2020/2/12

産業制御システムセキュリティのいま。そしてこれから(5)

  • シェア
  • このエントリーをはてなブックマークに追加

大日本印刷の100%子会社 株式会社サイバーナレッジアカデミーでは、イスラエル・エアロスペース・インダストリー社の訓練システム「TAME Range(テイムレンジ)」を活用し、サイバー攻撃への対応を訓練するサービスを提供している。その具体例を、同社のサンジェと松山から聞いた。

株式会社サイバーナレッジアカデミー セキュリティコンサルティング部
左:部長 アグナニ サンジェ(Sanjay Agnani)、 右:松山 哲也(Tetsuya Matsuyama)

※所属・肩書などは、2019年10月取材時のものです。


セキュリティはコストではなく「投資」、利益や生産性を確保するためにいまできること



隔離された環境からネットワークへの接続で、産業制御システムに対する攻撃リスクが高まった

ーーIT(情報技術)とOT(運用技術)が、IoT(Internet of Things)、なかでもIIoT(Industrial IoT)の時代になって融合してきています。この事業環境の変化は、サイバーセキュリティの視点からはどのように捉えられますか。

サンジェ:もともとOTの現場で使っていた機器やソフトウェアは特定用途のものが多く、外部と接続することもほとんどなかったので、サイバー攻撃に対する脅威はとくに問題視されていませんでした。それが90年代になってコスト削減や集中管理・集中監視の目的で、WindowsやLinuxのような一般に使われるシステムが導入され、オンサイトサポートが遠隔サポートに変わってきました。

さらに近年は、CO2削減やSDGsの目的から効率や安全性の見える化を目的に、クラウドとつながるセンサーを入れるなどの動きがあります。このように、OTの現場が徐々に外部ネットワークとの接続が求められるようになって、脅威が現実のものとなり、攻撃を受けやすい環境に変わったといえます。


ーーITとOTでは、セキュリティ対策に違いはありますか。

サンジェ:ITシステムのセキュリティ対策で最も重要なことは、情報漏洩を防ぐことです。となると対策は、外部との接続を切ることや、システム自体を止めることになります。一方OTの場合は、最も重要なことは現場の安全性を確保すること、それに工場などではラインを止めないことです。安全性の面から見てもシステムは急に止められません。

ーーOTを守る人材が、習得すべきスキルは何ですか。

サンジェ:まずは、現場をきちんと把握、理解することが重要です。使われている機器を運用面から理解するだけではなく、どの年代のものか、特徴は何か、潜在的なセキュリティの欠陥は何か、そういうことをまず理解する必要があります。

さらに、OT環境ではさまざまな業界や、政府機関、国際機関のレギュレーションがあります。とくに重要インフラの場合はセキュリティのガイドラインも決められているので、それに基づいて作業することが求められます。

ーーOTの担当者、たとえば工場の技術部門の人がセキュリティを考えるのか、ITのセキュリティ経験者が工場を見るのか、どちらが良いと思いますか。

サンジェ:OTの機能や運用をきちんと理解して対策を考える必要があるので、相互に情報交換して最適解を探す必要があるでしょう。OTの担当者にセキュリティを考えてくださいといっても、そもそもそういう知識がありません。

逆にITの担当者がOTの現場へ入ると、負荷をかけすぎて製造ラインの運用や人の安全性に影響する可能性があります。たとえば、ITシステムで一般的なペネトレーションテストは、工場の製造ラインではリアルタイム性に悪影響を与えかねません。

一番怖い攻撃は、気づかないうちにデータを盗み出すもの

ーーOTシステムが攻撃を受けると、どのようなことが起きるのでしょうか。

サンジェ:過去の事例から考えると、通信の間に入り込んで命令を書き換えるとか、監視コンソールに表示される情報を書き換える、操作するシーケンサーの中身を書き換えるといったことが考えられます。

ーー攻撃者の意図にはどのようなものが考えられますか。

松山:まず、攻撃者のレベルがいろいろあります。いたずら目的の低レベルなものもありますが、高度なものになると、政府や軍のレベルと予想されます。とくに東欧では、システムを破壊する、物理的にモノやサービスを止める、電力システムを止めるといった、敵対国を混乱させることが狙いとみられる事例もあります。


サンジェ:もっとも、たとえば日本のように昔からいろいろなシステムを使ってきたところでは、手動を自動に置き換えるという流れでやってきているので、手動で対策が取れることもあります。安全第一で構築されている技術が多いことも守る側には有利です。

攻撃で一番怖いのは、システムを止めるものよりも、気づかないうちにデータを盗み出すものです。高度な攻撃には破壊型と情報収集型があって、後者では先進国の産業の情報を盗んで自分たちも同じモノを作るとか、情報を第三国に売る場合があります。

ーー工場の製造ラインの情報を盗んで転用できるのですか。

サンジェ:世界中で同じようなモノを作っていますが、高品質な製品を作るには高度にチューニングされた製造ラインが必要になります。しかしそのチューニングされたデータが手に入れば、同じような機械を買って運用できるでしょう。

ーー情報が盗まれても気づかれていないケースは、国内でもすでにありえますか。

サンジェ:十分に考えられます。見える化されていない工場であれば、内部・外部どちらからの攻撃であっても、まったく気づいていないところもあるでしょう。海外ではリアルタイムで監視している場合が多く、ある程度の情報が漏れていることには気づいています。攻撃のプロセスがログに記録されていたり、攻撃に使われたツールが残っていたりすれば、あとからでも盗まれたことはわかります。あるいは、ある企業でしか作れない製品を無関係の企業が作り始めたりしたら、盗まれた可能性を考えるべきでしょう。

