2016年 - VECサロン

村上 正志

VEC事務局長 / 株式会社ICS研究所 村上 正志

VEC(Virtual Engineering Community)事務局長

  • 1979~1990年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。
    *関わった火力発電所は、北海道電力(苫東厚真、伊達)、東北電力(新仙台、仙台、東新潟)、東京電力(広野、姉ヶ崎、五井、袖ヶ浦、東扇島)、北陸電力(富山新港)、中部電力(渥美、西名古屋、知多、知多第二)、関西電力(尼崎、御坊、海南、高砂)、中国電力(新小野田、下関、岩国)、四国電力(阿南)、九州電力(港、新小倉、川内)、Jパワー(磯子、松島、高砂)、日本海LNG など
  • 1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。
  • 1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。(2004年よりシュナイダーエレクトリックグループ傘下に属す)また、1999年にはコーポレートコーディネーション/VEC(Virtual Engineering Company & Virtual End-User Community)を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。
  • 2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。
  • 2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。
  • 2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。
  • 現在活動している関連団体及び機関
    ・公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術審査員
    ・経済産業省の産業サイバーセキュリティセンター講師
    ・日本OPC協議会 顧問
    ・制御システムセキュリティ関連団体合同委員会委員
    ・日本能率協会主催「計装制御技術会議」企画委員

2016年

制御システムセキュリティ対策の人材教育

制御システムセキュリティ対策の人材教育を進める上で考慮していかなければならないことを整理してみよう。

1. おさえておきたいポイント

まず、重要なポイントを上げていくと

① 職務遂行の範囲で必要となる制御システムセキュリティ対策知識の範囲を特定する
② 必要となる知識を学べる機会をつくる
③ 学んだことを理解しているかを確認する
④ 職務の中で学んだことを応用できているかを確認する
などがある。

この①にあげた必要となる知識範囲であるが、現場のオペレータを対象に考えた場合、対象者は、

- 製造部門のオペレータ
- 設備のメンテナンス要員
- 現場の管理者
- 装置設計エンジニア(装置の発注仕様書を作成する技術者)
- 製造システム全体を設計するシステムエンジニア
- 生産管理部門
を考えるに、同じプログラムという訳にはいきません。

職場の職務条件の違いで②の学べる機会も違っている。
特にオペレータやメンテナンス要員は、交替勤務になるので1時間程度の集合教育は実施できますが、それ以上は実際難しい。
学んだことを理解しているかどうかをテストする機能が教育ツールに合っても機械的に答えているのでは意味がない。

また、学んだことが実際の職務の中で活かされて行かなければ現場のセキュリティ対策レベルは向上しません。
装置設計や製造システム設計をしたり、業者やベンダへ装置の発注をしたり、受け入れ検査をしたりする技術者には技術的な知見と実用的なノウハウを身に着けていただくことが重要です。そうなると専門的な教育ツールが必要となる。

これらの問題を解決できるのが制御システムセキュリティ対策を専門に扱ったE-learning教育ビデオ講座CIIE製品とeICS製品がある。

2. 一般社員と管理者を対象にしたCIIE

CIIE製品は、教育コンテンツはICS研究所で開発し、教育ツールとしてのシステム開発はベルチャイルド社が開発した。

製造現場のオペレータやメンテナンスを担当される組織で制御システムセキュリティ対策教育を実施する場合、現場の勤務条件や操業に最低限必要な知識と実際の現場作業に反映させる人的セキュア改善を実施していくに、カテゴリプログラムと実施方法について以下述べていく。
製造現場に求められるカテゴリプログラムを以下の表に一例をあげてみた。

表1:製造現場の制御システムセキュリティ対策の人材教育
〇:必須、△:必要に応じて

最新情報/トピックス

講座名オペレータメンテナンス管理者
サイバーセキュリティ最新情報
ICS-CERT最新情報

基礎講座

講座名オペレータメンテナンス管理者
情報システムセキュリティと制御システムセキュリティの違い
制御システムセキュリティ対策の全体像
制御システムセキュリティ対策と全体像と各手法
国際標準規格と認証機関
認証 CSMS認証、SSA認証、EDSA認証
関連法規制について
世界のCSS機関
セキュア改善
インシデント対応基礎
脆弱性情報対応基礎 その1
脆弱性情報対応基礎 その2
制御システムセキュリティゾーン設計基礎

