2012年 - VECサロン
2012年
- サイバー攻撃に強い制御システムを構築するには その4
VEC事務局長 村上 正志 - サイバー攻撃に強い制御システムを構築するには その3
VEC事務局長 村上 正志 - サイバー攻撃に強い制御システムを構築するには その2
VEC事務局長 村上 正志 - サイバー攻撃に強い制御システムを構築するには
VEC事務局長 村上 正志 - セキュリティゾーン設計と仕掛け技術について
VEC事務局長 村上 正志 - 制御システムセキュリティに関連する団体が「制御システムセキュリティ関連団体合同委員会」を設置
VEC事務局 - 安全操業へのリスク低減:制御システムセキュリティ対策の動向 その3
VEC事務局長 村上 正志 - 安全操業へのリスク低減:制御システムセキュリティ対策の動向 その2
VEC事務局長 村上 正志
標的型サイバー攻撃から制御システムを守るには
セキュリティゾーン設計と仕掛け技術について
1.標的型サイバー攻撃に関する最新情報
今、世界のサイバー攻撃対策に関わっている人達で、脅威となっているのが、「Flame」である。感染力は、Stuxnet級で、ターゲットの情報ファイルを見つけ出すと、Doquはインターネット接続で指定サイトへアップされるが、Flameはあらゆる媒体を経由して、ターゲットの情報ファイルを作ったところへ送り届ける機能を持つらしい。Flameの構造はモジュール構造化設計されており、Stuxnetのような攻撃モジュールとの組み替えも可能という深刻な事態である。
また、制御製品の脆弱性が見つかり、制御ベンダがその対策を行なって、情報公開する件数が急速に増えている。この制御製品の脆弱性については、米国政府機関のひとつであるICS-CERTのWebサイト http://www.us-cert.gov/control_systems/ics-cert/ を見ることで、世界中のほとんどの脆弱性情報が分かる。
2.研究所のウィルス管理も重要
Stuxnetは、2008年頃から仕掛けられ、2010年に、研究所からインターネット上に漏れたことから世間の目にさらされたという。今やStuxnetは封印されてメールに転送されて送られ、研究所の中で封印を溶き、研究に使用するという。
テロが標的型サイバー攻撃マルウェアをネット上に放つ脅威だけでなく、研究所の管理ミスで新種がネット上に出てしまうこともありえる。
3.セキュリティエリアのゾーン設定とアプリケーション整理
制御システムを標的型サイバー攻撃から守るには、それらの製造設備のエリア及びフロアをセキュリティゾーン設定して、設定されたセキュリティレベルに合わせて、制御システムを構築・改善していくことが必要となる。もちろん、企業機密情報が入っているPCなども重要であるが、重要な機密情報が点在しているようでは管理が難しくなるので、整理が必要となる。
以下に、それらの対策項目を挙げておく。
1)セキュリティティゾーン設計
セキュリティゾーン設計といっても、視点によって、以下のように様々な設定が存在する。
- 空間エリアセキュリティゾーン設計
基本的には、入退出セキュリティ管理とオペレーション管理でガードする。ゾーン設定としては、最低限
- 外部訪問者対応エリア:
SAL1レベル:盗まれても支障がない情報しか存在しないネットワークエリア
- 業務エリアレベル:
SAL1or2レベル:社外の人や関係者以外の出入りを制限する入退出セキュリティ管理でガードする。
- 生産管理エリアレベル:
SAL2or3レベル:生産管理業務をしている部屋や設備管理を入退出セキュリティ管理でガードする。
- 制御システムエリアレベル:
SAL3or4レベル:制御監視室、計算機室、研究開発室、品質検査室が配置されているエリアを入退出セキュリティ管理でガードする。
と区分することが望ましい。 - ネットワークエリアゾーン設計
ネットワークケーブルの色を分けてセキュリティゾーン設定を行なう。ハブには、接続できるケーブルの色と同じシールを貼ることで管理区分を明確にする。
制御系システムネットワークと制御情報系ネットワークは、区分けすること
- 監視制御システムSCADAと制御コントローラ間のネットワークは、データギャザリング機能があるので、制御系ネットワークの範囲とする。
- 制御コントローラから、生産プロセス情報を収集するPIMSや、製品品質管理や設備管理を目的に制御コントローラからデータを取り込むLIMSのネットワークは、同じネットワークにしても良いが、ネットワーク能力は確認しておくこと。
