2020/1/21

産業制御システムセキュリティのいま。そしてこれから(3)

  • このエントリーをはてなブックマークに追加

ビル管理システムがサイバー攻撃を受けることを仮定し、サイバートラスト株式会社は、あらゆるペネトレーションテスト(侵入検査)を実施して対策を講じている。最新の攻撃シナリオと、それに対するソリューションを同社の宮坂氏から伺った。

サイバートラスト株式会社
営業本部 セキュリティプロモーション統括部
セキュリティマネジメント部
部長代行
宮坂 裕大
Yudai Miyasaka


※所属・肩書などは、2019年10月取材時のものです。

どんなシステムにも必ず潜むサイバー攻撃のリスク、攻撃シナリオの先を考えたソリューションの現在形



ITシステムへのペネトレーションテストだけでは不十分

ーーペネトレーションテスト(侵入検査。以下、ペンテスト)というと、WebサイトやネットワークシステムなどのITシステムを対象とするものと考える人が多いと思うのですが、貴社が提供しているビル管理システムを対象とするペンテストとは、どのようなものですか。

宮坂:弊社はこれまで、ITシステムに対するペンテストサービスを提供してきました。しかし近年は、ビル設備にIoTの仕組みを用いるようになり、センサーを使ってさまざまなデータを得るようなシステムが普及してきたことで、従来行っていたITシステムだけではなく、ビル設備に対するペンテストもニーズが高まっています。そのため弊社ではビル設備に対するペンテストを、新たなサービスとして開発しました。

ーーITシステムへのペンテストとの違いは何でしょうか。

宮坂:大きな違いは攻撃シナリオです。ITシステムへの攻撃では、対象となるサーバー上に置かれている重要データを奪取することが一番の目的になるのに対し、OT(運用技術)システムでは、機器を停止させたり、不正に動かしたりすることが攻撃の目的になります。ビル管理システムは、空調や照明、入退管理のゲート、自家発電機、エレベーターのような運搬機まで制御していますから、それらを不正に動かされることで、人命に関わるような事故につながることもありえます。

ビル管理システムでは多岐にわたる機器や設備を管理・監視します。電力設備や空調設備、防災・防犯など人的コストとなっていた多くの管理をオートメーション化することが目的となっているため、利便性や費用対効果は非常に望めますが、それに伴いサイバー空間における脅威も肥大化してしまう傾向にあります。

ーーテストはどういう手法で行うのですか。

宮坂:内部ネットワークにあるビル管理システムを攻撃のゴールとし、3段階くらいのセキュリティ対策が講じられていることを想定し、侵入経路のシナリオを作ります。最初は、外部のネットワークから侵入を試みるのですが、大抵はファイアウォールが2つくらい配置されているので侵入できません。次に、これらファイアウォールの内側からの攻撃、たとえば社外の人でも物理的に入ることが可能な会議室のネットワークに端末を接続し、そこからビル管理システムへ侵入を試みます。そして最後に、一般の従業員が接続できるネットワークから侵入できるかを試みます。

ーーそのようなシナリオを用意しているということは、正しい手続きを踏んで応接室などに入室した来客や、一般従業員による攻撃の可能性を想定しているのですね。攻撃者の目的は何なのでしょうか。

宮坂:産業スパイの可能性もありますし、目立つことをして目をそらし、別の大きな攻撃のカムフラージュに使う場合もあります。また、重要なインフラに対してダメージを与えてみたいということが、最近の攻撃者の傾向だと思います。



一大イベントを控えた今、狙われやすい業界

ーー産業制御システムがサイバー攻撃を受けると、具体的にどのようなことが起こるのでしょうか。

宮坂:いずれも海外のものですが、実例をご紹介します。米国ラスベガスのカジノでは、店内のディスプレイとして設置されていた水槽に利用していたスマート水温計から内部ネットワークへ侵入され、重要な顧客リストが奪取されるという事件が発生しました※1。 ほかにも、照明システムに侵入して、ビルを巨大なゲーム画面のように見せた事例もあります。これはデモンストレーションのようなものですが、行っていることは通常のサイバー攻撃と変わりありません。

もっと深刻な事例もあります。2015年にはウクライナで電力システムが攻撃されて2度停電してしまいました。この攻撃の目的は停電させることだったのですが、そもそも外部のネットワークからアクセスすることが可能になっていたわけなので、その気になればシステムを破壊することもできたわけです。

国内ではまだ、人命に関わるような事例は起こっていないように思いますが、そのような事件が起こるのも決して遠い話ではないでしょう。

ーー攻撃の手口も変化してきているのでしょうか。

宮坂:従来一般的だったのは、物理的な侵入とITを使ったハッキングを併せたものでした。例えば、従業員が内部のネットワークに入り込んで踏み台になるものを作り、それを外部から制御するというものです。ところが最近はITのみ、つまり内通者なしで、ハッキングできる事例が出てきています。さきほど紹介した電力システムの例もそうです。

ーーもっと身近な環境では、どのような攻撃が考えられるのでしょうか。

宮坂:これも海外の事例ですが、鉄道会社のOTシステムが攻撃されて、駅の改札が制御不能になったことがあります。システムが復旧するまで、鉄道会社は改札を開放せざるを得なくなり、金銭的な被害を受けたものの、列車が通常通り動いたのは不幸中の幸いでした。改札は多くの人が通る場所ですから、パニックや人身事故を起こす事態にもなりかねません。