ーー日本のものづくりを守るために技術情報も守れといわれますが、OTでも同じことなのですね。

サンジェ:そうですね。日本の場合は、設計や開発を国内でやって、それを海外の工場にある機械で製造するケースも多いので、現地の機械からも、情報を盗まれる可能性があります。国内の工場でも外国人労働者が増えていますし、きちんと運用ルールを作って徹底すべき時代になったと思います。

攻撃する側と守る側の両方を実践するカリキュラム

ーーサイバーナレッジアカデミーではITだけでなく、OT向けのコースを開いていますね。

サンジェ:弊社は、実践をベースにしたセキュリティ教育や人材育成を主に行っています。2017年9月からは、産業制御系基礎コースを始めました。ITのコースを受講された重要インフラのお客さまから「これからは日本でもOTシステムも重要なのに、ITとは文化が違うし現場がわからない」という要望をいただいて始めました。

ーー具体的にどんなことをやるのですか。

松山:コースの名前に「基礎」とあるように、ITとOTの両方で基礎的なことをきちんと身につけていただくことが目的です。まず、産業制御システムとは何か、ありうる脅威は何か、どのように防御するかという座学をします。そのあとでイスラエル製のトレーニングシステム「TAME Range」を使った実践演習を行い、知識を体得してもらうという構成です。全部で5日間あるので、網羅的かつ体系的に学べると思います。TAME Rangeを使った演習は海外ではかなり実績がありますので、今後はより高度なコースも追加する予定です。

産業制御系 仮想トレーニング環境図
  *1 Programmable Logic Controller:工場などで用いられる制御装置
  *2 Human Machine Interface:機械とオペレーターの接点となる入出力装置
  *3 Historian:産業制御分野で用いられる、データ収集・蓄積システム


ーーどんな方々が受講されるのですか。

松山:現状では、OTの担当者よりも、工場やプラントを所有する会社のIT担当者の方が多いですね。また、重要インフラ、とくに電力、鉄道、空港といったライフラインに関係するところは危機意識が高く受講される方も多いです。それ以外の産業では、お金を出して経営層に受講させるようなところまでは進んでいないようです。

サンジェ:日本の現場はすでにかなり効率化されているので、工場のチームには人的な余裕がありません。そこでまず、本社のIT担当者の方々をOTのサイバーセキュリティ担当にしているのが実態でしょう。政府の方針や海外の動きなども見て、経営層からの指示で受講するケースが多い印象です。OTの方が受講されるケースが多いのは、産業制御システムを作っている、または現場で運用しているエンジニアリング会社の技術者です。アウトソーシングされているケースが多いからでしょう。

ーー日本でOTのセキュリティを学べる場は少ないようですね。

サンジェ:機器メーカーが自社製品の運用やセキュリティを教育することはありますが、メーカーに依存しない、横断的に学べるものはないと思います。また、海外の資格取得を目標にする場合は知識偏重になりやすいです。

松山:弊社のコースは事例に基づき、攻撃する側と守る側の両方を実践することが特徴です。仮想環境上に構築した実際のシステムに触れることができ、知識のある人はさらに追究できるという点で、TAME Rangeを使った演習は非常に好評です。

セキュリティは利益や生産性を確保するための投資

ーーOTシステムのセキュリティは、これからどうなっていくと考えますか。また、その変化にどう応えていきますか。

サンジェ:この分野に特有の問題が2つあります。1つは、脆弱性があるといわれても、すでに安定稼働しているラインにハードウェアやソフトウェアを追加するのはとても厳しいこと。もう1つは、いま日本はコストを下げて現場を守ろうとしているので、追加投資も厳しい。ですから、運用でカバーすることが必要になります。

松山:OTのセキュリティは、最終的に売上や利益に結びつかないと普及しないでしょう。逆に、セキュリティはコストではなく投資である、利益や生産性を確保するためのものであるという認識が広がれば、普及も一気に進むのかもしれません。最初から、ビジネスモデルの中に組み込んでやっていくべきものだと思います。

サンジェ:新しい技術への対応も重要です。たとえば、Wi-Fi 6や5Gで無線通信が高速化すると、遠隔地からすべての工場をリアルタイム管理するようなニーズも出てくるでしょう。それが利益につながることもあるでしょうが、有線でつないでいたところを無線に置き換えると、攻撃に気づかないことも増えるので、守る側の課題も増えるわけです。

弊社がいま準備している次の実践コースは、日本国内で利用されている機器も含めてビル管理システムに対する攻撃や防御の方法を実践演習することにフォーカスしています。来年は国際的な大型イベントもあり、ホテルのようなビル関係のインフラも今後さらに注目されるでしょう。弊社としては、従来の技術だけでなく将来の技術に対しても、体験したうえで守るコースを増やしたり、対応するサービスや製品を提供していきたいですね。

  • SDGs(Sustainable Development Goals): 持続可能な開発目標。17の目標と169の具体目標で構成されている。


関連コンテンツ

産業制御システムセキュリティのいま。そしてこれから
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(前編)
  日本の現場における「正常性バイアス」と「組織的な忖度」がサイバーセキュリティを阻害(後編)
  装置の交換、OSのバージョンアップ……脆弱性対策が難しい現場がリスクを低減するには
  どんなシステムにも必ず潜むサイバー攻撃のリスク、攻撃シナリオの先を考えたソリューションの現在形
  IoT機器へのサイバー攻撃に対抗する4つのソリューション、イスラエル発「VDOO(ヴイドゥー)」の実力
  セキュリティはコストではなく「投資」、利益や生産性を確保するためにいまできること

情報セキュリティコラム一覧
  https://www.dnp.co.jp/biz/theme/security/index.html

人気の記事