SQAT® Security Report 2020年春夏号
今やIoTシステムや制御系システムのセキュリティの問題は、経済的な損害だけでなく、社会的信用の失墜につながりうるものとの認識が一般的になりつつあります。特に、2020年はオリンピック・パラリンピックという国際的な大型イベントを控えており、大規模なサイバー攻撃が予想されます。こうしたイベント時に狙われる制御システムは、電気・ガス・水道や空港設備といったインフラ施設、石油化学プラントなどの制御システムなどがあげられます。
平成三十年4月にはサイバーセキュリティ戦略本部から「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」が公表されたものの、「サイバーセキュリティに係る保安規程・技術基準等」については未整備の業界も多く、省令の改正や国としてのガイドライン等の策定が急ピッチで進められています。こうした中、「IoTシステムや制御システムのセキュリティ」は、事業継続計画(BCP)において想定すべき主要なリスクの一つであり、経営責任が問われる課題として捉える必要があります。
産業制御システムのセキュリティとは? その現状
従来、製造業の制御系システムはインターネットに接続されていない独立系システム、いわゆる閉鎖系システムであるために安全と考えられてきましたが、近年状況が変化してきています。一般的に、OT(Operational Technology)のライフサイクルは10~20年と、ITに比べ長く、さらにシステムが停止することなく稼働し続けること(可用性)が最も重視されるため、装置自体の脆弱性が発見されたとしてもすぐに交換できません。パッチを当てるにしても操業を計画的に停止する必要があることなどから、ファームウェアやエンベデッドOS(産業用機械などに内蔵されるコンピュータシステムを制御するためのOS)のアップデートにUSBを使用するケースも少なくありません。しかし検疫体制が甘く、そこから感染してしまったという事例もあります。
さらに最近、利便性を考え制御系システムでもエンベデッドOSとしてWindowsやLinuxを採用されることが増えてきましたが、それらの端末がインターネットに接続されていることから、標的型攻撃などの脅威にさらされる機会が増えるという皮肉な結果を生んでいます(図1参照)。
出典:日経 xTECH EXPO オープンシアター講演資料
「情報システムのようにはいかない制御システムのセキュリティ ~サイバー攻撃手法から見る制御セキュリティ対策~」IPA セキュリティセンター 福原 聡
制御システムのセキュリティと一般的な企業の情報システムとは、その対象や優先度が大きく異なり、またセキュリティの基本であるCIA(機密性・完全性・可用性)の優先度も大きく違うため、単純にWebアプリケーションやネットワークのセキュリティ対策を当てはめるわけにはいきません。特に制御システムで優先されるリスク管理項目は「人命」「環境」であり、リアルタイム性も求められるのが大きな特徴です(表1参照)。
制御システムのインシデントでは2017年に起きたランサムウェア「WannaCry」が記憶に新しいでしょう。政府・病院・工場などのシステムに侵入し、コンピュータのストレージが暗号化されて身代金を要求された事件です。また、2019年にはランサムウェア「LockerGoga」により世界40ヶ国のコンピュータがサイバー攻撃を受け、ノルウェーのアルミ生産会社では、生産システムとオフィスITシステムが感染したため、手動生産に切り替えての操業を余儀なくされ、生産が大幅に減速されました。同じく、2019年の7月には南アフリカのヨハネスブルグで電力会社のプリペイド供給システムがサイバー攻撃により停止し、顧客が電力を購入できなくなる事態が発生しました。
産業制御システムのセキュリティフレームワーク
前述のように、OTはライフサイクルが長く、セキュリティよりも可用性が重視されるので、制御システムのアップデートもベンダが実施することが多いのですが、最新の脆弱性情報がOT担当者とIT担当者の間でスムーズに連携されず、結果として対策が不十分になっていることが散見されます。そもそも、IoTシステムや制御システムのセキュリティはフレームワークの違いもあり、専門家の知見によるリスクアセスメントが欠かせません。
汎用的な標準・基準として、ISMS(情報セキュリティマネジメントシステム)に対してCSMS(サイバーセキュリティマネジメントシステム)と呼ばれている制御システムセキュリティ基準 IEC62443-2-1がありますが、当社では、近年のサイバー攻撃の動向や脅威を踏まえた上で、独自に開発したフレームワークを使用しています。IEC62443に加え、NIST(米国標準技術研究所)のセキュリティガイドラインであるNIST SP800-82および53、IPAのガイドラインなどをベースとしています。(図2、表2参照)
事業継続のためにできること
冒頭にあげた「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」において、定期的な情報セキュリティリスクアセスメントの実施、サイバー攻撃の特性を踏まえた対応計画の策定などが求められています。
これらの重要インフラのシステムには先にみたように、一般的な情報システムのセキュリティ対策では対応できない部分も多くあります。まずはセキュリティリスクを可視化し、脆弱性があることを認識することが重要です。その上で脅威を最小化する方策を検討する必要があります。
可用性と人命・環境への配慮という2つの命題を実現するためにも、OT担当者とIT担当者が連携し、セキュリティの専門家を交えてセキュリティ体制を構築・運用していくことが欠かせません。当社では制御システムのリスクアセスメントをはじめ、CSIRT構築、セキュリティオペレーションセンターによる監視、ケースによってはセンターからのオペレーションで防御するところまでお手伝いしています。対策についても一般的なセキュリティ対策の提案だけでなく、装置の交換やエンベデッドOSのバージョンアップが難しい場合のリスク低減策もご提案いたします。
制御システムセキュリティのリスクアセスメントは、情報セキュリティ対策の第一歩である現状把握を行い、現状を踏まえた上で、セキュリティリスクに対する今後の対策を考えるためのファーストステップです。セキュリティ専門家の知見でこそできることがあります。事業継続のためにもまずはリスクアセスメントからはじめてはいかがでしょうか。
Security Report TOPに戻る
TOP-更新情報に戻る
