2012年 - VECサロン

村上 正志

VEC事務局長 村上 正志

VEC(Virtual Engineering Community)事務局長

  • 1979~1990年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。
    *関わった火力発電所は、北海道電力(苫東厚真、伊達)、東北電力(新仙台、仙台、東新潟)、東京電力(広野、姉ヶ崎、五井、袖ヶ浦、東扇島)、北陸電力(富山新港)、中部電力(渥美、西名古屋、知多、知多第二)、関西電力(尼崎、御坊、海南、高砂)、中国電力(新小野田、下関、岩国)、四国電力(阿南)、九州電力(港、新小倉、川内)、Jパワー(磯子、松島、高砂)、日本海LNG など
  • 1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。
  • 1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。(2004年よりシュナイダーエレクトリックグループ傘下に属す)また、1999年にはコーポレートコーディネーション/VEC(Virtual Engineering Company & Virtual End-User Community)を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。
  • 2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。
  • 2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。
  • 2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。
  • 現在活動している関連団体及び機関
    ・公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術審査員
    ・経済産業省の産業サイバーセキュリティセンター講師
    ・日本OPC協議会 顧問
    ・制御システムセキュリティ関連団体合同委員会委員
    ・日本能率協会主催「計装制御技術会議」企画委員

サイバー攻撃に強い制御システムを構築するには その2
ゾーン設計の詳細と留意事項について

1.制御システムセキュリティ・ゾーン設計の詳細について

制御システムセキュリティ・ゾーン設計を実施する際、SAL(Security Assurance Level)のレベルで表現していることを具体的にどのように設定するかという課題にぶつかる。SALの各レベルで表現している技術レベルは、時代の技術背景によって変わってくる。つまり、サイバー攻撃側の攻撃技術レベルが向上すれば、SALの技術レベルも固定でありながら、その技術基準は向上していかなければならなくなる。その設定の中で、作業で考えておかなければならないことを以下に挙げていく。

(1) ゾーン内PCの整理

まずは、各ゾーン単位に、PCの整理、整頓を実施する必要がある。

  1. 重要機密情報が入っているPCを管理しやすいように操作権限者を限定する。
  2. 基幹となる制御システムの構成で、できるだけPCを減らす。不要なPCを無くす。
  3. ホワイトリスト方式での起動。不要なアプリケーションをPCに搭載しない。起動しない。ブラックリスト方式では、CPUの稼働率が100%となり、制御アプリケーションの制御性を損なう。
  4. PCの区分で管理分けをする。
    - 常用基幹Server用PC
    - 作業使用のクライアント用PC
    - 非常時用PC
  5. 重要なServerは、冗長化するか、故障した時に回復する為のバックアップを確保する。
    - ホットスタンバイ:自動切換え⇒ハードウェアに依存しない冗長化:メンテナンス切り出しが容易
    - ウォームスタンバイ:スタンバイモードからの立ち上げ
    - コールドスタンバイ:電源スイッチONからの立ち上げ
  6. 操作履歴を採っていることを公開することでも防御となる。内容は機密扱いとする。

(2) アプリケーション整理

PCの整理を実施する上で一緒に進めていく必要があるのが、アプリケーションの整理である。例えば、

  1. 重要機密情報が入っているPCや基幹となるソフトウェアが入っているPCは、異なる業務や異なる目的のアプリケーションを同居させない。
  2. 汚染された時を考慮して、現場で回復作業ができるように、アプリケーションを整理する。
  3. 汚染が広がらないように、ネットワーク切断を考えたアプリケーション配置にする。
  4. ホワイトリストでの起動。不要なアプリケーションは、PCに搭載しない。
  5. 不審なアプリケーションで運転中に削除できないアプリケーションは、起動しない。その為にホワイトリストを差し替えて、起動しないようにすることもある。

などである。

(3) ホワイトリスト方式とブラックリスト方式

資料ダウンロード1)と2)で指摘されているホワイトリスト方式とブラックリスト方式の違いについて、図1にあるように2012年6月28日NHK総合テレビ放映 クローズアップ現代の「サイバー攻撃の恐怖 狙われる日本のインフラ」で、制御システムにはホワイトリストが向いていることが一般公開された。
ブラックリスト方式は、CPUをフルに使用することになるが、Windowsの利便性をフルに活用して、不都合なアプリケーションを起動させない使い方となる。ホワイトリスト方式は、決めたアプリケーションだけ起動するので、CPUの機能性を確保できるので制御性を損なわないことから、制御システム向きである。

