DIGITAL T-SOUL

Vol.25 社会インフラシステムのデジタルトランスフォーションを支える 東芝のインダストリアルIoTセキュリティ

このページを印刷する

#04 IoTセキュリティの革新的なフレームワーク 東芝が提唱するセキュリティリファレンスアーキテクチャー 東芝デジタルソリューションズ株式会社 インダストリアルICTセキュリティセンター 参事 斯波 万恵

広がるサイバー攻撃の脅威からIoT*システムを守るためには、システムの特性とセキュリティへの要求との整合性を保った上で、コスト面と技術面のバランスの取れた対策を継続していく必要があります。東芝デジタルソリューションズでは「セキュリティライフタイムプロテクション」のコンセプトに基づき、設計段階からIoTシステムの広がりや深さに応じて柔軟かつ堅牢(けんろう)にセキュリティを作り込んでいくための体系的なフレームワーク「セキュリティリファレンスアーキテクチャー」を整備。実装すべき対策を整理し、お客さまへのご提供に向けて実証を進めています。ここでは、セキュリティリファレンスアーキテクチャーの詳細と、これに基づき実装されるソリューションのポイントについてご紹介します。

* IoT:Internet of Things (モノのインターネット)

「セキュリティバイデザイン」を強化

あらゆるモノがネットワークに接続されたIoTの世界。それは今までクローズドな環境で管理されてきた制御システムまでもが、オープン化されることを意味します。情報システムというITの世界と制御システムというOT*の世界を包括して保護。センサーや機器などのエッジデバイスからネットワーク、アプリケーションまでエンドツーエンドで守るため、IoTの時代に相応しいセキュリティはどうすれば実現できるのでしょうか。日々進化し、機器やネットワークの脆弱性(ぜいじゃくせい)を突いてくるサイバー攻撃に対して、従来のポイント、ポイントで対応するソリューションだけでは太刀打ちできないことは明らかです。

*OT:Operational Technology(制御技術)

そこで、絶え間なく変化する脅威の状況に応じて、IoTシステムのセキュリティを先回りして適応させていくべきだと、東芝デジタルソリューションズでは考えています。何かあってからでは遅い。新たな脅威にさらされる前に、セキュリティを最適化させる柔軟な身構え(態勢)が必要です。

こうした考え方に基づき、東芝インダストリアルIoTセキュリティの新コンセプト「セキュリティライフタイムプロテクション」*を策定しています。「設計・防御→運用監視・予測検知→インシデント対応・復旧→評価・検証」のPDCA*サイクルを回すことで、サイバー攻撃の高度化や巧妙化に伴い相対的に劣化してしまうセキュリティ対策にも対応。IoTシステム全体を保護する持続的なセキュリティを確保しようというものです。

*セキュリティライフタイムプロテクションの策定およびPDCAサイクルの図については、#01で詳しく紹介しています。
*PDCA:Plan(計画)-Do(実行)-Check(評価)-Action(改善)

中でも重要と位置付けているのが「セキュリティバイデザイン」を志向したアセスメントおよび設計のフェーズです。PDCAサイクルの起点として、システムを企画・設計する段階で脆弱性の低減や脅威への対策を考慮に入れ、セキュリティを実装。システムをリリースする時には、既知の脅威はもちろん、過去のリスク評価や脆弱性の検証結果に基づき、セキュリティを組み込んでいきます。

このページのトップへ

対象システムの進化と重要度に応じた対策を

しかし、IoTシステムのセキュリティを適切に設計することは容易ではありません。守る対象となる事業やサービス、業務プロセス、接続される機器の種類と数、やり取りされる情報資産、セキュリティインシデントの要因となるセキュリティリスクといったあらゆる要素が、IoTシステムによって異なるからです。

また国家レベルの組織や小さな犯罪組織、愉快犯などに対し、一律の手法で対抗することは非合理的です。過剰な対策は、業務やシステム運用において効率の低下を招き、逆に不十分な対策では、後付けのセキュリティによりかかるコストが増大してしまいます。これではセキュリティライフタイムプロテクション自体、機能不全に陥ってしまいます。

斯波 万恵

そこで当社がまず実行したのが、IoTシステムのセキュリティに関わる多種多様な技術要素を、システムの特性や進化に合わせて体系化した枠組みの整備です。それがインダストリアルIoTセキュリティのフレームワーク「セキュリティリファレンスアーキテクチャー」*です。

*セキュリティリファレンスアーキテクチャーについては、#01で詳しくご紹介しています。

デジタルトランスフォーメーションの進化に応じて、国際標準規格IEC*62443などに準拠した「Low」「Middle」「High」という3段階のセキュリティ対策レベルを策定し、各レベルを満たす技術的な対策を決定して個別のシステムへの実装を図るものです。このアーキテクチャーを基盤にセキュリティライフタイムプロテクションによるPDCAサイクルを継続的に回していくことで、それぞれのシステムの進化と重要度に応じ、コストバランスを考慮した必要十分なセキュリティを将来にわたってデザインし続けることが可能になります。

*IEC:International Electrotechnical Commission(国際電気標準会議)

このページのトップへ

IoTシステムの「広さ」と「深さ」を軸とした多層防御

セキュリティリファレンスアーキテクチャーを基盤にセキュリティを設計していくにあたり、当社ではIoTシステムの「広さ」と「深さ」という2つの軸で必要な対策の体系化を行いました。それが「二軸の多層防御」です(図1)。

