2015年 - VECサロン
VEC事務局長 村上 正志
VEC(Virtual Engineering Community)事務局長
- 1979~1990年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。
*関わった火力発電所は、北海道電力(苫東厚真、伊達)、東北電力(新仙台、仙台、東新潟)、東京電力(広野、姉ヶ崎、五井、袖ヶ浦、東扇島)、北陸電力(富山新港)、中部電力(渥美、西名古屋、知多、知多第二)、関西電力(尼崎、御坊、海南、高砂)、中国電力(新小野田、下関、岩国)、四国電力(阿南)、九州電力(港、新小倉、川内)、Jパワー(磯子、松島、高砂)、日本海LNG など - 1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。
- 1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。(2004年よりシュナイダーエレクトリックグループ傘下に属す)また、1999年にはコーポレートコーディネーション/VEC(Virtual Engineering Company & Virtual End-User Community)を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。
- 2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。
- 2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。
- 2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。
- 現在活動している関連団体及び機関
・公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術審査員
・経済産業省の産業サイバーセキュリティセンター講師
・日本OPC協議会 顧問
・制御システムセキュリティ関連団体合同委員会委員
・日本能率協会主催「計装制御技術会議」企画委員
2015年
- “Industry4.1J”実証実験 中間報告
VEC事務局長 村上 正志 - SCF2015/計測展2015 出展報告
VEC事務局長 村上 正志 - 日本の経済成長戦略 - IoTとCyber Physical Systemsと国際標準規格の動向と“Industry4.1J”の誕生
VEC事務局長 / 株式会社ICS研究所 村上 正志 - プライベートクラウドのVirtual Serverを使った制御システムセキュリティ対策
VEC事務局長 村上 正志 - SCF計測展2015にVEC(バーチャルエンジニアリングコミュニティー)が展示参加
VEC事務局長 村上 正志 - 制御システムセキュリティ対策セミナー2015
VEC事務局長 / 株式会社ICS研究所 村上 正志 - ICS-CERT 最新情報と制御システムセキュリティ対策動向について
VEC事務局長 / 株式会社ICS研究所 村上 正志 - “Industry4.1J”が制御システムセキュリティ対策の概念を変える
VEC事務局長 / 株式会社ICS研究所 村上 正志 - もっと制御システムセキュリティ対策を学ぼう
VEC事務局長 村上 正志 - IoT/サイバー空間 最前線2015年7月
VEC事務局長 村上 正志 - 公開セミナー資料(各会場共通)
- サイバー攻撃の標的と認証制度について
VEC事務局長 村上 正志 - 日本版モノづくり革新 “Industry4.1J” その3
VEC事務局長 村上 正志 - 日本版モノづくり革新 “Industry4.1J” その2
VEC事務局長 村上 正志 - 「Industry4.1J」実証実験プロジェクト
プロジェクト - 制御システムセキュリティ対策人材教育
VEC事務局長 村上 正志 - VEC会員様限定 制御システムセキュリティ対策 e ラーニング
CIIE事務局 - 日本版モノづくり革新 “Industry4.1J”
VEC事務局長 村上 正志
サイバー攻撃の標的と認証制度について
“セキュア能力を日本のモノづくりの強さに“
現状の日本国内で、サイバー攻撃の標的になっている認識が、日本企業はまだまだ薄いと思います。
知らないうちに標的になっている場合が多く、「標的になったらあの手この手と攻撃されるのだから、防衛のやりようが無い。その時は想定外でした。と言うしかない。」という結論ありきでいる企業人も多いのが現状です。
それで良いのでしょうか?