(4) 機器リストの整備

企業としての資産管理でも機器リストは必要であるが、現場のセキュリティ管理を実施していくにも、現場の機器リストは必要となる。その機器リストの項目には、図2のように、制御システムセキュリティ・ゾーン設計を管理していくに必要な項目を追加しておく必要がある。 この機器リストは、以下の対応にも利用できるように工夫していくと良い。

  1. 米国ICS-CERT発表の脆弱性対象製品のベンダ供給によるパッチ更新管理
  2. ゾーン設定条件変更における対象機器確認及び変更処理完了確認
  3. 定期点検完了確認
  4. インシデント発生時の汚染確認と洗浄確認

など。

(5) ファイヤーウォールやルーターの設置

業務ネットワークと生産制御システムの間に、ファイヤーウォールを設置することをお勧めする。また、ルーターを使った生産プロセス別制御システムネットワーク区分についてもお勧めする。

  1. ファイヤーウォール分類の使い分け

    以下の種類のファイヤーウォールが存在する。
    (ア) 簡易ファイヤーウォール
    (イ) パケットフィルター型
    スタティックパケット
    ダイナミックパケット
    ステートフルインスペクション
    (ウ) サーキットレベルゲートウェイ型
    プロキシサーバー
    (エ) アプリケーションゲートウェイ型

    この中で、スタティックパケットは、ダイナミックパケットに比べてリスクが高い。ダイナミックパケットよりも、ステートフルインスペクションがより実用的である。UDPを使用する場合はサーキットレベルゲートウェイ型を使用し、HTTPやFTPを使用する場合は、アプリケーションゲートウェイ型を採用しないと効果が出ない。但し、トンネリング機能を許可することでセキュリティホールを作ってしまうリスクが出てくることがある。
    ファイヤーウォールは、マイクロソフト社やシマンテック社などでリリースしている。

    参考サイト: ファイヤーウォールの基礎知識や製品リストを見たい場合は、ウィキペディアで確認できる。
    マイクロソフト社のInternet Security and Acceleration (ISA) Server情報は、こちら
    http://technet.microsoft.com/ja-jp/forefront/bb758895
  2. ルーター(Router)

    二つ以上のネットワーク間を接続する通信機器であるルーターの使い方で、制御システムセキュリティの強化をすることが可能であるが、設置場所と設定内容を間違えると制御システムとしての性能を損なうこともある。
    ルーターには以下の分類がある。
    (ア) コア・ルーター:基幹ネットワークを構成する時に使用するルーター
    (イ) センター・ルーター:WAN(Wide Area Network)を経由して企業内事業所間及び企業間の接続を行う時に使用するルーター
    (ウ) エッジ・ルーター:基幹ネットワークの端に設置して、インターネット接続したりするルーター
    (エ) リモート・ルーター:WANを経由して、遠隔地のLAN同士を接続するルーター
    (オ) ブロードバンド・ルーター:ADSL(Asymmetric Digital Subscriber Line)やFTTH(Fiber To The Home)、またはFTTP(Fiber To The Premises)などでブロードバンド接続をするルーター

    ルーターに関する基礎知識は、こちらのサイトで得ることができる。
    http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%82%BF%E3%83%BC
  3. DMZ ( De-Militarized Zone )機能

    DMZは、サイバー侵入者が業務ネットワークのServerを占拠し、次にDMZエリアに侵入して、Serverを占拠した場合に、IDSやIPSの機能で検知し、防御洗浄処理される機会を作ることができる。また、内部ネットワークを保護しながら、DMZのホストが外部ネットワークに対してサービスを供給することも可能である。
    生産制御システム内では、基本的にメールやインターネットの使用を禁止する。
    生産制御システム内の制御情報系ネットワーク(生産管理ServerやスケジューラなどMES環境ネットワーク)と制御システム系ネットワーク(DCS、SCADA、プロセスコントローラ、PLC、操作表示器など制御仕様のリアルタイム通信環境ネットワーク)の間にファイヤーウォールかルーターを設置して、許可した通信プロトコルだけに制限することも効果的である。<参照:図3、図4>
  4. 検知機能

    IDS:侵入検知システム (Intrusion Detection System)
    IDSは、ネットワークを通過するパケットを監視したり、各種インターフェースI/Oを監視したりして、不正アクセスして侵入してきたパケットを検知するシステムを言う。IDSには、ネットワーク上のパケットを監視するタイプと、ServerのI/Oパケットを監視するタイプがある。
    DMZエリアに設置したり、ネットワーク間のルーターに設置したり、外部サービスインターフェース用のルーターやゲートウェイなどに設置すると良い。
  5. 防止機能