現在、主要駅にはホームドアがついていますよね。あのホームドアは、何回開閉したかというようなデータを取っていたり、劣化を監視するためのセンサーが入っていて、メンテナンスのタイミングを計るために使っているそうです。ということは、そのデータをクラウドにアップロードするところが攻撃されると開かなくなったり、それが原因で電車に乗降できなくなる可能性もあります。

日本はここ数年、大きなイベントが目白押しなので、人の流れに関わる交通機関は狙われやすいかもしれません。



先進的なペンテストで判明する実例

ーー産業制御システムやビル管理システムがサイバー攻撃を受けると、社会の混乱につながることもあり得るのですね。攻撃を防ぐことはできるのでしょうか。

宮坂:今はAI(人工知能)が進化し、システムが半自動的に動作する場面も増えましたが、重要な局面において、システムが最終的な判断を下すところまでは、至っていません。最大限に効率化することはいいと思うのですが、特にOTの領域では、システムだけで制御する部分と、人の手で最後まで守る部分、その両方が必要だと思います。

ーーしかし、人にも心の弱さや操作ミス、判断ミスのような“脆弱性”はありますよね。

宮坂:人の手を介するのは煩わしいと思われがちですが、それによって守られてきた歴史もあります。弊社はインターネットの認証局でもあるわけですが、もっとも機密性が高いエリアには、必ず2名で入室する運用にしています。アナログ的ですが、不正を起こしにくい環境を意図的に作るのです。ITで合理化する一方で、人が介在する部分は少し面倒でも、ミスや悪意が発生しない状況を作る。それくらいのバランスでもいいように思います。

ーー貴社がペンテストを行って判明した脆弱性について教えてください。

宮坂:ある企業での実証実験なのですが、一般社員の方がアクセス可能なネットワークからテストしたところ、時間をかけさえすれば、ビルの管理システムへ侵入できる可能性があることがわかりました。

次に、一般社員の方が入れない制御室に入って試してみたところ、対象のシステムへの侵入に成功して、照明設備を制御できました。制御室なので、そう簡単に入室することはできないだろうと思われるかもしれませんが、メンテナンス業者なども含めると、入室ルールと実際出入りしている人はかなり違います。

その先のコアになる部分には、センサーから取得したデータをアップロードする設備を制御する機器があったのですが、ディスプレイをつないでみると、ログインした状態でスタートするようになっており、簡単に乗っ取られてしまう状態でした。しかも、そこからの命令には認証が不要なので、シャットダウンを指示すると実行されてしまうのです。アカウント情報やパスワードがなくても十分侵入できてしまうのです。

実証実験結果イメージ図


ーーそのテストでは、対策までできたのでしょうか。

宮坂:はい。アクセス制御の不備はすぐに対処できましたし、問題の機器は後日リプレースしました。このテスト自体が先進的なものだったので、問題がたくさん見つかりましたが、この企業では、テストの結果をもとに、ガイドラインを作成するなどの対策も行っているので、実証実験としての役割は十分果たせたと考えています。

攻撃シナリオの先を考えた対策を

ーー近年は「セキュリティ・バイ・デザイン」、すなわち、設計段階からセキュリティを確保するという考え方が一般的になっていますが、産業制御システムやビル管理システムでは、それを実行するのは難しいですね。

宮坂:ビル設備は導入したら、10年、20年は変えられないことが多く、ペンテストで問題になったのは、そのような箇所でした。長年入れ替えないということはセキュリティホールがずっとあり続けるということです。

サイバー攻撃はどんな会社でも工場でも必ず受けるものです。その“攻撃された”というシナリオの先を考えて対策方法を提供するのがわれわれの使命だと思っています。産業制御システムの世界では、まずゼネコンと設備ベンダーという存在があり、そこに新しくわれわれのようなITの担当が新しい技術を持ち込むわけですが、これらが密に連携することが必要だと思います。

弊社もさらに製品やサービスを開発していかねばならないでしょう。具体的なものとしては、堅牢な通信網、認証技術、アナログによる制御など、別の要素で安全を担保するのも対策の1つです。ほかにも、リスクアセスメントという手法を使って脆弱性を埋めていく方法もありますし、最近われわれが始めた「EM+PLS(イーエムプラス)※2」という長期サポートのプログラムでは、組み込みOSのサポートも始めており、社会インフラや産業分野のシステムの長期間運用を支えていきます。

ーー攻撃の影響が大きいわりに、このようなサービスの認知度はまだ低い印象があります。今後いっそう求められるようになりそうですね。

宮坂:弊社では実際のペンテストの内容や結果を公開していますが、機密性の高い情報ですし、業界でもなかなか情報公開されません。とはいえ、弊社のクライアント企業からは、「うちにもやってほしい」と問合わせをいただくことがあります。そういった企業はたくさん設備を持っていて調査もされているようですが、社内だけでやるのは難しいだろうと思います。そうした場合には、弊社のようなセキュリティ企業をお使いいただくことも選択肢の1つではないでしょうか。

ビル管理システムのペネトレーションテストに関するお問合わせはこちら からお願い致します。

関連コンテンツ

産業制御システムセキュリティのいま。そしてこれから
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(前編)
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(後編)
  装置の交換、OSのバージョンアップ……脆弱性対策が難しい現場がリスクを低減するには
  どんなシステムにも必ず潜むサイバー攻撃のリスク、攻撃シナリオの先を考えたソリューションの現在形
  (準備中)IoT機器へのサイバー攻撃に対抗する4つのソリューション、イスラエル発「VDOO(ヴイドゥー)」の実力
  (準備中)セキュリティはコストではなく「投資」、利益や生産性を確保するためにいまできること


情報セキュリティコラム一覧
  https://www.dnp.co.jp/biz/theme/security/index.html

人気の記事