2015年 - VECサロン
2015年
- “Industry4.1J”実証実験 中間報告
VEC事務局長 村上 正志 - SCF2015/計測展2015 出展報告
VEC事務局長 村上 正志 - 日本の経済成長戦略 - IoTとCyber Physical Systemsと国際標準規格の動向と“Industry4.1J”の誕生
VEC事務局長 / 株式会社ICS研究所 村上 正志 - プライベートクラウドのVirtual Serverを使った制御システムセキュリティ対策
VEC事務局長 村上 正志 - SCF計測展2015にVEC(バーチャルエンジニアリングコミュニティー)が展示参加
VEC事務局長 村上 正志 - 制御システムセキュリティ対策セミナー2015
VEC事務局長 / 株式会社ICS研究所 村上 正志 - ICS-CERT 最新情報と制御システムセキュリティ対策動向について
VEC事務局長 / 株式会社ICS研究所 村上 正志 - “Industry4.1J”が制御システムセキュリティ対策の概念を変える
VEC事務局長 / 株式会社ICS研究所 村上 正志 - もっと制御システムセキュリティ対策を学ぼう
VEC事務局長 村上 正志 - IoT/サイバー空間 最前線2015年7月
VEC事務局長 村上 正志 - 公開セミナー資料(各会場共通)
- サイバー攻撃の標的と認証制度について
VEC事務局長 村上 正志 - 日本版モノづくり革新 “Industry4.1J” その3
VEC事務局長 村上 正志 - 日本版モノづくり革新 “Industry4.1J” その2
VEC事務局長 村上 正志 - 「Industry4.1J」実証実験プロジェクト
プロジェクト - 制御システムセキュリティ対策人材教育
VEC事務局長 村上 正志 - VEC会員様限定 制御システムセキュリティ対策 e ラーニング
CIIE事務局 - 日本版モノづくり革新 “Industry4.1J”
VEC事務局長 村上 正志
サイバー攻撃の標的と認証制度について
“セキュア能力を日本のモノづくりの強さに“
現状の日本国内で、サイバー攻撃の標的になっている認識が、日本企業はまだまだ薄いと思います。
知らないうちに標的になっている場合が多く、「標的になったらあの手この手と攻撃されるのだから、防衛のやりようが無い。その時は想定外でした。と言うしかない。」という結論ありきでいる企業人も多いのが現状です。
それで良いのでしょうか?
サイバー攻撃の標的を、
- 企業が標的になっている場合
- 情報が標的になっている場合
- 使用している制御装置や機械が標的になっている場合
- 使用している制御製品が標的になっている場合
- 使用している通信仕様が標的になっている場合
に区分して以下述べていきます。
1.企業が標的になっている場合
攻撃方法もしくはマルウェア
ホームページ乗っ取り、Dos攻撃、Spyware、Trojan horse、Warm、Ransomware、Shamoonなど
目的
企業にダメージを与える、
企業イメージを落とす
企業の活動機能を低下させる
攻撃対象
企業のホームページ、企業の情報システム、企業社員のPCや電子媒体やメールの内容
対策
ISMS認証、CSMS認証の審査内容の継続的管理徹底と情報セキュリティ技術の向上及び関係者のスキルアップ
2.情報が標的になっている場合
攻撃方法もしくはマルウェア
Spyware、Scareware、など
目的
個人情報や機密情報を搾取してブラックマーケットで売る。
- 防衛に関する機密情報:敵対国の軍部や兵器ブローカー
- 重要インフラに関する情報:敵対国の軍部や兵器ブローカー
- 高性能機械に関する情報:競合企業
- 制御製品に関する情報(製品設計仕様、使用している通信仕様、脆弱性情報など):ハッカー、攻撃コードを開発している研究者(ホワイトハッカー)
- 制御で使用する通信仕様の情報:ハッカー、攻撃コードを開発している研究者(ホワイトハッカー)
攻撃対象
企業の情報システム、開発研究部門のサーバ、企業社員のPCや電子媒体やメールの内容
対策
ISMS認証、CSMS認証の審査内容の継続的管理徹底と情報セキュリティ技術の向上及び関係者のスキルアップ
3.使用している制御装置や機械が標的になっている場合
攻撃方法もしくはマルウェア
Stuxnet、Shamoon、SHODAN
目的
操業妨害、爆発事故/火災事故誘発、サイバー戦争