    IPS:侵入防止システム(IPS: Intrusion Prevention System)
    サーバーやネットワークへの不正侵入を防御するシステムを言う。IPSには、ネットワーク型とホスト型の二種類がある。ネットワーク型IPSは、IDSのネットワーク型機能に不正アクセスを検知したら接続を遮断する機能を加えた防御システムを言う。ワームやDos攻撃でのパケット手続きパターンを検知してこれを遮断する。
    これに対して、ホスト型IPSは、バッファーオーバーフローを検知したり、一般ユーザーなりすましによる管理者権限取得を検知したり、アクセスログの改ざんアクセスを防止したりする機能を持つのが一般的である。

DMZ、IDS、IPSの機能を持ったファイヤーウォールやルーターを設置したからと言って、万全であるということは言えない。しかし、サイバー攻撃側からするとかなり高度な攻撃をしなければ越えられない防衛線になる。

(6) ログ機能設置・照査(オーディット)

ログ機能設置の目的は、インシデント発生時の原因仕分け作業に必要な情報収集と、防御レベル内容の改善である。

  1. ログ機能の分類には、以下の対象がある。

    A) インシデント検知情報ログ
    B) ネットワーク通信のログ
    C) PC内タスク通信のログ
    D) アラームログ
    E) 操作ログ
  2. 照査(オーディット)する対象も以下のとおりである。

    A) ネットワーク・オーディット
    B) PC内タスク・オーディット
    C) 外部インターフェースオーディット
  3. 原因追求と防衛レベル内容改善のための状況証拠としては、以下のものもあるとさらに良い。

    A) 制御モード記録
    B) ビデオによる人員配置ログ
    C) 音声ログによる指示及び確認

(7) エンジニアリングツールの健全性

制御コンフィギュレーションツール(エンジニアリングツール)の健全性を護る目的は、制御コントローラに妨害工作をされたり、制御コントローラが汚染された場合、復旧作業をするのに短時間で復旧できる環境を維持したりすることにある。そのためには、以下のチェック項目を是非検討して欲しい。

  1. 制御用プロファイルは、独立させてセキュリティレベルを設定し管理する。

    (ア) 他の作業に使わない。
    (イ) 他のアプリケーションを入れない。

    - ホワイトリストの活用。
  2. コントローラにダウンロードしたら、ベリファイ作業をする。
  3. マスタファイルの管理をする。

    (ア) マスタファイルのバージョンでコントローラが動いている状態
    (イ) バージョン管理
  4. 復旧できることを担保する。

    (ア) 汚染された時に、リフレッシュ作業をして、元に戻せるか?
    (イ) コンフィギュレーションファイルのマスタ管理を確認
    (ウ) 実際に作業して問題ないかを確認する。⇒定期訓練に加える。
    (エ) 戻せなくなった時の制御ベンダサポートは可能か?⇒サプライヤーオーディット時の実状調査で確認する。

(8) PCやUSBなどの外部メモリデバイスの持込み制限/持ち出し禁止

現場作業の利便性から、サービスマンが作業用のPCを持ち込んで作業したいというのが、作業者の思うところである。しかし、持ち込んだPCやUSBメモリデバイスから侵入して汚染が広がったという事例は少なくない。
それに、持ち込んだPCやUSBメモリデバイスを使って、機密情報が持ち出されるリスクもある。
もっとも望ましいのは、現場作業用のPCをユーザーが現場に用意して、持ち込んだソフトウェアなどは、健全性確認専用PCでチェックして使用するのを当たり前にしていることである。
既に、実施の工場では、作業上どうしても持ち込まなければならないPCやUSBメモリデバイスは、持ち込み時に、ウィールスチェック専用PCやソフトウェアでチェックして持ち込み、持ち出し時は、PCのハードディスクやフラッシュメモリなどは、全てフォーマットをして返すという徹底ぶりである。入門時にそのリスクを負うことを署名させられる。