サイバー攻撃の標的を、
- 企業が標的になっている場合
- 情報が標的になっている場合
- 使用している制御装置や機械が標的になっている場合
- 使用している制御製品が標的になっている場合
- 使用している通信仕様が標的になっている場合
に区分して以下述べていきます。
1.企業が標的になっている場合
攻撃方法もしくはマルウェア
ホームページ乗っ取り、Dos攻撃、Spyware、Trojan horse、Warm、Ransomware、Shamoonなど
目的
企業にダメージを与える、
企業イメージを落とす
企業の活動機能を低下させる
攻撃対象
企業のホームページ、企業の情報システム、企業社員のPCや電子媒体やメールの内容
対策
ISMS認証、CSMS認証の審査内容の継続的管理徹底と情報セキュリティ技術の向上及び関係者のスキルアップ
2.情報が標的になっている場合
攻撃方法もしくはマルウェア
Spyware、Scareware、など
目的
個人情報や機密情報を搾取してブラックマーケットで売る。
- 防衛に関する機密情報:敵対国の軍部や兵器ブローカー
- 重要インフラに関する情報:敵対国の軍部や兵器ブローカー
- 高性能機械に関する情報:競合企業
- 制御製品に関する情報(製品設計仕様、使用している通信仕様、脆弱性情報など):ハッカー、攻撃コードを開発している研究者(ホワイトハッカー)
- 制御で使用する通信仕様の情報:ハッカー、攻撃コードを開発している研究者(ホワイトハッカー)
攻撃対象
企業の情報システム、開発研究部門のサーバ、企業社員のPCや電子媒体やメールの内容
対策
ISMS認証、CSMS認証の審査内容の継続的管理徹底と情報セキュリティ技術の向上及び関係者のスキルアップ
3.使用している制御装置や機械が標的になっている場合
攻撃方法もしくはマルウェア
Stuxnet、Shamoon、SHODAN
目的
操業妨害、爆発事故/火災事故誘発、サイバー戦争
攻撃対象
制御装置や機械のコンピュータ機能を持つ部分
外部とのインターフェース通信、操作画面のブラウザ、装置や機械を統括している監視制御システムの乗っ取り、外部のデータベース(生産スケジューラや設備保全のサーバや制御内容を設計するツールなどの情報を書き換える)など
対策
CSMS認証と(制御システムを対象にした)SSA認証の取得プロセスで行う対策そのもの
4.使用している制御製品が標的になっている場合
攻撃方法もしくはマルウェア
米国ICS-CERTの脆弱性情報を持つ制御製品の攻撃コードを作ってインターネット上に上げることでいろんな媒体経由で拡散し、制御装置に侵入
目的
サイバー戦争、企業への恨み、社会への恨み、興味本位
攻撃対象
外部とのインターフェース通信、操作画面のブラウザ、装置や機械を統括している監視制御システムの乗っ取り、ネットワークでつながっているサーバやPCの乗っ取りで制御製品を攻撃
対策
CSMS認証と(制御製品を対象とした)EDSA認証の取得プロセスで行う対策そのもの
5.使用している通信仕様が標的になっている場合
攻撃方法もしくはマルウェア
ビル関係ではBACnetをターゲットにしたDos攻撃やWarm、制御システムで多く使われているOPC Classic通信仕様をHavex
目的
サイバー戦争、企業への恨み、社会への恨み、興味本位
攻撃対象
通信仕様を使っているサーバやPCやデバイス
対策
EDSA認証の取得プロセスで行う対策そのもの
ISA Secure認証(SSA認証やEDSA認証)が厳し過ぎると言われる方が業界の中にいらっしゃいますが、制御製品や制御装置や機械の基本設計の段階からセキュア設計のやり方やセキュアな製品開発プロセス管理のやり方を正しく理解して実施していれば、SSA認証もEDSA認証も取得できます。取得できるように認証制度はできています。
合格できないのは、セキュア設計やセキュア製品開発プロセス管理の基本ができていないからです。だから、検証ツールで検査する度に脆弱性が出てくる。その場しのぎでは合格はしません。それにその場しのぎの中途半端な制御製品と判っていて、重要インフラや社会インフラで採用してサイバー攻撃にあって大事故を起こしたら、その責任は、大きいです。
現に、米国でのEDSA認証を受けている制御ベンダの合格率は、8割を超えています。日本の制御ベンダの横河電機㈱の制御製品も米国でEDSA認証を取得しています。
横河電機㈱は、シンガポールにサイバー研究所を置いています。
技術研究組合CSSCで2014年にEDSA認証を申請した8件において、合格したのは4件でした。
制御システムは、本質安全と機能安全、機械安全、電気安全、グループ安全があり、それらを考慮したリスクアセスメントが過去でしたが、今は、制御システムセキュリティを含めたリスクアセスメントを考えることが基本となっています。その上で社会責任を果たしていくことが企業経営に求められていることはご理解いただけることと存じます。
では、制御システムセキュリティ対策にどれだけの投資が適切かという課題になりますが、国内でもサイバー攻撃の後始末で一ヶ月間工場の操業ができなかった報告もあります。一ヶ月間の売り上げが無いということは、企業経営でのダメージは大きいし、顧客への損害対応を含めるとその損失は大きい。それを試算するとどれだけ投資しておくべきかを計画することは可能です。
重要インフラにおいては、インターネットにつないでいないというだけで現場のセキュア管理を怠っていると「蟻の一穴」の喩えがあるように、事件が起きてからでは遅いです。
インドやブラジルなどの海外のインフラ事業では、ISA Secure認証を入札条件にしているプロジェクトが増えている。この時点で日本のインフラ輸出事業では、セキュア認証取得が必須ということになる。セキュア認証を取得すれば、それでセキュア性能は充分かというとそうではない。サイバー攻撃対策は、電子媒体や脆弱性情報管理やソフトのパッチ処理管理や改修の度に脆弱性検査を実施するセキュアな管理が無ければ、継続的に防衛することは難しいです。それには人材教育を真剣に考えて、計画的に実施して、セキュア能力を世界基準レベル以上に上げて維持ししていくことです。これからは、それが当たり前の時代です。それが日本のモノづくりをさらに強くします。
E-learning教育ビデオ講座:https://e-learning.beamsv.jp
以上