東芝デジタルソリューションズ株式会社

デバイスからクラウドまでをトータルにカバーする東芝のIoTセキュリティ/保坂 範和

今日では制御システムの領域においても、汎用プロトコルの採用などオープン化の波が押し寄せてきています。そこで指摘されているのが、ウイルス感染や標的型攻撃など、セキュリティに関わる脅威が制御システムにおいても急速に拡大している事実です。東芝では、制御システムならではの要件をしっかり踏まえたセキュリティソリューションを提供。エッジにあるデバイスからクラウドに至るエンド・ツー・エンドの対策により、来るIoT時代の要件にも応え得る体制を整えています。

制御システムの領域においてもセキュリティ上の脅威が急速に拡大

[写真] 保坂 範和

 各種製品の製造現場をはじめ、電気、ガス、水道といったエネルギー供給の領域、あるいは鉄道、道路などの公共交通機関においても広く適用されているのが制御システムです。製造現場を例に取れば、それらシステムを中心にFA※1化が実現され、生産活動の効率化や製造ラインの安定操業に寄与するなど、まさに制御システムは企業のビジネス活動を支える重要なインフラになっています。

 もともとこれら制御システムにおいては、それぞれの分野や個々のシステムに特有の独自プロトコルなどが利用されてきました。これに対し近年では、この領域にもオープン化の波が押し寄せてきています。機器やシステムの接続性、運用性を高めるといったことを念頭に、例えば制御ネットワーク内でのやり取りにTCP/IPプロトコルを採用するなど、より汎用的、標準的な技術の活用が急速に進んできている状況です。

 さらに、外部からの影響を嫌う制御システムは、基本的には、これまでインターネットはもちろん、社内にある事務系のネットワークなどとも隔離されたクローズドな環境で運用されてきました。ところが昨今では、例えば製造ラインの操業データを事務系の業務システムに取り込んで生産管理などの用途で活用し、効率的な製品供給やコスト削減などに生かしたいといったニーズも高まっています。そうしたことを背景に、汎用的なプロトコルをベースに社内の業務システムに接続していくというような流れも加速しています。

 加えて、最近では「IoT※2」といったキーワードの下、各種センサー類など現場の機器からのデータや制御システムが保有する多種多様な情報をクラウド上に集約して、新たなビジネス価値の創出につなげていこうとする動きも見られます。そうなると、制御システムは社内ネットワークを超えて、インターネットにも接続されていくことになります。

 こうしたことの当然の結果として、今日では、かねてより一般的な情報システムの環境で課題となっていたセキュリティ上の脅威の問題が、制御システムの領域にも及んでいます。事実、既に国内外において、そうした制御システムを狙ったサイバー攻撃やマルウェア感染に起因するセキュリティ事故が発生し、人の安全や環境を脅かす事態に至っています。

  • ※1 FA:Factory Automation
  • ※2 IoT:Internet of Things

エンド・ツー・エンドの対策を提供する
IoT時代にふさわしいソリューション

 このような状況にあって東芝では、制御システムをそうしたセキュリティ上の脅威から保護するためのソリューションの提供に注力しています。そこで当社が主要なコンセプトに据えているのが、個々の現場機器といったOT※3エッジ層からOTサービス層、ITサービス層、そしてPCやスマートデバイスを含むITエッジ層までをエンド・ツー・エンドでカバーする一貫したセキュリティ対策の実現です。これまで情報システムの領域に活用されてきた各種対策をポイントソリューションとして個別に適用するという方法だけでは、さまざまなモノが接続され、複雑なセキュリティ対策の視点が求められる制御システム、特にIoTの領域には対応しきれません。

図1 東芝の制御システムセキュリティソリューションを構成する主要コンポーネント

 東芝では、不正なデバイスによるシステムへの接続を排除する検疫ネットワークや、不正な通信を捉える侵入検知システム(IDS※4)、ロバストネス(堅牢性)テストによる既知/未知の脆弱性(ぜいじゃくせい)検査、セキュリティログの収集分析を行うSIEM※5など、これまで情報システムの領域で広く利用されてきたセキュリティ対策に加え、「データダイオード」や「ホワイトリスト」といった制御システムならではの要件を満たす有効な対策を用意しています(図1)。

