制御システムは従来、インターネットや情報システムと隔離され、クローズドな環境で運用されているため安全である、というのが定説でした。しかし、IoT*の進展などによりオープン化が進む現在では、こうした捉え方は過去のものになってきました。どんな制御システムにもネットワークの構成図には載っていない攻撃者との接点がある、そう考えた方が現実的かもしれません。また、高い可用性が求められる制御システムでは、セキュリティパッチをはじめとする情報システムにおける従来の対策を適用することが難しいのが現実です。
東芝デジタルソリューションズでは、制御システムの特徴や要求事項を十二分に理解し、サイバー攻撃による被害を抑え込む革新的なセキュリティ対策をご用意しています。
* IoT:Internet of Things (モノのインターネット)
崩れ始めた、制御システムの安全神話
「うちはインターネットとつながっていないから大丈夫」。制御システムを運用されているお客さまにセキュリティ対策をご提案させていただく中で、そういった声をよくお聞きします。インターネットや情報系のネットワークとは隔離されているので安全だ、という意味です。
しかし、IoT化の進展などにより、「クローズドのシステムだから」「特殊な専用システムだから」という理由でサイバー攻撃にさらされるリスクが低いと判断するのは間違いです。既に制御システムの8割から9割が、情報システムやインターネットとつながっているといわれています。また、かつて利用されていた独自で開発されたOSも、WindowsやLinuxといった汎用OSに取って代わられました。さらに、TCP/IP*プロトコルが当たり前に利用されるなど、オープン化も進んでいます。外部のネットワークに直接接続されていなくても、保守作業などにより許可あるいはチェックなく持ち込まれるパソコンやUSBメモリなどをつなげば、間接的に外部と接続したことになります(図1)。
*TCP/IP:Transmission Control Protocol/Internet Protocol
残念なことに、クローズドな環境が前提で構築・運用・管理されている制御システムは、ネットワークおよび、制御機器のようなエンドポイントにおいてセキュリティ対策が実施されていないケースが多く、たとえマルウェアなどが侵入してもそれを検知すること、つまりサイバー攻撃を受けていることに気づくことさえできないことがほとんどです。また、一般に24時間365日の連続稼働が求められる制御システムは、情報システムのようにセキュリティパッチをタイムリーに適用することが困難です。パッチを当てるためだとしても、システムに影響を及ぼす可能性や、再起動といった行為が許容できないからです。
自社の工場やシステムにどれほどセキュリティの脅威が差し迫っているのか見えないことや、セキュリティ対策が適用しにくく、具体的かつ素早い対策を打つことができないなど、制御システムのセキュリティは、実はとても危険な状態になっています。
頻発する重大インシデントと、求められるセキュリティ
事実、制御システムのセキュリティインシデント情報を収集している米国のICS-CERT*によれば、制御システムへのサイバー攻撃は年々増加する一方とのことです。
*ICS-CERT:Industrial Control Systems Cyber Emergency Response Team
世界では、今から18年も前の2000年にオーストラリアで発生したサイバー攻撃による下水道施設の破壊活動を皮切りに、石油パイプラインの爆破や核燃料施設の稼働不能など、数多くの重大インシデントが報告されています。その多くが対策レベルの低いネットワークや機器が攻撃されて、施設全体に深刻な被害を与えたものです。世界的に猛威を振るったランサムウェア「WannaCry(ワナクライ)」やIoT機器を狙ったマルウェア「Mirai(ミライ)」による被害は記憶に新しいところです。ある自動車工場が操業停止に追い込まれたほか、病院や消防、鉄道などさまざまな重要インフラにおいて、マルウェア感染による重大な被害が報じられました。先の平昌オリンピックでも、サイバー攻撃を受けたことが報告されています。
こうした状況に鑑み、「IEC62443」など制御システムを対象としたセキュリティに関する標準規格の整備が加速しています。では、攻撃者たちに狙われ始めた制御システムを、私たちはどのように守っていくべきでしょうか。
