2019/12/18

産業制御システムセキュリティのいま。そしてこれから(2)

  • このエントリーをはてなブックマークに追加

金融や産業制御システムのセキュリティベンダーである株式会社ブロードバンドセキュリティでは、数々のリスクアセスメントを提供。脆弱性の報告はもちろん、顧客の実情に即したリスク低減策を提案している。それらサービスの内容を、同社の山田氏から伺った。

株式会社ブロードバンドセキュリティ
高度情報セキュリティサービス本部
副本部長
山田 伸和
Nobukazu Yamada


※所属・肩書などは、2019年10月取材時のものです。

装置の交換、OSのバージョンアップ……脆弱性対策が難しい現場がリスクを低減するには



電力、水道、石油、防衛、自動車や半導体の工場までもが感染

ーー今、産業制御システムが直面する脅威には、どのようなものがありますか。

山田:サイバー攻撃の対象となりうる産業制御システムというと工場の製造ラインやライフラインの制御システムですが、最近は政府でも重要インフラ、たとえば経済産業省の管轄では、石油化学プラント、国土交通省であれば空港設備といった施設を重視しています。その理由は2020年の国際的な大型イベント。われわれも過去のこのイベントで起きたサイバー攻撃を調べましたが、2020年にも大規模な攻撃があると予想しています。

ーー産業制御システムへのサイバー攻撃の事例を教えてください。

山田:世界的な事例から紹介します。最も有名なのは2017年5月に現れた「Wannacry(ワナクライ)」というランサムウェア※1で、これが政府、病院、工場などのシステムに感染し、コンピューターのディスクが暗号化されて身代金を要求されました。2016年にはロシアやウクライナの電力システムが攻撃された停電。ほかにも、トルコの石油パイプライン、ドイツの製鉄所、サウジアラビアの石油施設、イランの防衛施設・電力施設、米国の水道施設などで攻撃を受けた事例があります。

一方、IPA(情報処理推進機構)に報告された国内の事例では、自動車や半導体の生産工場で、マルウェアに感染してラインが停止したものがあります。こうして公表されているのはおそらく氷山の一角で、実際はもっと多くの事例があるでしょう。このような攻撃が観測されたのは、2010年以後だと思います。

ーー攻撃のシナリオにはどんなものが考えられるでしょうか。

山田:今年の7月以降、標的型攻撃メールでランサムウェアをはじめ、マルウェアが送りつけられる事例が増えていて、攻撃パターンも多様化しています。工場のLANは、間にルーターやファイアウォールを挟んでITシステムにつなげるネットワーク構成が多いですが、最初にITシステムが攻撃されて感染し、内部の防御をすり抜けて、産業制御システムの機器まで感染するというのが想定されるシナリオの1つです。

ーー産業制御システムのネットワークの中でメールを扱う可能性もありますか。

山田:多くはないと思いますが想定はしています。最近は制御系システムでもエンベデッドOSとしてWindowsやLinuxが採用されることが増えていて、監視するクライアントにも使われます。そういった端末はインターネットにもつながれることが多いので、直接、標的型攻撃メールを開いてしまう可能性があります。

さらに製造業のお客さまでは、OT(運用技術)の担当者とITの担当者がきちんと連携していない場合があります。このような環境で現場の判断だけでいろいろな装置を入れて、ベンダーにリモートで保守してもらうためにネットワーク接続すると、それがバックドアになってしまい、標的型メールで送られたマルウェアなどが侵入するケースが考えられます。

一般に、ITシステムのライフサイクルは3~5年ですが、OTシステムでは10~20年が一般的です。セキュリティよりも可用性が重視されるので、装置自体に脆弱性があったとしても簡単には交換できません。結果、ファームウェアやエンベデッドOSのバージョンアップなどにはUSBメモリが使われるケースが多くなりますが、検疫が徹底されないなどの理由でマルウェアが持ち込まれてしまう場合もあるでしょう。