(9) 外部サービスの健全性確保

  1. 外部サービスの健全性確保

    装置のリモートメンテナンスサービスの利用では、ゲートウェイ機器を使用して、VPNやインターネット接続で実施することができる。運用としては、操業中は、接続禁止を基本とし、サービスを受ける時だけリモート接続可とする。外部通信は、VPNやSSLなど保証された回線を使用することも良いが、セキュリティ対策が施されているルーターやゲートウェイを使用する場合は、インターネット接続を採用することができる。特に、海外キャリア使用では、オープン(国際標準規格)通信プロトコルを使用していないと強制的に切断される国や地域があることから海外のキャリア通信連携接続が不安定な場合は、インターネット接続が便利である。しかし、従来のIPv4仕様のままでは、グローバルインターネットIPv6仕様に対応できない。そこで、図5にあるようにIPv6対応の製品を使用してアクセス可能にすることができる。この場合、セキュリティ機能付き通信プロトコルを採用し、署名やパスワードは常用し、情報/データは、暗号化されていることが望ましい。使用後は、ウィールスチェック、マルウェアチェックを実施してから、制御システムネットワークに接続することをお勧めする。今後は、OPC UAのようなセキュリティ機能着脱ができる通信プロトコル仕様を採用することをお勧めする。
  2. クラウド対応について

    クラウド接続によるサービスを利用する場合は、クラウドを利用する目的を明確にして、インターフェースのセキュリティ設計を実施することになる。
    クラウドServerがダウンすると支障がある場合は、クラウド利用の冗長化技術を採用することをお勧めする。

(10) 作業者の業務範囲と権限レベルとセキュリティゾーン設定

現場の作業者は、操業時はオペレータとして業務し、トラブル発生時には、原因調査も行い、故障個所が判れば補修作業を行い、チューニング作業も行う。改修工事の時はメンテナンス作業をする現場もある。つまり、一人の人材が、いくつもの作業を行う訳で、そうなると、その作業の内容と熟練度によってオペレーション権限が異なってくる現実がある。そこで、以下の事項を考慮した制御システムセキュリティ・ゾーン設計が必要となる。

  1. 作業者の業務範囲と権限レベルとセキュリティゾーン設定で、持たせる権限キーの種類を設定
  2. 執行権限範囲でオペレーションする定常業務と緊急事態に対処する非定常業務の範囲を広げる/狭める設定
  3. 連続操作を行なう場所でのセキュリティゾーン設定

連続操作権限を持たない人が周辺にいないことを条件に連続操作を許可することになる。もしくは、連続操作を実施する場所に部外者を立ち入れさせないゾーン設定と管理が必要となる。
<図6参照>

(11) 情報の流れと機密レベルとセキュリティゾーン設定

更に、高度な制御システムセキュリティ・ゾーン設計として、DATAから情報に、情報からモデルに展開している流れで、Server間を越えていくフロー設計が必要になる。それと通過するセキュリティゾーン別のセキュリティ防御技術設計も重要なポイントとなる。
この場合、オブジェクト思考のヒューマンインターフェースとして、業務を遂行するに適した情報源と判断可能とする表現処理のHMIをユーザーの思考で容易に設計できるアプリケーションとする為に、KPIを標準化することが必要となる。
<図7>

2.サプライヤーオーディット

供給元の企業内で、制御製品がどのように管理された環境で開発されているかを確認するサプライヤーオーディットを実施することで、供給ベンダとの連携を体系づけていることが必要となってくる。

確認項目例(参考用)

  1. 企業として制御システムセキュリティ対策のポリシーが存在しているか?
    ISO9000を採用している企業であれば、制御システムセキュリティに関する項目がいくつか確認できて機能していること。
  2. 管理責任者がいるか?
    問題があれば、経営会議への報告事項に上がり、管理責任者が報告することになっていることを確認する。
  3. 製品開発環境の健全性確認

    (ア) 製品開発用ネットワークの健全性が保たれるネットワーク区分になっているか?
      A) 製品開発環境のネットワークがインターネットから隔離されている環境であるか?
      B) 業務用ネットワークと製品開発環境ネットワークのケーブルが分けられているか?
      C) 侵入検知機能や侵入防御機能が機能しているか?
    (イ) PCの区分と外部メモリの区分管理が実施されているか?
      区分管理の方法として、PCや外部メモリ区分とネットワークのケーブル区分の確認
  4. 製品開発者への教育プログラムに制御システムセキュリティ対策項目があるか?

    (ア) サイバー攻撃に弱いプログラムコードや設計構造に関する教育
  5. 製品開発プロセスに対策がなされているか?