制御システムの監視制御システムや制御コントローラや操作コントロールHMIのエンジニアリングワークステーション(制御コンフィギュレーションツールやHMI作画ツール)は、Ethernetで接続する場合も、制御系ネットワークや監視制御システムのネットワークや制御情報系ネットワークと同じにしないで、単独接続とし、健全性確保の管理を行なうこと。 - 無線通信エリアゾーン設計
眼に見えないからといって、無線通信の周波数やバンドで使用するネットワークのエリアゾーンを分けることなく無制限に使用することは、思わぬ問題を引き起こす。
例えば、無線LANの場合、同じゾーンで使用するクライアントが増えてくるとお互いにローミング状態に入って、通信できない状況になることがある。
また、情報系無線ネットワークと制御情報系無線ネットワークを同じ無線仕様にすると情報系ネットワークと制御情報系ネットワークがつながり、情報系ではメールを使って、制御情報系ではメールを禁止していることが混在することで、制御システムセキュリティのゾーン設定は成立しなくなり、制御システムはサイバーセキュリティハザードに脅かされることになる。
つまり、事務所業務の情報系ネットワークで無線LANやBluetoothを使ったら、制御情報系ではZigBeeや無線Hartにするとか、受信機そのもので、分けるべきである。
それから、高周波数は直進性が高く反射率が高い。低周波数は曲がるが歪やすい。また、干渉という課題を持つ。
フロア内やフロア間の無線通信を通さない壁と通す壁の確認も重要である。
いずれにしても電波検知器を借りて確認することを推奨する。 - 人を対象にアクセスを区分したゾーン設計(オペレーション区分での制限)
生産製品に関するあらゆる情報の機密性を維持するために、個々の人が業務を遂行する上で必要となる情報プロテクトを考慮したゾーン設定することがある。
例えば、生産作業者は、作業場では作業を行なうに必要な権限領域でオペレーションできるが、事務所では作業履歴を見ることはできても変更作業はできない。製品検査を終えた製品の検査情報について、作業後に手を加えることを許可しない。品質管理者は、事務所では品質検査結果を扱うが、生産現場では生産作業はできない。生産品質を保つために、生産作業者の資格を持たない者が、生産作業ができないようにするための操作プロテクト設定も存在する。
つまり、同じ人でも、作業場所によってアクセスに制限を設けることをいう。 - Serverを渡る情報の機密性から区別したゾーン設計
現場で業務する警備員と作業者と管理責任者と経営者と委託業者とを区別するだけでなく、業務における情報区分を設定し、情報そのものの流れ(情報のプロセス)
生産製品から品質検査データ取得 ⇒ タイムスタンプデータや装置IDデータや生産ロットNo.データなどを組み合わせて情報化 ⇒ 決められたルールに基づいて品質分類分け ⇒ 品質管理情報として扱われ ⇒ 廃棄情報となるまで保管
を考慮して、個々の情報の生成や加工や削除の操作権限を持つ人と作業権限の範囲が変わる。
以上のゾーン設定を複合的に設計することで、人やサイバー攻撃による情報の改竄や搾取に対する防衛ともなる。
2)考慮する事項
- ゾーン内PCの整理
- 重要機密情報が入っているPCを管理しやすいように操作権限限定をする。
- 基幹となる制御システムの構成でできるだけPCを減らす。不要なPCを無くす。
- ホワイトリストでの起動。不要なアプリケーションをPCに搭載しない。起動しない。
- 重要なServerは、冗長化するか、故障した時に回復するべく為のバックアップを確保する。
- 操作履歴を採っていることを公開することでも防御となる。 - アプリケーション整理
- 重要機密情報が入っているPCや基幹となるソフトウェアが入っているPCは、
異なる業務や異なる目的のアプリケーションを同居させない。
- 汚染された時、現場で回復作業ができるように、アプリケーションを整理する
- 汚染が広がらないように、ネットワーク切断を考えたアプリケーション配置にする。
- ホワイトリストでの起動。不要なアプリケーションは、PCに搭載しないことであるが、
不審なアプリケーションで運転中に削除できないアプリケーションは、起動しない。
その為にホワイトリストを差し替えて、起動しないようにすることもある。 - 機器リストの整理
機器管理帳簿の項目例を以下に挙げる。
- 管理ID番号
- 生産プロセスゾーン管理番号/セキュリティゾーン管理番号
- セキュリティカテゴリレベル:SAL(Security Assurance Level)でもISASecureレベルでも
企業内規定でも可:但しIEC62443に従うならばSAL/ISASecureレベル
- 機器名
- 供給メーカー名
- メーカー型式
- 用途、役割機能