ーー工場にある制御用PCのアップデートは、工場の技術担当者ではなくベンダーが実施しますね。ということは、サプライチェーン攻撃、つまり機器メーカーが先に汚染されて工場へ感染する可能性があるのですね。

山田:産業制御システムのベンダーもセキュリティを考えているとは思いますが、可用性のほうが重視されますし、サイバー攻撃の最新状況までは知らないようですので、危機意識が低いような気はします。

ITシステムのリスクアセスメントとの違い

ーーブロードバンドセキュリティ社として産業制御システムを守るサービスにはどのようなものがありますか。

山田:大きく分けて3つのセキュリティ対策があります。リスクアセスメント、SCADA guardianという装置を使った資産と脆弱性の可視化、そして脆弱性診断をもとにいろいろなサービスを組み合わせて総合的に実施する対策です。

ーーリスクアセスメントの方法について教えてください。

山田:国内外の産業制御システムに関するガイドラインの要求事項や、近年のサイバー攻撃の動向や脅威を踏まえたうえで、われわれが独自に開発したフレームワークを使います。参考にしているのは、NIST(米国標準技術研究所)のサイバーセキュリティフレームワーク、NISTの産業制御システムセキュリティのガイドラインであるNIST SP800-82および53、また、ISMS(情報セキュリティマネジメントシステム)に対してCSMS(制御システムセキュリティマネジメントシステム)と呼ばれているIEC62443、IPAのガイドラインなどです。さらに、担当官庁が重要インフラごとに出している安全ガイドラインがありますが、ベースになっているのはNISC(内閣サイバーセキュリティセンター)が発行している政府統一基準です。

ーーITシステムのリスクアセスメントとはどのような違いがありますか。

山田:最大の違いはフレームワークです。まず、先ほど申し上げたフレームワークに基づいて評価シートを作り、弊社のコンサルタントが伺ってインタビューを行います。また、セキュリティに関わる文書のレビューも行います。

また、工場のネットワーク図や構成図をもとにお客さまと話し合いながら、できるかぎり実機を確認して、セキュリティの設定などを精査します。加えて、物理セキュリティの部分もありますので、工場を視察したり、アセスメントをしたりして、産業制御システムに潜むセキュリティリスクを可視化します。

ーーネットワーク図や構成図が、実際にはないという場合も想定されていますか。

山田:ITシステムをご担当されている部署からいただく場合もありますが、まったくドキュメントが用意されていないことも多々あります。その場合は資産をきちんとリスト化するところから始めることをおすすめしています。そのために弊社ではSCADA guardianという製品を扱っています。

ーーSCADA guardianとはどのような製品ですか。

山田:スイスのNozomiNetworksという会社が開発している製品です。ITシステムにおけるセキュリティ機器としてIDS※2というものがありますが、そのOTシステム向け製品だと思ってください。ITシステムで使っているIDSやIPS※3では産業制御システムで使われている独自のプロトコルに対応できませんが、SCADA guardianは、TCP/IPプロトコルだけでなく、産業制御システムで使われているメーカー独自のプロトコルの通信も可視化できます。こうした対応プロトコルは約60あります。

ーーブロードバンドセキュリティ社でこれを扱う目的は何でしょうか。

山田:主たる目的は機器の販売や貸出ではなく、産業制御システムのリスクアセスメントを行う上で、資産と通信を可視化するプロセスをこれで代替することです。さらに、定常的に設置していただき、セキュリティオペレーションセンターで監視してセキュリティインシデントを発見し、ケースによってはセンターからのオペレーションで防御することも考えています。

ーーこれを使った運用はどのようになりますか。

山田:ネットワークの規模や拠点の数にもよりますが、正常なデータを取るには、1拠点の工場で1~1.5か月程度設置する必要があります。分析は、機器を持ち帰って弊社内で行います。レポートは既知の脆弱性とも照合できます。ネットワーク構成が把握できていない場合のほかにも、ファイアウォールの設定が不安だというような場合に使うこともあります。

