社団法人 日本電気制御機器工業会

講演①「Security product & process management for industrial automation systems」

Manager Industrial Security, Siemens AG Mr. David Heinze

Dr. Uli Wienrich

近年、生産現場でIT技術は重要な役割を果たしており、制御システム同士をつなぐネットワークや、生産管理などを行う情報系のシステムとの通信にもTCP/IPなどのオープンで標準な技術が導入されている。そのため、生産現場も情報セキュリティと同様のサイバー攻撃の脅威にさらされており、セキュリティ対策が一段と重要になっている。

 ICS-CERTの公表によると、2009年から2011年までに公開されているインシデント対応(脆弱性情報)は4倍となっている。指摘の多い業種は水処理、化学プラントなどであり、重要インフラを守るための対策の必要性が高まっている。脅威の解析を行うと、一定年毎に新しい傾向が見られる。2001年頃は愉快犯的ハッキングの時代。2005年頃からは金銭を要求するようなマルウェアが登場。2009年頃になるとハッカー集団”アノニマス”に代表される政治目的、基幹インフラをターゲットにした攻撃が見られるようになった。一方、2010年には生産現場を対象にした最初の標的型攻撃ウィルスStuxnetが登場した。2012年にはネットワークに接続している機器を検索可能なSHODAN(ハッカー向け検索エンジン)が登場した。特にStuxnetは特定工場の特定製品のみを攻撃対象としたものであったが、サイバー攻撃の対象外だと思われていた生産現場が、USBメモリ1本でダウンすることがあるということで、業界全体に大きな警鐘を鳴らした。

このような現状において、生産現場を守るには大きく2つの手段がある。1つ目は攻略できない大きな壁を作る方法である。この場合、メンテナンスが楽だが一度壁を破られてしまうと内部の感染が容易に拡大する。2つ目は複数のレイヤで工場全体を保護する方法である。この手法は、複数のセキュリティベンダがそれぞれに対策を施すため、費用がかかるが攻撃には手間と時間がかかる。SIEMENSもこの考えに基づき3層の防御を提唱している。1層目はプラントセキュリティ、2層目はネットワークセキュリティ、3層目はシステムインテグリティである。

1層目のプラントセキュリティは2つの観点で実施する必要がある。1つ目は物理的保護であり、生産現場の重要な箇所を特定し、立ち入りを制限、監視を行うことが重要である。2つ目はセキュリティマネジメントプロセスであり、A)生産現場にどのような脅威・リスクがあるかを評価、分析。B)従業員のトレーニングなどを通じてセキュリティ対策を実施。C)運用を継続してチェック、改善。というA)〜C)のプロセスを確実に実行することが重要である。

2層目のネットワークセキュリティは、ネットワークアーキテクチャを最適化し、通信を攻撃から保護するというものである。多くの機器はITに接続しているため、次の対策が有効である。情報系ネットワークと制御系ネットワークの分離、ネットワークアクセスコントロール(VPNを用いたセキュアなリモートアクセスなど)、ネットワークの冗長化、firewall敷設、プロセスに重要なものをセル化し、セキュリティリスクを緩和するなどの手法である。

3層目のシステムインテグリティとは、暗号化、パスワードを使用したエンジニアリングツール保護、コピープロテクション、デジタル署名を用いたアクセス保護などによりコントローラ等のコンポーネントそのものを守るというものである。

SIEMENSはStuxnet対応などで得た教訓から経営層判断で社内組織を発足させている。このセキュリティ対策検討を通じて6つの点が重要となると考えている。①システムテスト全体の変更。②異なった組織レベルでインシデント発生時に迅速に対応するプロセス・ルールの規定。③セキュリティを担当する組織の設立。④セキュリティ対応の専門技術者の育成。⑤継続的なプロセス改善を実施。⑥トレーニングやシンポジウムなどを通じた意識改革。

SIEMENS製品は、これらの取り組みから国際標準に基づく認証も受けている。インシデントの発生はSIEMENS内部のCERTによる調査結果や、お客様からの情報などで知った後、それぞれの状況に応じた組織で対応し、脆弱性の改修/パッチの提供、事例の公開、お客様への通知を行っている。このような改善によりインシデント発生時の応答時間が短縮可能となった。

最後に、SIEMENSのwebサイトでは情報を常にオープンにしており、脆弱性についてのニュース、アラート・パッチの情報など、いままで得てきたいろいろな知識を掲載している。直接SIEMENSの専門技術者ともやり取りが可能である。

Copyright 2001 - 2018 NIPPON ELECTRIC CONTROL EQUIPMENT INDUSTRIES ASSOCIATION