  • ※3 OT:Operational Technology(制御技術)
  • ※4 IDS:Intrusion Detection System
  • ※5 SIEM:Security Information and Event Management

先進の対策技術の提供により制御システム特有の要件を満たす

図2 物理的一方向通信で制御システムにおける強固なセキュリティ対策を実現する「データダイオード」の概要

 データダイオードは、Waterfall Security Solutions社が提供する、制御システムと業務システムとの間での物理的な一方向通信を実現するセキュリティゲートウェイの仕組みです。既に全世界の原子力や電力、石油化学などの重要なインフラにおいて数多くの採用実績があるソリューションです。具体的には、図2のように制御システム側に「TX」、業務システム側に「RX」と呼ばれる通信装置をゲートウェイとして配備し、TXからRXへのデータ通信を光ファイバーケーブルで行います。このとき、TXアプライアンスはレーザー発光部(LED)だけを持ち、一方のRXアプライアンスはレーザー受光部(フォトセル)だけを持っているため、TXからRXの向きにはデータを送信できますが、逆向きの通信は物理的にできなくなっています。

 つまり、RXすなわち業務システム側から制御システム側に対し、ACK※6パケットを含む通信を物理的に一切行えないようにすることで、セキュリティを担保しているわけです。このとき、制御システムはTXエージェントを業務システムと認識しており、逆に業務システムのアプリケーションはRXエージェントを制御システムと認識していて、両システムとも中間で媒介しているTX、RXといったアプライアンスの存在を意識する必要がありません。このため、既存のほとんどのアプリケーションに手を加えることなく適用できるのが、このデータダイオードの大きな特長となっています。Waterfall Security Solutions 社では、主要な産業アプリケーションやプロトコルに対応したコネクタを用意しています。

 また、ホワイトリストとは、文字通り、あらかじめ明示的に登録、許可したアプリケーション(EXE、DLL、ドライバー、スクリプト)以外の実行をブロックするための仕組みです。日常的にパターンファイルなどの更新処理を行うことなく、ゼロデイ攻撃や標的型攻撃などの未知の脅威からも確実に制御システムを保護することが可能となります。

  • ※6 ACK:ACKnowledgemen(データ伝送で、受信側から送信側に送られる肯定的な返事)

ユーザーごとの特性を見据えた最適なソリューションを提案

 こうした一連のセキュリティ対策の仕組みの提供に加え、東芝では制御システムのサイバーセキュリティに関わるリスクマネジメントの認証であるCSMS※7に則ったマネジメントプロセスの実践や、個々の制御機器に関するセキュリティ認証プログラムであるEDSA※8への対応の支援なども、制御システムセキュリティソリューションに組み込むかたちで提供。システム、コンサルティングを含むトータルな側面から制御システムのセキュリティ対策をサポートしています。

 特に製造現場で稼働している制御システムは、10年、20年という長いスパンで利用され続けているケースも多く、そうした既存環境にいかに最新のセキュリティ対策を導入していくかが重要かつ困難な課題となります。これに対し東芝では、セキュリティのメジャープレーヤーとの協業を通じたベストオブブリードによる製品の選定なども行いながら、あくまでも個々のユーザーのシステム環境やビジネスの特性をしっかりと踏まえ、そこで求められる最適なソリューションの実現を支援していこうとしています。

  • ※7 CSMS:Cyber Security Management System
  • ※8 EDSA:Embedded Device Security Assurance
お問い合わせ
東芝デジタルソリューションズ株式会社
電子メール
e-mail:tdsl-infoweb@ml.toshiba.co.jp
FAX
044-548-9522
所在地
〒212-8585 神奈川県川崎市幸区堀川町72番地34
INDEX

東芝セキュリティソリューションの詳しいページはこちら

このページのトップへ