東芝デジタルソリューションズでは、内閣サイバーセキュリティセンター(NISC*)が重要インフラに指定した、電力、鉄道、航空、政府・行政サービス、医療、金融など13セクターを中心に、ここ1年でおよそ80社、300人を超えるお客さまと適切なセキュリティ対策のあり方について検討を重ねてきました。
*NISC:National center of Incident readiness and Strategy for Cybersecurity(内閣サイバーセキュリティセンター)
「機密性」が最優先となる情報システムとは異なり、人命や環境にまで影響を及ぼしかねない制御システムでは、「可用性」が何よりも重視されます。また、24時間365日絶対に止まらないことに加え、「完全性」と「機密性」も担保しなければなりません(図2)。
当社ではこうした厳しい要求に応えながら最新のセキュリティ技術を取り入れ、データダイオードや侵入検知、ホワイトリスト方式によるマルウェア対策、さらには、アセスメントサービス(CSMS*認証/EDSA*認証)や認証取得コンサルティングサービス(ISO*27001/ISO15408)などのソリューションをラインナップしています。その中から、制御システムの特性にフィットした2つのソリューションをご紹介します。
*CSMS:Cyber Security Management System,EDSA:Embedded Device Security Assurance(制御機器のセキュリティ保証に関する認証制度),ISO:International Organization for Standardization(国際標準化機構)
制御システムにフィットした、2つの革新的なソリューション
クローズドな制御ネットワークと情報ネットワークを、安全に接続する方法はないか。こうした課題に応える対策のひとつに、データダイオードがあります。当社では、Waterfall Security Solutions社のセキュリティゲートウェイ「Waterfall」を取り扱っています。物理的に一方向からしか通信できない仕組みで、これを制御システムと情報システムの間に設置することで、データの流れが制御システムから情報システムへの一方向だけに限定され、情報ネットワークを介した制御システムへのサイバー攻撃を100%防ぐことができるという革新的なソリューションです。これにより、制御システム内の情報を外部に送信しつつ、外部からの攻撃を100%受けない環境が実現可能となります。また、Waterfallは冗長構成も可能で、これまで多くの実績を持つ当社の統合クラスタソフトウェア「ClusterPerfect」と組み合わせた独自構成もサポートしています。電力・ガス、鉄道、石油化学、上下水道などの重要インフラにおいて、既に豊富な導入実績を積み重ねています。
※データダイオードについては、T-SOUL Vol.17 特集2で詳しくご紹介しています。
また、マルウェア対策は行いたいが性能への影響が心配であるとか、セキュリティパッチを適用せずに対策を行いたいといったご要望に対しては、実行可能なファイルを限定することでシステムを守る、ホワイトリスト方式による対策があります(図3) 。
可用性が最優先事項である制御システムでは、機器を止めてメンテナンスすることが困難である以上、機器本体への対策には限界があります。ブラックリスト方式の対策が、世界中で日々発生するマルウェア情報を集めたリストを用いてマルウェアを検知するのに対し、ホワイトリスト方式では実行することを許可したプログラムのリストをあらかじめ作成し、リストにないアプリケーションや侵入したマルウェアを起動できないように制限できます。万一、保守員などが持ち込んだUSBメモリにマルウェアが混入していても、ホワイトリストに登録されていなければ、その実行は自動的に阻止されます。
ただし、対象となるシステム環境はさまざまであり、ホワイトリストを実効性ある形で機能させるには高度な導入ノウハウが必要です。当社では、幅広い社会インフラシステムでの豊富な導入経験を結集し、お客さまのシステムの詳細な構造や管理手法を見極めつつ、ホワイトリストが有効に機能するように適切な形での導入を行っています。
サイバー攻撃の脅威が世界的に高まる中、制御システムのセキュリティ対策は急務となっています。当社は今後もお客さまと共に適切な対策のあり方を考えながら、多種多様な制御システムに、実効性あるセキュリティソリューションを提供していきます。
※この記事に掲載の、社名、部署名、役職名などは、2018年5月現在のものです。社名、製品名およびシステム名は、各社が商標または登録商標として使用している場合があります。