攻撃対象
制御装置や機械のコンピュータ機能を持つ部分
外部とのインターフェース通信、操作画面のブラウザ、装置や機械を統括している監視制御システムの乗っ取り、外部のデータベース(生産スケジューラや設備保全のサーバや制御内容を設計するツールなどの情報を書き換える)など
対策
CSMS認証と(制御システムを対象にした)SSA認証の取得プロセスで行う対策そのもの
4.使用している制御製品が標的になっている場合
攻撃方法もしくはマルウェア
米国ICS-CERTの脆弱性情報を持つ制御製品の攻撃コードを作ってインターネット上に上げることでいろんな媒体経由で拡散し、制御装置に侵入
目的
サイバー戦争、企業への恨み、社会への恨み、興味本位
攻撃対象
外部とのインターフェース通信、操作画面のブラウザ、装置や機械を統括している監視制御システムの乗っ取り、ネットワークでつながっているサーバやPCの乗っ取りで制御製品を攻撃
対策
CSMS認証と(制御製品を対象とした)EDSA認証の取得プロセスで行う対策そのもの
5.使用している通信仕様が標的になっている場合
攻撃方法もしくはマルウェア
ビル関係ではBACnetをターゲットにしたDos攻撃やWarm、制御システムで多く使われているOPC Classic通信仕様をHavex
目的
サイバー戦争、企業への恨み、社会への恨み、興味本位
攻撃対象
通信仕様を使っているサーバやPCやデバイス
対策
EDSA認証の取得プロセスで行う対策そのもの
ISA Secure認証(SSA認証やEDSA認証)が厳し過ぎると言われる方が業界の中にいらっしゃいますが、制御製品や制御装置や機械の基本設計の段階からセキュア設計のやり方やセキュアな製品開発プロセス管理のやり方を正しく理解して実施していれば、SSA認証もEDSA認証も取得できます。取得できるように認証制度はできています。
合格できないのは、セキュア設計やセキュア製品開発プロセス管理の基本ができていないからです。だから、検証ツールで検査する度に脆弱性が出てくる。その場しのぎでは合格はしません。それにその場しのぎの中途半端な制御製品と判っていて、重要インフラや社会インフラで採用してサイバー攻撃にあって大事故を起こしたら、その責任は、大きいです。
現に、米国でのEDSA認証を受けている制御ベンダの合格率は、8割を超えています。日本の制御ベンダの横河電機㈱の制御製品も米国でEDSA認証を取得しています。
横河電機㈱は、シンガポールにサイバー研究所を置いています。
技術研究組合CSSCで2014年にEDSA認証を申請した8件において、合格したのは4件でした。
制御システムは、本質安全と機能安全、機械安全、電気安全、グループ安全があり、それらを考慮したリスクアセスメントが過去でしたが、今は、制御システムセキュリティを含めたリスクアセスメントを考えることが基本となっています。その上で社会責任を果たしていくことが企業経営に求められていることはご理解いただけることと存じます。
では、制御システムセキュリティ対策にどれだけの投資が適切かという課題になりますが、国内でもサイバー攻撃の後始末で一ヶ月間工場の操業ができなかった報告もあります。一ヶ月間の売り上げが無いということは、企業経営でのダメージは大きいし、顧客への損害対応を含めるとその損失は大きい。それを試算するとどれだけ投資しておくべきかを計画することは可能です。
重要インフラにおいては、インターネットにつないでいないというだけで現場のセキュア管理を怠っていると「蟻の一穴」の喩えがあるように、事件が起きてからでは遅いです。
インドやブラジルなどの海外のインフラ事業では、ISA Secure認証を入札条件にしているプロジェクトが増えている。この時点で日本のインフラ輸出事業では、セキュア認証取得が必須ということになる。セキュア認証を取得すれば、それでセキュア性能は充分かというとそうではない。サイバー攻撃対策は、電子媒体や脆弱性情報管理やソフトのパッチ処理管理や改修の度に脆弱性検査を実施するセキュアな管理が無ければ、継続的に防衛することは難しいです。それには人材教育を真剣に考えて、計画的に実施して、セキュア能力を世界基準レベル以上に上げて維持ししていくことです。これからは、それが当たり前の時代です。それが日本のモノづくりをさらに強くします。
E-learning教育ビデオ講座:https://e-learning.beamsv.jp
以上