図1 二軸の多層防御“「深さ」と「広さ」”

「広さ」の軸では、IoTシステムの進化に伴い、対策をどの範囲まで行うべきかを明らかにしました。「見える化」の段階ではシステムの停止を回避するために、外部との境界におけるリスク管理に注力。「最適化」の段階に進んだときには、誤作動やシステムの暴走に陥らないために対策の範囲を制御システムから外への接続点(内部境界)まで広げます。さらに「自動化」「自律化」の段階では制御システムの内部ノードにまで幾重にも防御を張り巡らし、人命や環境に深刻な影響を与えかねない重大インシデントを未然に防いでいきます。

一方「深さ」の軸では、システムを構成するアプリケーション層、ミドルウェア層、OS層、ファームウェア層、ハードウェア層という5つの層に対してどのような対策を施すべきかを整理しています。アプリケーション層への脅威に対しては、ホワイトリストなどによるマルウェア対策や、ファイアーウォールといったセキュリティソフトウェアによる基本的な対策を。ミドルウェア層からファームウェア層にかけての脅威に対しては、ファームウェアやブートコード、OSカーネル、デバイスドライバーなどの完全性を、起動シーケンスに沿って順次検証するセキュアブートなどのハードウェア対策を。ハードウェア層、そしてシステム全体への脅威に対しては、仮想化技術を用いてセキュリティ機能を分離し、独立させて管理することで、通常のアプリケーションからのアクセスを制限するなど、セキュリティ機能の停止を狙った巧妙かつ高度な攻撃に対処していきます。

このページのトップへ

3つのセキュリティモデルと実装する革新的なソリューション

二軸の多層防御を実現していくにあたり、技術開発に特に力を入れているのがIoTシステムの広さへの対応です。当社ではシステムと外部との物理的な境界と外部のネットワークとの接続点における対策に対応した「OOB*モデル」、システム内部の各サブシステムにおける境界をセキュアに管理する「TOUCHモデル」、さらに各機器や装置といった内部ノードへの対策までを包括した「INLINEモデル」という3段階のセキュリティモデルを確立。モデルごとに実装すべき対策を明確にし、社内で実証を進めています(図2)。

*OOB:Out-Of-Bound(完全分離)

図2 IoTシステムの層(広さ)の進化に合わせたセキュリティモデル

OOBモデルでは、IoTの世界とOTの世界を完全に分離(ゾーニング)し、データの完全性を確保することに注力。センシングしたフィールド機器に関するデータを送信する際、データの流れを制御システムから情報システムへの一方向へ物理的に限定するデータダイオード*を実装することで、制御システムのプロセスには直接影響を与えません。

*データダイオードについては、T-SOUL Vol.17 特集2で詳しくご紹介しています。

TOUCHモデルは、OTゾーンに対し、外部から接続できる機器を必要最低限に絞り込むことで、万一の場合にも制御システムの重要な機能には影響を与えないことを目指します。ホワイトリストにより実行できるプログラムをあらかじめ限定するほか、リモートから制御機器をコントロールするコマンドを絞り込むなど、フィールド機器の分析や最適化に必要となるデータだけをオンデマンドに取得できる環境を整備します。

INLINEモデルでは、機能単位でゾーニングを行い、さらにゾーン間の接続点を絞り込むことで、制御システム全体での高度なセキュリティを確立します。情報システムに最も近いゾーンではAI*を活用した次世代マルウェア対策*を、情報システムゾーンと制御システムゾーンの接続点には一方向セキュリティゲートウェイであるデータダイオードを、また制御システムゾーンの内部にある組込み機器にはホワイトリスト型マルウェア対策*、産業用コントローラー製品には国際的な認証制度であるEDSA*認証を取得した製品を活用。さらにOTネットワークやコンポーネントの異常なふるまいを検知し、監視するソリューションなどを加えて、ゾーンごとに最適な対策を組み合わせ、重要インフラのセキュリティ要求を満たすハイレベルな対策を実装していきます。

*AIを活用した次世代マルウェア対策については、#03で詳しくご紹介しています。
*ホワイトリスト型マルウェア対策については、#05で詳しくご紹介しています。
*AI:Artificial Intelligence(人工知能),EDSA:Embedded Device Security Assurance(制御機器のセキュリティ保証に関する認証制度)

また東芝では、ICカード事業で培ったセキュリティ技術を応用した「セキュアプロキシデバイス」の開発にも取り組んでいます。エンドポイントにある機器自体には手を加えず、機器と上位のネットワーク通信の間にプロキシデバイスを取り付けることで、セキュアな通信と機器間の相互認証を実現。可用性を下げることなく、データの機密性や完全性を確保します。レガシーなエンドポイントはそのままに、システム全体のセキュリティを高める画期的なソリューションとして、現在、社内にて実証を重ねています。

今後も東芝デジタルソリューションズではセキュリティリファレンスアーキテクチャーを基盤に、セキュリティライフタイムプロテクションを推し進めながら、デジタルトランスフォーメーションの進化に寄り添ったセキュリティソリューションを追求していきます。日々巧妙化、高度化するセキュリティの脅威に対して、技術要件を柔軟に更新し、多様な仕組みを連動させ、信頼性の高いIoTセキュリティをお届けしていく予定です。

※この記事に掲載の、社名、部署名、役職名などは、2018年5月現在のものです。

関連記事Vol.25:社会インフラシステムのデジタルトランスフォーションを支える 東芝のインダストリアルIoTセキュリティ

このページのトップへ