2015年 - VECサロン
2015年
- “Industry4.1J”実証実験 中間報告
VEC事務局長 村上 正志 - SCF2015/計測展2015 出展報告
VEC事務局長 村上 正志 - 日本の経済成長戦略 - IoTとCyber Physical Systemsと国際標準規格の動向と“Industry4.1J”の誕生
VEC事務局長 / 株式会社ICS研究所 村上 正志 - プライベートクラウドのVirtual Serverを使った制御システムセキュリティ対策
VEC事務局長 村上 正志 - SCF計測展2015にVEC(バーチャルエンジニアリングコミュニティー)が展示参加
VEC事務局長 村上 正志 - 制御システムセキュリティ対策セミナー2015
VEC事務局長 / 株式会社ICS研究所 村上 正志 - ICS-CERT 最新情報と制御システムセキュリティ対策動向について
VEC事務局長 / 株式会社ICS研究所 村上 正志 - “Industry4.1J”が制御システムセキュリティ対策の概念を変える
VEC事務局長 / 株式会社ICS研究所 村上 正志 - もっと制御システムセキュリティ対策を学ぼう
VEC事務局長 村上 正志 - IoT/サイバー空間 最前線2015年7月
VEC事務局長 村上 正志 - 公開セミナー資料(各会場共通)
- サイバー攻撃の標的と認証制度について
VEC事務局長 村上 正志 - 日本版モノづくり革新 “Industry4.1J” その3
VEC事務局長 村上 正志 - 日本版モノづくり革新 “Industry4.1J” その2
VEC事務局長 村上 正志 - 「Industry4.1J」実証実験プロジェクト
プロジェクト - 制御システムセキュリティ対策人材教育
VEC事務局長 村上 正志 - VEC会員様限定 制御システムセキュリティ対策 e ラーニング
CIIE事務局 - 日本版モノづくり革新 “Industry4.1J”
VEC事務局長 村上 正志
もっと制御システムセキュリティ対策を学ぼう
インターネットを使用したサイバー空間では、24時間365日、サイバー戦争をしている、その実態はサイバー攻撃をライブで公開しているサイトを見てみると解る。
国家間のサイバー攻撃のライブを公開している米国NORTH社のサイト
http://map.norsecorp.com/
日本へのサイバー攻撃のライブを公開している国立研究開発法人情報通信研究機構のサイト
http://www.nicter.jp/nw_public/scripts/index.php#nicter
企業を標的にしたサイバー攻撃のライブを公開しているカスペルスキー社のサイト
https://cybermap.kaspersky.com/
IEC62443をベースに考えた制御システムセキュリティ標準規格や、アメリカ国立標準技術研究所NISTで2015年2月に出されたGuide to Industry Control System Securityがある。
それらには、業務系ネットワークと生産系(製造系)ネットワークをつなぐ場合にFire WallやDMZを設置することを推奨している。Fire WallにするべきかDMZにするべきかの判断は、その生産シテいるモノが重要インフラの制御システム対象になっていかどうか、その企業にとって重要な主力製品になっているかどうかで決まる。
通常、インターネットにつながる業務系ネットワークと生産系(製造系)ネットワークの間には、DMZを設置し、生産系(製造系)ネットワークのセグメント分けでは、Fire Wallを使用し、制御システムのゾーン分けではセキュアルータを使用することになる。
DMZの価格は、1000万円から3000万円程度で月々専門的メンテナンスが必要となってくるのに対し、Fire Wallは30万円から60万円クラスで、セキュアルータは3万円から5万円クラス、売り切りルータは数千円で売られている。Fire Wallやセキュアルータは、バージョン管理をしっかりやっておく必要がある。
インシデントが起きた時に、ネットワークにあるServerやPCなどコンピュータ機能を持つデバイスからマルウェアを取り除いたりする作業(洗浄作業)や、マルウェアにやられてデバイスドライバーが書き変えられたり消されたりされたものを修理したりする作業(修理)でネットワーク遮断やマルウェア感染防止で用いるものはセキュアルータを使用することが多い。インシデント対応作業で再感染のリスクが高い冗長化システムの作業ではBoxタイプのFire Wallを使用することもある。
セキュリティベンダや通信業者と話をしている話題の中で、問題視している話題がいくつかある。それをここに挙げて今回の本題に入っていきたい。
話題1:先日、お客様のところへお伺いした時に「制御システムにDMZを導入したよ。」と言われたので、「高かったでしょう」と返したら、「高い、高い。値引きしてもらって5万円だよ。」という回答がきたので、そのベンダは、「それ、DMZと連携した端末のルータでしょ?」と言ったところ、「いや、商社からDMZの見積もりを依頼して6万円以上の価格だったのを5万円で購入して設置したんだよ。」と返ってきた。