ーー報告したリスクアセスメントの結果は、どのように活用していただきたいですか。

山田:課題の一覧表という意味でも、結果はお渡しします。もちろん、お客さまがそのすべてに対策を立てられるわけではありませんし、脆弱性があることを知ったうえでシステムをそのまま使い続けられるお客さまもいます。目的は、脆弱性があることを認識してもらうことなのです。対策のお話もさせていただきますが、装置の交換やエンベデッドOSのバージョンアップが難しい場合でも、リスクを低減するところまではご提案したいと考えています。そういう局面では、これまで多くのケースを経験してきたわれわれの知見を活かすことができるでしょう。また産業制御システムにおいても、ログの収集、分析、監修は必要です。根本的な対策ができなくても、モニタリングの強化や検疫ツールの導入など、リスクを低減できることは多いと思います。

ーー脆弱性診断の対象はどのように決めますか。

山田:リスクアセスメントの場合も同様ですが、工場のネットワーク図やシステム構成図を拝見して対象範囲を決め、診断対象を選び、お客さまとの合意で実行するのが基本です。実際はケースバイケースです。

分かれ目は「情報システム系との接続」

ーー脅威を最小化する工程が数年がかりになった場合、一番良いシナリオはどのようなものですか。

山田:OTシステムとITシステムがつながっているかどうかが分かれ目になるでしょう。多くの場合はつなげていないと思いますが、その場合は、資産の可視化、脆弱性の把握、USBなどを使う場合のルール作り、そしてログの一元管理によるモニタリング強化、という順番になります。クローズドといいながら実際はインターネットにつながっている場合もあるので、モニタリングは必要です。お客さまのITシステムのご担当部門で分析していただいても結構ですし、弊社がお手伝いすることもできます。

一方、ITシステムとつなげている場合は、まずOTシステムとの間にファイアウォールを導入するのが最優先です。ITシステムとインターネットの境界にしか設置されていない場合があるからです。次に、そのファイアウォールのセキュリティ設定をアドバイスさせていただきます。そして、ログによるモニタリング強化となります。ログ分析は、少なくとも3か月に1回くらいは必要でしょう。

ーー最後に、ブロードバンドセキュリティ社の今後の展望をお聞かせください。

山田:弊社には金融系専門のセキュリティベンダーというイメージがあると思いますが、今後は製造業のお客さまにもいろいろなセキュリティ対策をご提案していきたいと考えています。

  • ※1 ランサムウェア:
    Ransom(身代金)とSoftware(ソフトウェア)を組み合わせて名付けられたマルウェアの一種。
    コンピューターに保存しているデータを、勝手に暗号化して使えない状態にし、それにより端末を操作不能にすることもある。
  • ※2 IDS( Intrusion Detection System):
    侵入検知システム。システムやネットワークに対する外部からの不正なアクセスを検知し、通知するシステム。
  • ※3 IPS(Intrusion Prevention System):
    侵入防御システム。システムやネットワークに対する外部からの不正なアクセスを検知し、攻撃を未然に防ぐシステム。

産業制御システムのリスクアセスメント、SCADA guardian、脆弱性診断に関するお問い合わせはこちら からお願い致します。

関連コンテンツ

産業制御システムセキュリティのいま。そしてこれから
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(前編)
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(後編)
  装置の交換、OSのバージョンアップ……脆弱性対策が難しい現場がリスクを低減するには
  (準備中)どんなシステムにも必ず潜むサイバー攻撃のリスク、攻撃シナリオの先を考えたソリューションの現在形
  (準備中)IoT機器へのサイバー攻撃に対抗する4つのソリューション、イスラエル発「VDOO(ヴイドゥー)」の実力
  (準備中)セキュリティはコストではなく「投資」、利益や生産性を確保するためにいまできること


情報セキュリティコラム一覧
  https://www.dnp.co.jp/biz/theme/security/index.html

人気の記事