社団法人 日本電気制御機器工業会

講演③「制御システムセキュリティへのCSSCの取組み」

CSSC 理事長 電気通信大学教授 新 誠一 氏(大阪)

CSSC 専務理事 研究開発部長 小林偉昭 氏(東京)

CSSC 多賀城本部長 東北大学教授 高橋 信 氏(九州)

新 誠一 氏
新 誠一 氏
小林偉昭 氏
小林偉昭 氏
高橋 信 氏
高橋 信 氏

コンピュータウィルスは目に見えないため、実感がしにくく、ウィルスに感染したからと言って、必ずしも発生するわけではない。工場で生産停止などの問題が発生しても、コンピュータウィルスが原因とは限らず、原因究明には時間がかかる。実際に、コンピュータウィルスにより、工場などが生産停止の状態になっても、公表されることはないが、何割かはウィルスによるものと考えてよい。ウィルスの感染は、必ずしもインターネットなどの上位から感染するわけではなく、センサなどの下位からも感染する。

制御機器がソフトウェア化され、インターネットに接続されるようになったが、セキュリティに関する注意が疎かだったことを反省しなければならない。

他国では、サイバー攻撃部隊を持ち、どのような攻撃が可能かという認識に立ち、サイバー攻撃からの防御を考えている。最先端技術を保有しているのが米国であり、国家安全保障省を中心にサイバーセキュリティの備えをしている。我々も、米国に倣った形で対策を始めた。

コンピュータが出現したことにより、今のような便利な世界が形成され、制御機器にもソフトウェアが使用されるようになった。何故、ソフトウェアが使用されるかと言えば、簡単にデータの変更が可能だからである。制御機器のチューニングでも、パラメータの変更のみではなく、アルゴリズムそのものを簡単に変更できてしまう。

日本では、コンピュータ化が進んでおり、ネットワーク化されることにより、セキュリティに脅威が生じてくる。計測自動制御学会では、2000年の初めからこの対策に乗り出し、研究を始めた。しかし、セキュリティに対する理解が得られないまま、ネットワーク社会になってしまった。例としては、コピー機が挙げられる。今はデジタルコピー機だから、データはメモリ上に記憶される。また、リモートメンテナンスのため、グローバルIPをそのまま使用していると、スキャンし たデータが外部でそのまま見ることができてしまう。このような脅威が存在することを意識することなく製品が開発されてきた。

また、ガスや電気なども、その日の気温・天候などにより供給量を調整している。もはや、インターネットなしでは社会が成立しない。

制御機器は上位からも下位からも攻撃される。このことは、情報系に比べて考慮しなければいけないことが多い事を意味する。情報系のセキュリティは、サーバやデータベース・端末などを考慮する。また、被害としては情報漏えいやデータベース破壊などがある。

しかし、制御系は下位が物理的なものに接続されているため、未処理の汚染水が流出したり、爆発が起きたりする可能性がある。このように、制御系セキュリティは、考えるべき範囲も広く、リスクも高くなるのが実態である。

2011年3月東日本大震災で、重要インフラなどが停止し、被害の大きさを体験した。まさに、自然災害によるブラックアウトである。Stuxnetの事例などと重ね合わせれば、サイバー攻撃によりどのような被害が生じるか、身をもって体験したわけである。

その後、2012年に制御システムセキュリティセンター(CSSC)が、技術研究組合という形で設立された。最初の1年間は、情報系セキュリティと制御系セキュリティの両方がわかる人材を育てるために、準備期間として活動してきた。その後、実際のオペレータの方に参加頂き、ガス・電力・ビルに対するサイバー攻撃の演習などを行っている。

海外の組織とも連携を取っている。ヨーロッパのENCS(European Network for Cyber Security)や米国のINL(Idaho National Laboratory)である。今後も、スペインのCCIやASEANのCERTなどとも連携していく予定である。

活動として、テスト装置などを使用した啓蒙・教育・演習に加えて、認証事業を始めている。CSSCは、デバイスレベルの認証を請負、パイロット認証を始めた。CSSCもISCI(ISA Security Compliance Institute)に加入し、SSA認証とEDSA認証を相互認証できるように進めている。

もう一つ紹介したいのは、CSMS認証である。現在、JIPDECがISMS認証を実施しており、この認証を制御系まで広げたものがCSMS認証である。現在、パイロット認証を進めている。

Copyright 2001 - 2018 NIPPON ELECTRIC CONTROL EQUIPMENT INDUSTRIES ASSOCIATION