解説
ルータを販売した商社の人も導入した顧客もDMZを見たことが無い。だから、DMZのネットワークの中のゾーン設計で仕切ったゾーン間をつなぐルータだけをDMZだと思い込んで取引している。
話題2:BoxタイプのFire Wallを購入して、メンテナンス用のソフトを買わない顧客がいる。
解説
DMZもFire Wallもセキュアルータもそうであるが、セキュリティ製品はアップデート管理が必要であり、その為のツールが必要となる。
話題3:ビル建設での話ですが、セキュアルータを先に現場へ送って行ったら、「設置しておきました。」「IPアドレスは?」と確認すると「設定しておきました。」ということで見ると、なんと、グローバルIPアドレスが設定されていた。
解説
直接であれ間接であれインターネット接続されたネットワークでグローバルIPアドレスを持つということは、外部からインターネットを経由してアクセスができるということで、サイバー攻撃する側から見て直接攻撃できる標的になるということであることを顧客も業者も知らない。
話題4:弊社は、計装制御データを収集したデータサーバをOAのネットワークに直接つなげています。弊社のOAネットワークは、F社のOAクラウドをVPNでつなげて使用しています。OAではインターネットを利用できないと駄目だと本社から言われています。だから、プライベートクラウドを使用するのは無理です。
解説
インターネットを利用するOA用クラウドということは、パブリッククラウドを使用しているということです。パブリッククラウドにつなげているからインターネットはパブリックの先にあると認識している。VPNという言葉が独り歩きして、インターネットVPNとIP-VPNの違いを正しく認識していない。
話題5:企業内の計装制御データがプライベートクラウドにあるということは企業の外にデータを出すということになるので、他の企業から見られることがあっては企業としては認められない。
解説
物理的には、企業の外にデータが存在することになるが、そのデータの所有権はその企業にあり、その企業で管理することになる。セキュリティ対策は、クラウドベンダの仕事であるがVirtual Serverの中のデータを盗んで他へ売るということは、できないような仕組みがある。また、同じクラウドサーバのハードウェア上に他社のVirtual Serverが存在していてもお互いにアクセスすることは許されていない。
話題6:クラウドにデータを預けることは良いが知らないうちに海外にデータが存在しているということはあっては困る。
解説
日本の区内のクラウドサーバにデータがあるようにコントロールすることはクラウドベンダの責任でできることを知らない。金融関係や証券関係は、プライベートクラウドを利用している。顧客の情報や金融機関同士の取引などは金融機関の所有情報データであって、そのセキュリティ対応をプライベートクラウドの通信事業者が担っているというものです。お金と同じように書き変えられては困る貴重な情報データを他の事業者に見られることも無く管理できるという事情は同じだと思います。さらに、米国に工場があって米国にあるサーバにデータがあると米国のCIAやNSAやDHSなどがテロ対策の名目でデータを見ることがあるので、データは日本のサーバにあるようにしてほしいという要望で対応している。あとは、ユーザー企業がどう考えるかにある。
話題7:「お客様に収めた装置をリモートメンテナンスする為に、装置に数千円のルータを設置してグローバルIPアドレスを設定している装置ベンダ様がいたのですが、そのルータは例の脆弱性が発見されていたルータなので『ルータのバージョンアップ作業はどなたがされているのでしょうか?』とお聞きしたのですが、『お客様のところでされているのではないでしょうかねえ。』という回答が返ってきたのですけど、お客様にお知らせした方が良いのでしょうかね?」というお話があった。
解説
納めた装置の中で、消耗品やメンテナンスが必要な物は、納品先へ提出するリストに書かれていなければならないし、顧客もメンテナンスが必要な対象デバイスのリストと手順書は持って管理しなければならないものですが、意外と双方の認識が低く、いい加減に済ませているところもある。数千円のルータは売り切り製品が多いため、ルータを生産して販売したベンダも最終顧客が見えていないことで対応できていないことが多い。グローバルIPアドレスを設定したルータは、SHODAN(インターネットにつながっている装置や機械を自動的に検索してその調査情報を一般に公開しているC&C Server付きサイト:ハッカーやサイバー攻撃組織が悪用しているサイト)に身をさらしているようなものである。
話題8:この前、機械のリモートサービスに、DMZ接続用のルータをDMZ無しで使っているところがあるのを見つけたのですが、エンドユーザに言うべきか機械ベンダに言うべきか・・・・