アセットオーナー技術

講座名オペレータメンテナンス管理者
セキュリティ5Sの進め方
セキュリティ5Sの事例 その1
セキュリティ5Sの事例 その2
セキュア改善
現場用セキュリティ製品 その1
現場用セキュリティ製品 その2
現場用セキュリティ製品 その3
インシデント対応実践・復旧作業

発注先管理

講座名オペレータメンテナンス管理者
発注先監査
監査基準項目と基準
関連法規制

発注受け入れ/現場立ち上げ

講座名オペレータメンテナンス管理者
要求仕様書 その1
要求仕様書 その2
工場立会試験
受け入れ検査

これに対応した講座を揃えているのが、一般社員と管理者を対象に開発されたCIIE製品(株式会社ベルチャイルドより提供)である。
CIIE製品は、各講座15分程度で各講座を月単位で使用できる。

例えば、現場管理者が対象となる講座を受講して、各講座の後にある認識テストを合格したら、部下を集めて以下のような教育スタイルが可能となる。
① 本日のテーマについて管理者が話をする(5分)
② E-learning教育ビデオ講座を見せる(15分程度)
③ ホワイトボードの真ん中に縦の線を描き、右側に「問題点/知らなかったこと」左側に「対策/気づいたこと」を書き、講座内容に関連する「問題点/知らなかったこと」と「対策/気づいたこと」をディスカッションしながら書き出していく
④ その中で、重要と思われることをマークする
⑤ 管理者がまとめの話をする

この教育プログラムであれば1時間程度で終了できる。
特に、セキュリティ5Sについては、自分たちの現場の「脅威」と「対策」を書き出してみると良い。
このように製造現場の組織の教育スタイルに合った使い方ができるのがCIIE製品である。

3. 技術者を対象にしたeICS

eICS製品は、IEC62443やNISTのGuide to Industry Control Systems SecurityやISA Secure認証を参考に、制御システムセキュリティ対策に必要な知見や対策実施におけるノウハウを学べるように、ICS研究所がコンテンツを開発し、E-learning教育ビデオ講座に仕上げた製品である。

サイバー攻撃の手法や対策技術は日進月歩とどまることが無いことと、製造する製品の違いによって制御システムが異なっていることから、制御システムセキュリティ対策の人材教育ツールは、更新作業を継続した事業で考える必要がある。

しかも、技術者が掌握しておかなければならない範囲は、
A) 制御製品の脆弱性情報
B) 制御製品のセキュア性能と製品構造
C) 制御ネットワークで使用するセキュア通信仕様とセキュア性能
D) 制御システムのセキュリティ対策技術
E) サイバーインシデント監視システムの設計で使用できるセキュア製品
F) 現場のセキュア改善で使える技術
G) 制御製品のセキュア性能と制御システムのセキュア性能はどこで決まるのか
H) セキュリティ技術の最新情報
などと広くて深い。

しかも、装置や機械や制御システム設計をアウトソーシングするところでは、発注先の制御システムセキュリティ対策ができていなければ本来の目的を達成できない。
こういった問題を解決していくのに必要な知見をどこで手に入れれば良いかという課題は、一人の力では得られない膨大な情報である。

そういった技術者のニーズに対応できるように考えて開発したのがeICS製品である。このeICS講座では、制御製品や制御システム設計の手法そのものを教育するのではなく、制御製品や制御システムを設計する時にどのような制御システムセキュリティ対策を施していかなければならないかに重点をおいた内容となっている。
また、設計技術だけでなく、制御装置や機械やシステムをどのようにセキュア評価検査をし、どのように管理して、サイバーインシデントを検知し、対応して、回復させていくか、セキュア改善をどのように実施していくと良いかなどについてもカバーしている。