    (ア) 製品開発企画段階での仕様決定時に制御システムセキュリティ認証対象製品であるか否かの決定がなされているか?
    (イ) デザインレビューの中に制御システムセキュリティ対策チェック項目があるか?
    (ウ) 試作製品ができた時に品質保証確認試験に制御システムセキュリティ対策仕様確認が入っているか?
    (エ) ICS-CERTなどの国際機関から脆弱性指摘があった場合に、受付窓口の設定や対処する業務フローが存在するか?
  6. 国際標準規格IEC62443認証試験での取得対象製品の認証管理はできているか?
  7. フィールドからの不審問い合わせに対して制御システムセキュリティ問題であるかの確認プロセスがあるか?
  8. インシデント発生時の受付窓口設定や対処する業務フローが存在するか?
  9. 制御システムセキュリティ対策が無い場合はそれを補う対策がなされているか?
    定期的にオーディットを実施していること。

3.制御製品の制御システムセキュリティ認証について

制御製品の制御システムセキュリティ認証は、ユーザーが指定して、制御ベンダや装置ベンダが指定された認証を受けることになる。
国内外のプロジェクトで(特に海外の国が出しているプロジェクトやグローバル企業のプロジェクト)ISA Secure認証やWIB認証を義務付けしているものが増えている。

  • 社会インフラ、ライフライン、基幹産業に関するユーザー指定
  • 海外ODAプロジェクトでの指定

この動きに対して、制御ベンダの制御システムセキュリティセンターでの認証試験を指定する民間企業ユーザーも出てきている。
IEC62443-4について解説すると長くなるので別の機会にするとして、ここではどの範囲まで考慮しておくかについてアップする。

  1. 制御システムセキュリティに関する情報収集の担当者を任命して、収集した情報を整理し、関係者に報告することが重要となってくる。

    (ア) サイバー攻撃やウィールスなどの情報収集と整理
    (イ) 国際標準規格の認証と試験内容
  2. 使用制御製品で、制御システムセキュリティ対策認証を受けているものがどれほどあるかを管理していかなければならない。
  3. 決めた制御システムセキュリティ・ゾーンレベルに対応した認証を受けているかを管理していかなければならない。
  4. 制御ベンダや装置ベンダにとっては、事業戦略の重要課題として体制を組んでいかなければならない。

    (ア) 自社内技術スタッフの充実
    (イ) 評価ツールの装備
    (ウ) 専門サポート部隊の育成
    (エ) 他社との技術提携
    (オ) 技術研究組合制御システムセキュリティセンターの利用

4.制御システムの制御システムセキュリティ認証について

制御システムの制御システムセキュリティ認証は、ユーザーが指定して、エンジニアリング会社かSIer会社立ち合いの上、指定した制御システムセキュリティ認証を受けることになるが、具体的に対応しているのは、現在グローバル制御ベンダが直接プロジェクトを受注した場合に実施できているのが実情である。
具体的な対応については、以下の課題を対応することになろう。

  1. 制御システムセキュリティに関する情報収集の担当者を任命して、収集した情報を整理し、関係者に報告

    (ア) サイバー攻撃やウィールスなどの情報収集と整理
    (イ) 国際標準規格の認証と試験内容
  2. 使用制御製品で、制御システムセキュリティ対策認証を受けているものがどれほどあるかをこれからは管理していかなければならない。
  3. 決めた制御システムセキュリティ・ゾーンレベルに対応した認証を受けているかを管理していかなければならない。
  4. その他、ユーザー企業及びエンジニアリング企業の課題

    (ア) 自社内技術スタッフの充実
    (イ) 専門サポート部隊の育成
    (ウ) オフサイト
    (エ) オンサイト
    (オ) サーベイランスシステム
    (カ) 事業所間の情報共有
    (キ) コンビナート地域での他社との技術情報共有・技術連携
    (ク) 技術研究組合制御システムセキュリティセンターの利用

5.さいごに

前号でも最後に記載したが、グローバル制御ベンダが、制御システムセキュリティセンターを立ち上げて、単独での制御システムセキュリティ認証や顧客のトレーニングなどに取り組んでいる一つの理由は、欧州経済不況で中国市場の欧州輸出激減と人件費アップで工場が中国から新興国へシフトしたり、全自動化工場の日本国内一部シフトしたりしている現状をとらえて、ユーザー企業がリスクを抱えて不安になっている。これらの世界情勢変化を越えていくにも、ユーザーとサプライヤーの距離は短くするべきであるという考えとプロジェクト受注競争に生き残りをかけてグローバル事業戦略を展開している一環でもある。