムがIT技術を導入しているのは、制御情報系ネットワークの範囲であって、現場運転員(ボードマン)や現場保全員(フィールドマン/フィールドサポータ)にとっては、オペレーションしているほとんどが専用制御機器の操作パネルや専用HMIだからである。Windowsなど汎用のOSを扱っているのは、監視制御システムや生産履歴を集めて記録するPIMS(Plant Information Management System)ぐらいである。これらの制御製品は、データギャザリング機能(決まった時間周期<1secで制御ネットワークにつながっている制御装置のデータを収集する機能)が必要なために、OSを一部変えている。また、制御システムネットワークで使用するI/O通信ドライバは、各制御装置と共通の通信プロトコルを使用している。
それから、現場運転員は3チーム2交代制、4チーム3交代制などを導入しており、現場の自動化のレベルによって1チーム2名から6名という構成で対応しており、現場を離れることができる時間にも限界がある。また、全員が外部教育を受けるという場合も短期間で実施することは難しい。
よって、現場運転員に情報セキュリティの知識がどこまで必要でどのような範囲を知っておくべきかを分析し、実施する場所は現場という条件で、適切なプログラムを設計することになる。
そこで、③に記載したセキュリティ・アセッサ人材を育てて、現場のリーダーとして活動していくことが現場向きであると考える。
次に、重要なのが、現場とバックヤードのサポートチームとのコミュニケーション確保である。その場合、緊急時対応であるので、リーダー同士の情報に対する認識ネットワークが重要となる。また、現場状況を把握して行動できるリーダーとバックヤードのサポートセンターが連携することで重要なことは、映画「アポロ13号」のテーマでもあるチームワークと信頼関係の大切さでも知ることができる。さらに、現場の実状を把握せずに、決め付けでものごとを判断して指揮をすると映画「八甲田山」のパターンになってしまう。
4.高セキュア制御製品開発課題について
高セキュアな制御システムセキュリティ対策技術としては、以下の項目が挙げられる。
- オンラインでパッチを当てられる制御製品の開発
- オンラインで活用できるセキュリティ基本技術
- 制御性能を損なわずに情報モデルやコンフィギュレーション情報を暗号保護できる技術
- ネットワークゾーンのセキュリティレベルに合わせてセキュリティ技術を着脱できる通信プロトコル技術
- 制御性能を損なわずにオンラインでパッチがあてられる技術 - 制御製品Stuxnet対策
- Stuxnet対策技術
- 検知技術
- 機能停止させる技術
- 制御性能を損なわずに取り除く技術 - 振る舞い監視制御
安全操業技術
振る舞い監視制御
- 制御コントローラレベル
- 監視制御システムゾーンレベル
- プラントや工場生産ラインゾーンレベル - スマートシティ(オープンネットワーク)での広域連携制御向けセキュリティ技術
セキュリティ対策技術を施した通信プロトコル仕様を採用することが基本である。今、世界で、セキュリティ技術を取り込んだ通信プロトコルは、IEC62541(OPC UA)だけである。このIEC62541のセキュリティ技術を向上させることから取り組んでいくことが近道であると思われる。 - セキュリティ問題箇所を検知する技術
制御システムの稼動状況を損なわずにセキュリティ問題箇所を検知する技術として、以下の技術が考えられる。
- ヴィールスやマルウェアなどの侵入を検知する技術
- 制御システムの不具合とセキュリティ問題をオンラインで識別する技術
インシデント対応作業中に必要とされる技術としては、以下が考えられる。
- ヴィールスやマルウェアによるセキュリティ問題で汚染範囲を特定する技術
5.普及啓発
業界によっては、制御システムセキュリティのガイドラインを作っているところがあるが、内容は情報システムのセキュリティレベルに終わっているところが多い。ガイドラインを持っていない業界が多く、制御システムセキュリティ対策ガイドラインを求めている状況にある。
ガイドラインは、制御システムをどのように守っていくかを現場の事情に合わせて展開できるように考えられたものでなければならない。その為にも、各業界の事情に通じた人材が制御システムセキュリティ対策の実践シナリオを考えて、まとめていくことが求められる。
また、制御システムセキュリティ対策は、社会インフラやライフライン、そして基幹産業の安全を確保する上で、急激に重要な課題になってきたことを企業経営者に認識してもらい、それに対する投資枠を必要な規模でおこなうことを促していくことが重要な課題となる。
普及啓発としては、制御システム利用者(ユーザー企業)・エンジニアリング供給者(SIer)・コンポーネント供給者(コンポーネント・ベンダ)の区分と、経営者層・ミドル層・現場層の区分とで分けて九つのマトリックスを設定し、それぞれのあるべき姿と効果的普及啓発ツールの選定をしてみた。
経営者には、制御システムセキュリティ対策をしなかった場合のリスクについて、パンフレットとデモンストレーション研修が効果的であるという検討結果となった。
ミドル層と現場層には、制御システムセキュリティに対する認識改革の評価ツールと研修が効果的であるという検討結果となった。 評価ツールの項目としては、それぞれのマトリックスのゾーンで異なってくるが、以下に挙げる項目が基本となった。
- 事業リスクの理解
- 継続した管理をしているか
- 防御体制の質
- マルウェア対策認識
- 内部からの脅威認識
- セキュリティ管理レベル
- バックアップと回復のシナリオ
- 物理的セキュリティ管理
- 対応能力の確立
- サードパーティ・リスク管理
- プロジェクトへの参画
- 調達関係
これらのツールを作成していくに、実際の現場の制御システムをサイバー攻撃する訳にはいかないので、テストベッドを活用することが良いと考える。
6.あとがき
ハッカーパーティーというのがある。ハッカースクールというのもあるらしい。そこに、制御製品を提供してそれをターゲットに、ハッカーが攻撃を加える。攻撃を加えるために通信プロトコルやネットワーク標準仕様を教えている。その挙句、攻撃用ツールが作られブラックマーケットで売られる。購入するのはテロハッカー(クロッカーとも言うらしい)である。
それがWebサイトに掲載されてニュースとなる。そこではブラックマーケットのサイトを紹介したりしている。こんなことが世界で起きている。
さらに、「制御システムや制御製品を攻撃するプログラムにも著作権が発生する」と言うセキュリティ専門家もいる。 社会正義を主張し、人種差別や民族闘争の相手国を名指しして、社会インフラや公共施設へサイバー攻撃を加えるテロもいる。その飛び火を受ける施設も出てくる。プラントや社会インフラを守っている現場は、サイバー攻撃の脅威にさらされている。社会インフラやライフラインが止まったら大変なことになる。
『こんなことがあって良いのだろうか?』という思いが出てくるのは私だけではないと思う。