2016年 - VECサロン

村上 正志

VEC事務局長 / 株式会社ICS研究所 村上 正志

VEC(Virtual Engineering Community)事務局長

  • 1979~1990年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。
    *関わった火力発電所は、北海道電力(苫東厚真、伊達)、東北電力(新仙台、仙台、東新潟)、東京電力(広野、姉ヶ崎、五井、袖ヶ浦、東扇島)、北陸電力(富山新港)、中部電力(渥美、西名古屋、知多、知多第二)、関西電力(尼崎、御坊、海南、高砂)、中国電力(新小野田、下関、岩国)、四国電力(阿南)、九州電力(港、新小倉、川内)、Jパワー(磯子、松島、高砂)、日本海LNG など
  • 1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。
  • 1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。(2004年よりシュナイダーエレクトリックグループ傘下に属す)また、1999年にはコーポレートコーディネーション/VEC(Virtual Engineering Company & Virtual End-User Community)を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。
  • 2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。
  • 2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。
  • 2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。
  • 現在活動している関連団体及び機関
    ・公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術審査員
    ・経済産業省の産業サイバーセキュリティセンター講師
    ・日本OPC協議会 顧問
    ・制御システムセキュリティ関連団体合同委員会委員
    ・日本能率協会主催「計装制御技術会議」企画委員

2016年

企業にとってのIoT社会とサイバーセキュリティ対策の意味

IoT社会への参加はするが、投資になるサイバーセキュリティ対策は、控えているという経営方針は、いかがなものであろう。

私たちが世界史で学んだ中で、「大航海時代」が15世紀中ごろから始まっている。なぜ、大西洋、インド洋、太平洋を渡ることができたのか。コロンブスが新大陸(実際には島だったが)を発見したから? いえいえ、船の構造が変わったからであり、航海術が急速発展したからです。大航海時代は、世界の港を船でつなげることで物流が大きく変わりました。ビジネスの規模が変わりました。大航海時代になって障害になったことが、海賊の登場です。それまで海賊は海岸近くを通る船を襲っているものでしたが、大航海時代になって、大海原をまたにかけた海賊船(パイレーツ)が登場した訳です。商船も武装するようになったり、海軍が守る護送船団を組んで航行するようにもなったりしまった。それが英西戦争や、英仏戦争や、英蘭戦争などになっていった歴史でもある。現代、IoTは情報通信の大航海時代なのかも知れない。

ここから、現代の現実の話に変わっていきますが、米国のエネルギー業界においては、2003年に発生した発電所監視システムを標的にしたサイバーインシデントで265の発電所で、508ユニット分の発電機が停止(61,800MW相当)した事例で「SCADAシステムのアラームプロセッサー障害により、オペレーターが適切に運用できず」トリップに至ったことなど深刻な事態があった。その後も原子力発電所が緊急停止したり、化学プラントが爆発したりのサイバー攻撃事故が発生している。
米国以外では、2011年8月に日本の医薬品製造会社が、サイバー攻撃により80万ドルの損害を出した。2014年12月にドイツの鉄鋼所が制御システムへのサイバー攻撃で操業停止に至った事件、2016年1月にウクライナの70万世帯の電力がサイバー攻撃により停電する事件などが発生している。どこの国化も明かされていないが、2016年3月に水処理施設で化学薬品の量を決めるIBM AS/400システムがサイバー攻撃を受けて、化学薬品の量を変更されて、SCADA制御システムが制御してしまったという報告も公開されている。

サイバー攻撃手法においては、2003年以後も様々なWormがインターネット上で発見され、2010年にはStuxnetが登場し、その後、Shamoon、Ransomware、Dragonfly、PLC Blaster Wormなどが明らかとなっている。最近では、2016年4月には、公共事業会社ランシング電力が、Ransomware攻撃により施設内のコンピュータシステムをオフラインに落とされ(自動から全手動に)、操業停止に至った。

2011年には米国ICS-CERTのインシデント対応件数が増えてきたこともあり、2012年にエネルギー業界の制御システムを対象のNERC CIPが出され、2014年には罰則法令が執行された。その後、その法対応を怠って罰則金を払えず倒産した電力会社もある。

国内の重要インフラでは、日本政府が出している「サイバーセキュリティ基本法」(2014年11月6日成立)、「サイバーセキュリティ2015」、「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」(第4版)(2015年5月25日)、「重要インフラの情報セキュリティ対策に係る第3次行動計画」(2015年5月25日)、「サイバーセキュリティ経営ガイドライン」(2016年12月28日)、「サイバーセキュリティ2016」(8月に閣議決定予定)をベースに、電力業界、石油業界、化学業界などプラント系の制御装置で使用するDCSに求められるセキュア仕様を具現化していかなければならない。

制御システムセキュリティを取り上げた国際標準規格整備機関では、サイバー攻撃の手法などを研究し、その対策におけるセキュア検証の評価基準を規格化したIEC62443が2011年あたりから制定を急がれ、それにかかわったエキスパートを持つ制御ベンダは、自社の工場の制御システムセキュリティ対策を2012年から2014年にわたり実施してきた。
DCSやPLCの製品だけの強化だけではなく、DCSやPLCなどコントローラが置かれている環境やそれを使って操業する環境についての制御システムセキュリティ対策を含めて、DCS製品のセキュリティ仕様をまとめていく必要がある。
中央操作室では、連続操作が基本で、安全操業のための緊急操作ができるようになっていなければならない。そういった機能安全など安全操業を目的とした操作の可用性を優先する。さらに、安全性を脅かすサイバーセキュリティ検知条件を安全シーケンスに加えることも今後検討していくことが求められている。
制御コントローラがある計算機室の制御装置キャビネットは、鍵をかけてセキュリティ管理を行っているが、定期改修工事実施時に外部業者が点検作業や改造工事のために計算機室などへ入ってPCやデバイスを使った作業を実施するなどの現場管理面とコントローラ製品を扱った作業面でのセキュリティ管理についての課題も存在する。
コントローラを標的にしたサイバー攻撃に対してどのような攻撃が技術的に、現場の機会的に存在するのかも考慮することになり、更に、サイバーインシデント検知機能とその後の回復作業を考慮することもNERC CIP及びIEC62443-4には記載されている。

2016年8月2日に、内閣サイバーセキュリティセンターNISCから、「企業経営のためのサイバーセキュリティの考え方」が出されました。
http://www.nisc.go.jp/conference/cs/jinzai/wg/index.html

IoTを取り入れて企業連携を作り出し、今までにないビジネスの世界を作り出すには、サイバーセキュリティ対策に投資をして、安全でより高度な企業価値を作り出すことであり、より発展した社会を創り出すことに寄与することにもなり、今後の企業の取り組みとして重要であることを説いている。
企業リスクには、リスク予測損失、リスク評価損失、内部失敗損失、外部失敗損失の四つを考えてリスクマネージメントしていく必要があるが、サイバーセキュリティ対策は、リスク予測損失とリスク評価損失の二つに加わる投資である。その目的は、内部失敗損失や外部失敗損失を低減することであり、初期投資を越えるとリスク予測損失とリスク評価損失としても削減できる投資であることに気付いていただきたい。それに、IoT時代になっても、安全レベルを上げることで企業価値は、高く評価される時代になっていくことは、想定できる範囲と思います。

“IoT時代に船出するには、企業強化対策が不可欠です。”