また、制御システムエンジニアにとっても装置ベンダはどのようなセキュリティ対策をするべきなのか。装置ベンダのエンジニアにとって制御製品ベンダはどのようなセキュリティ対策を実施していくべきかについても学ぶことで、発注仕様書のセキュリティ項目や受け入れ検査時のセキュア評価試験方案作成やセキュア評価基準作成時のベースが考えられることになる。
そこで、受講講座のコース設定は決めておらず、自由に受講できるようにシステム構成してある。

技術者のためのeICSの講座リスト
各講座15分程度 2016年6月段階で151講座

最新情報/トピックス

  • サイバーセキュリティ最新情報
  • ICS-CERT最新情報

基礎講座

  • 情報システムセキュリティと制御システムセキュリティの違い
  • 制御システムセキュリティ対策の全体像
  • 制御システムセキュリティ対策と全体像と各手法
  • 国際標準規格と認証機関
  • 認証 CSMS認証、SSA認証、EDSA認証
  • 関連法規制について
  • 世界のCSS機関
  • セキュア改善
  • インシデント対応基礎
  • 脆弱性情報対応基礎 その1
  • 脆弱性情報対応基礎 その2
  • 制御システムセキュリティゾーン設計基礎

国際標準規格

  • 【前編】IEC62443解説 その1
  • 【後編】IEC62443解説 その1
  • 【前編】IEC62443解説 その2
  • 【後編】IEC62443解説 その2
  • NIST Framework概要説明

認証制度と概要

  • 認証の目的と期待効果
  • Achilles認証
  • CSMS認証
  • CSMS認証「セキュリティポリシーの策定」
  • 【前編】CSMS認証「現場のセキュリティ対策項目 その1」
  • 【後編】CSMS認証「現場のセキュリティ対策項目 その1」
  • 【前編】CSMS認証「現場のセキュリティ対策項目 その2」
  • 【後編】CSMS認証「現場のセキュリティ対策項目 その2」
  • EDSA認証
  • SSA認証

発注先管理

  • 発注先監査
  • 監査基準項目と基準
  • 関連法規制

発注受け入れ/現場立ち上げ

  • 要求仕様書 その1
  • 要求仕様書 その2
  • 工場立会試験
  • 受け入れ検査

セキュリティ製品講座

  • アズビルセキュリティフライデー社製品「AS2000」
  • アズビルセキュリティフライデー社製品「VISUACT-V」
  • インテル セキュリティ(マカフィー)社製品「ホワイトリスト製品の役割と導入時の注意事項」
  • インテル セキュリティ(マカフィー)社製品「ログ解析/管理製品の役割と導入に必要な作業」
  • インテル セキュリティ(マカフィー)社製品「ログ解析/管理製品の構築に必要な作業」
  • インテル セキュリティ(マカフィー)社製品「ログ解析/管理製品の運用に必要な作業」
  • カスペルスキー社製品「Kaspersky Endpoint Security for Business最高レベルの保護管理製品」
  • カスペルスキー社製品「KIPSおよびCyber Safety Games ゲーム形式のセキュリティ教育」

Industry4.1J/Iot・CPS

  • Industry4.1Jソリューション その1
  • Industry4.1Jソリューション その2
  • Industry4.1Jソリューション その3
  • Industry4.1Jソリューション その4
  • Industry4.1J「実証実験報告」
  • Industry4.0解説 ドイツ編
  • Industry4.0解説 米国編

制御製品開発技術

  • セキュア製品開発プロセス
  • 【前編】セキュア製品開発 その1
  • 【後編】セキュア製品開発 その1
  • セキュア製品開発 その2
  • セキュア評価 その1
  • セキュア評価 その2
  • 攻撃側の視点と機密情報
  • 製品仕様で対策できること その1
  • 製品仕様で対策できること その2
  • 脆弱性情報管理 その1
  • 脆弱性情報管理 その2
  • 脆弱性情報管理 その3
  • 設計環境整備と健全性管理