- 認証規格名及び対象法規制名
- 発注仕様管理番号
- 受入れ検査記録管理番号
- 点検記録管理番号
- 消耗部品リスト(交換周期記載)
- 消耗部品交換記録
- 使用OS名、供給元名、バージョン、SPバージョン
- 搭載アプリケーション名、供給元名、バージョン
- 健全性確認記録
- 保全修理記録
- 備考 - ファイヤーウォールの設置
- 業務ネットワークと生産制御システムの間に、ファイヤーウォールを設置
・生産制御システム内では、メールやインターネットの使用を禁止する。
- 生産制御システム内の情報制御系ネットワークと制御システム系ネットワークの間に
ファイヤーウォールかルータを設置
・許可した通信プロトコルだけを通過許可。
- 分類
・簡易ファイヤーウォール
・パケットフィルター型
・スタティックパケット
・ダイナミックパケット
・ステートフルインスペクション
・サーキットレベルゲートウェイ型
・プロキシサーバー
・アプリケーションゲートウェイ型 - ログ機能・照査(オーディット)機能
目的:インシデント対応での原因仕分け作業で必要となる道具を予め仕掛けておく。
- インシデント仕分けのためのログ機能設置
・インシデント検知情報ログ
・ネットワーク通信のログ
・PC内タスク通信のログ
・アラームログ
・操作ログ
- 照査(オーディット)
・ネットワーク・オーディット
・PC内タスク・オーディット
- 状況証拠
・制御モード記録
・アラームログ
・操作ログ
・ビデオによる人配置ログ
・音声ログによる指示及び確認 - エンジニアリングツールの健全性
制御コンフィギュレーションツール(エンジニアリングツール)の健全性を如何に護るか
- 制御用プロファイルは、独立させてセキュリティレベルを設定し管理する。
・他の作業に使わない。
・他のアプリケーションを入れない。
・ホワイトリストの活用。
・コントローラにダウンロードしたら、ベリファイ作業をする。
・マスタファイルの管理をしっかりする。
・マスタファイルのバージョンでコントローラが動いている状態
・バージョン管理
- 復旧できることを担保
・汚染された時に、リフレッシュ作業をして、元に戻せるか?
・コンフィギュレーションファイルのマスタ管理を確認
・実際に作業して問題ないかを確認する
・戻せなくなった時の制御ベンダサポートは可能か? - PCやUSBなど外部メモリ持ち込み制限
- セキュリティゾーン別に持ち込み制限管理
・持ち込み前の健全性確認
・健全性確認用PCを用意して、ウィルスやマルウェアなどの存在チェックを行なって、
持ち込み
・持ち込んだPCを持ち出す時も同じチェックを実施する
・持ち込んだ時のメモリ容量と持ち出した時のメモリ容量を記録し、確認する。
<機密情報の持ち出し管理>
・PCや外部メモリなどの持ち込み禁止
・作業用の環境をゾーン内に用意し、作業はそれを使用する。
・持ち込み可なれども、持ち出し禁止
・持ち出しの場合は、PC内メモリ全てや外部メモリ内をフォーマットして
ハードウェアだけの持ち出しとする。 - 外部サービスの健全性確保
- 装置のリモートメンテナンスサービスの利用時
・操業中は、接続禁止
・サービスを受ける時だけリモート接続
・外部通信は、VPNやSSLなど保証された回線を使用する。
・セキュリティ機能付き通信プロトコル採用
・署名やパスワードは常用
・情報/データは、暗号化されていること
・海外キャリア使用では、オープン(国際標準規格)通信プロトコルを使用していないと
強制的に切断される国や地域がある。
・使用後は、ウィルスチェック、マルウェアチェックを実施する。
- クラウド接続によるサービスを利用する場合は、
・クラウドServerがダウンしたら困る場合は、クラウド利用の冗長化を採用
・セキュリティ機能付き通信プロトコル採用
・署名やパスワードは常用
・情報/データは、暗号化されていること - 作業者の業務範囲と権限レベルとセキュリティゾーン設定
以下の事項を考慮した設計が必要となる
- 作業者の業務範囲と権限レベルとセキュリティゾーン設定で、持たせるキーの種類を設定
- 執行権限範囲でオペレーションする常任業務と緊急事態に対処する範囲を広げる/狭める設定
- 連続操作を行なう場所のセキュリティゾーン設定:連続操作権限を持たない人は、
周辺にいないことを条件に連続操作を許可する。もしくは、連続操作を実施する場所に
部外者を立ち入れさせない。 - 情報の流れと機密レベルとセキュリティゾーン設定
DATAから情報に、情報からモデルに展開している流れで、Server間を越えていくフロー設計と通過するセキュリティゾーン別のセキュリティ防御技術設計が必要となる。