解説
ブロードバンド事業者がインターネット接続でサービスサポートする事業者(ブロードバンドの顧客)側のDMZがあって、その事業者の中のネットワークでゾーン分けしている境界線に設置するルータはDMZとコミュニケーションする為に特殊なインターフェース通信機能を持っている。それを直接インターネットに開放しているということは、ハッカーやサイバー攻撃組織に「どうぞ好きにしてください。」と身をさらけ出しているようなものです。
話題9:IOT(Internet of things)関連のグローバル標準化団体が、Industry4.0で通信規格として指定されているOPC UAを通信仕様として登録したいというお話があって、「Industry4.0ではOPC UAだけで他の通信プロトコル仕様を認めていないのは、セキュリティレベルが維持できないからですよ。」とお話ししましたが、「登録して紹介するだけですから大丈夫です。」と言われたが、何が大丈夫なのか不明である。
解説
インターネットを使用する通信仕様で複数の通信プロトコルを使用しているとセキュリティレベルはセキュリティレベルの低い方の通信プロトコルのレベルになる。それに、ブロードバンド経由でリモートサービスを対応している仕組みでは、サービスしている先の装置や機械の特殊性もあって、取り合いしているデータに関するチェックはしていない場合も多い。そのブロードバンドServer経由で取り合いしている通信にOPC UA以外の通信仕様を利便性重視で使用できるようにしているとハッカーやサイバー攻撃組織側はそれを利用して攻撃してくる可能性が存在する。
話題10:Industry4.1Jでは、プライベートクラウドへIP-VPNだけで取り合いして、インターネットを経由していないことから、DMZは要らなくなりますね。OPC UAでなければならないこともないですね。
解説
解説:そうなんです。工場の中のServerと同じに使えるんです。営業など業務でインターネットを使用したいところは、パブリッククラウドでプロバイダを利用して、制御システム部分は、プライベートクラウドを利用して、パブリッククラウドとプライベートクラウドの間にDMZがあるという構造でこのDMZのメンテナンスはNTTコミュニケーションズ社が担当していると考えることができるのです。
まだまだ、話題はあるが、根本的に、計装制御に関わっている仕事で、今までセキュリティに関する具体的対策作業をしてこなかったことで知らないことが多いのは当然であろう。
だったら、勉強しましょうよ。
VEC主催の制御システムセキュリティ対策カンファレンスなどの無料セミナーも情報源になるが、制御システムセキュリティ対策の本質を取り上げて実践的な対策計画や作業手順書を作成しようとするとインシデント経験者のセミナーを受けるべきです。
商社も、顧客から「DMZを見積もって欲しい。」と依頼されて、DMZを敷いたネットワークで使用するルータだけを見積もって、販売して、その結果、その顧客の制御システムがサイバー攻撃を受けて、DMZのつもりで設置したモノがDMZの役目を果たしていなかったことで、信頼を無くすだけでなく、訴訟問題になる可能性を持っている。だから、商社の営業企画も営業マンも制御システムセキュリティ対策を勉強するべきです。
通信業者とプロバイダとITのシステムインテグレータとの区別を正しく認識しよう。
通信事業者は、NTTコミュニケーションズとかNTT東日本/西日本、NTTドコモのような、つなげる事業をしている事業者を言う。
プロバイダとは、通信で取り込んだデータをインターネットにつなげる事業者のことを言う。一般的にパブリッククラウドでのサービスを指す。
ITのシステムインテグレータとは、クラウドでのシステムインテグレータを指す。
NTTコミュニケーションズ社は、通信業者でありながらプライベートクラウドを提供しているプロバイダでもある、
コンピュータサーバでは、ハードウェアが故障した時にデータも無くなってしまうことも多く、如何にしてデータを守るかという課題を抱えていた。そこで、ハードウェアに依存しない構造体を考え出した結果がクラウドである、つまり、一つのハードウェア上に一つのデータやソフトを置かないようにするには、データが複数のハードウェア上に複数存在するように管理し、同じデータやソフトは一つのハードウェア上に存在しないように管理することになる。さらに、ハードウェアが故障したら、単純な交換作業でメンテナンスができるようにし、ハードウェアをリセットしたら自動復旧する。
製造業の方は、IT業界の常識は知らないし、IT業界の方は、製造業界の常識を知らない。当然のことである。IT業界の常識は、一つとしたら、製造業界の常識は産業ごとに違っている部分が多い。だから、製造業の方が制御システムの安全操業を確保するべく、IT業界の常識を学んで、制御システムに活かす改善を施して努力する方が現実的であると思う。でも、それは簡単ではないですよね。だから、学べる機会を利用しようではないですか。