制御システムエンジニア技術

  • 制御システムのリスクアセスメント その1
  • 制御システムのリスクアセスメント その2
  • 制御システムのリスクアセスメント その3
  • 【前編】セキュアエンジニアリング その1
  • 【中編】セキュアエンジニアリング その1
  • 【後編】セキュアエンジニアリング その1
  • セキュアエンジニアリング その2
  • 攻撃側の視点で見た制御システム その1
  • 攻撃側の視点で見た制御システム その2
  • 制御系統別ゾーン設計
  • 生産プロセス別ゾーン設計
  • 統括監視制御でのゾーン設計
  • 無線通信ゾーン設計
  • 【前編】要求仕様書から読み取る範囲
  • 【後編】要求仕様書から読み取る範囲
  • 見積もり設計でのセキュア仕様
  • 試験評価の方法
  • 試験方案でのセキュア試験
  • 品質保証と顧客サポート

制御ベンダ講座

  • 制御ベンダの取り組み その1
  • 制御ベンダの取り組み その2
  • 脆弱性情報管理 その1
  • 脆弱性情報管理 その2
  • 脆弱性情報管理 その3
  • 設計環境整備と健全性管理
  • 【前編】セキュア製品開発 その1
  • 【後編】セキュア製品開発 その1
  • セキュア製品開発 その2
  • セキュア製品開発プロセス
  • セキュア評価 その1
  • セキュア評価 その2
  • 攻撃側の視点と機密情報
  • 製品仕様で対策できること その1
  • 製品仕様で対策できること その2

制御装置ベンダにおける対策

  • 設計仕様で対策できること
  • インシデント対応設計
  • セキュア製品開発プロセス
  • 発注仕様書から納品まで
  • セキュア設計技術 その1
  • セキュア設計技術 その2
  • 設計環境整備と健全化管理
  • 品質保証と顧客サポート
  • 攻撃側の視点と対策 機密情報
  • 試験評価の方法
  • リモートサービス
  • 脆弱性情報管理 その1
  • 脆弱性情報管理 その2
  • 脆弱性情報管理 その3

機械ベンダにおける対策

  • 攻撃側の視点と対策
  • 脆弱性情報管理 その1
  • 脆弱性情報管理 その2
  • 脆弱性情報管理 その3
  • 設計環境整備と健全化管理
  • 設計仕様で対策できること
  • 試験評価の方法
  • セキュア製品開発プロセス
  • セキュア設計技術 その1
  • セキュア設計技術 その2
  • 発注仕様書から納品まで
  • 品質保証と顧客サポート
  • インシデント対応設計
  • リモートサービス

システムインテグレータ

  • 仕様書からの対策範囲設計範囲の読み取り

アセットオーナー技術

  • セキュリティ5Sの進め方
  • セキュリティ5Sの事例 その1
  • セキュリティ5Sの事例 その2
  • セキュア改善
  • 現場用セキュリティ製品 その1
  • 現場用セキュリティ製品 その2
  • 現場用セキュリティ製品 その3
  • 【前編】インシデントフローチャート作成
  • 【後編】インシデントフローチャート作成
  • インシデント対応実践・復旧作業

初心者の為の制御システム講座

  • 制御システムの種類と規模 その1
  • 制御システムの種類と規模 その2
  • 業界別法規制

用語集

  • 用語集「インシデント(Incident)」
  • 用語集「セキュア改善」
  • 用語集「セグメント/ゾーン」
  • 用語集「パスワード(Password)」
  • 用語集「パッチ処理/オンライン・パッチ処理」
  • 用語集「ホワイトリスト方式」
  • 用語集「マルウェア」
  • 用語集「ログ機能」
  • 用語集「DMZ(DeMilitarized Zone)」
  • 用語集「IDS/IPS」
  • 用語集「IEC62443」

これらの講座を自由に受講できるとは言っても、どのように受講していくか悩まれる方のために、以下に学び方の一例をあげておく。

4. 受講を検討される方に

以上、制御システムセキュリティ対策E-learning教育ビデオ講座についてお話ししてきましたが、実際にどんな内容なのかについては、お試し視聴体験ができるので、各サイトでの案内を見ていただきたい。

一般社員のためのCIIE: https://e-learning.beamsv.jp/top/pc/index.html
技術者のためのeICS: https://ics-lab.com/e/

気楽に各サイトを訪問してお問合せください。

<注:詐欺サイトや海賊サイトにご注意ください。>