連載
» 2014年09月29日 09時00分 公開

工場の安定稼働が人質に! なぜ今制御システムセキュリティを考えるべきなのか産業制御システムのセキュリティ(2/3 ページ)

[三島一孝,MONOist]

CSSCは何を行っているのか

 それでは、具体的にCSSCはどういうことに取り組んでいるのだろうか。CSSCの研究開発テーマは以下の4つの項目に集約される。

  1. 高セキュア化技術の開発
  2. 評価・認証手法の開発
  3. インシデント分析技術の開発
  4. 人材育成プログラムの開発
photo CSSCの研究開発の概要(出典:CSSC)(クリックで拡大)

高セキュア化技術の研究開発

 高セキュア化技術の研究開発テーマとしては、端末やサーバ、セキュリティ機器、通信機器におけるホワイトリスト機能の実装がある。

 通常のセキュリティ対策のシステムは、ウイルスなどの不正プログラムのリストと照らし合わせて“悪いソフト”を探し出す「ブラックリスト型」の仕組みで運用されている。しかし、常に工場や発電所、ビルなどを稼働させている制御システムにとっては、定期的にリストに照合する必要があり、そのたびに稼働率が下がる状況は、受け入れられるものではない。また制御システム関連機器は10年以上利用するものが多く、脆弱性を解消し続けるのが難しいという状況もある。

 一方で制御システムが日常的に行う作業は決まり切ったものが多い。この特性を生かせる制御システムのセキュリティ対策として注目を集めているのが、動作を許可したプログラムだけを動かすことができる「ホワイトリスト型」だ。既に端末やサーバについてはホワイトリスト機能を実装した製品の実用化が進んでいるが、2015年夏には通信機器についても研究内容をまとめ、製品化につなげていく方針だ。

 その他では、セキュアな制御システムの構築ガイドやサイバー攻撃時の早期認識支援技術の研究開発なども推進している。

評価認証手法の開発

 制御システムはセキュリティとしては新しい領域であるため、評価や認証の手法が確立されているとは言い難い部分がある。そこでCSSCでは世界各国の状況などを見定めながら、評価手法の確立などに取り組んでいる。特に汎用的な基準として注目を集めているのが「IEC62443」だ。一部事業者の調達要件などにも入ってきており、これらの動向に対応した評価の仕組み作りを進めている。

 具体的には制御システムセキュリティの全てのレイヤーを包含する形で進化するIEC62443が既にある標準認証などを統合していく流れの中、それぞれのレイヤーにおける認証の仕組みを構築していく方針だ。

 例えば、機器やデバイスレベルの制御システムセキュリティ認証としては「EDSA」がある。これは装置ベンダーや事業者が取得すべきものだが、既にCSSCが評価認証事業を日本で開始し始めている。またマネジメントレベルのレイヤーである「CSMS」についても認定機関となった日本情報経済社会推進協会(JIPDEC)が主導し、認証機関となった日本品質保証機構(JQA)、BSIグループジャパンを通じて認証を開始した(関連記事:制御システムセキュリティを世界で主導、世界初のCSMS国際標準認証が始動)。

 残った、プラント全体や工場全体の安全性を認証する「SSA」については「現在、認証技術の確立に向け研究を急いでいるところだ」とCSSC 事務局長の村瀬一郎氏は述べている。

photo CSSCが進める評価認証手法の全体像(出典:CSSC)(クリックで拡大)

インシデント分析技術の開発

 制御システムはサイバー攻撃を受けていても気付かない場合が多く「稼働率が落ちたのは、なぜかな」と考えていたら、実はマルウェアが混入していた、という事例もある。そのため「これはインシデント(セキュリティ面で脅威となる現象や事案)だ」と認識し「通常の状況と何が違うのか」を分析することが重要になる。

 CSSCでは、通信機器、セキュリティ機器、端末・サーバ、制御機器におけるセキュアなログの蓄積技術と、横断的な分析技術を研究開発することで、これらの仕組みを工場などに導入しやすくする取り組みを行っている。

 2014年度はビル・化学・ガス模擬プラントにおいて検証を進め、2015年度以降に他の重要インフラ用の仕組みを展開していく計画だという。

人材育成プログラムの開発

 制御システムのセキュリティを専門にする人材はほとんどいない。また制御システムの運営を行う人々にとってセキュリティは今まで無縁のものだった。これらの点から制御システムに関わる人々のセキュリティ意識の向上は今後必要なものとなる。

 CSSCでは、CSS-Base6を用いて、電力、ガス、ビル、化学などの現場の担当者や技術者を招き、模擬プラントによる演習を定期的に実施。各分野の参加者における制御システムの脅威を認識し、セキュリティインシデント発生の検知手順の検証などを行った。見学者を含めてCSS-Base6への来訪者は1年で2000人以上に達しているという。

次ページではCSS-Base6についてさらに詳しく見てみよう。

Copyright © ITmedia, Inc. All Rights Reserved.