制御システムのセキュリティ脅威 制御システムの歴史
制御システムへのサイバー攻撃事例 情報システムと制御システムの違い
リスク分析 セキュリティ脅威
セーフティシステムのセキュリィティ対策 CSIRT
国際規格・業界規格 セキュリティ認証
AIとセキュリィティ 脆弱性
脅威インテリジェンス 自動車の制御系セキュリティ

制御システムのセキュリティ脅威

個人情報の漏洩、仮想通貨の問題などが毎日のように新聞やネットで報道されて久しくなりました。 インターネットの普及が始まった1990年代はのんびりしていましたがいまや脅威は日常のものに なってきました。

セキュリティで問題なのはパソコンがウィルス感染するとか、スマホの情報が盗まれるというだけ ではありません。工場で動いている制御システムがハッカーに狙われて工場の操業が停止するという 事態が現実に発生する時代になっています。Stuxnetはイランの原子力設備が狙われ大きな話題に なりよく知られているインシデントですが、これ以降も世界各地で同様の事象が報告されています。

従来、工場やプラントは閉じた世界であり、コントロールシステムも後述するようにパソコンなどの オープンなシステムではなく、メーカーが作った専用システムであるため、セキュリティ脅威は遠い世界と思っていたので すが、いまや真剣に考えなくてはならなくなってきました。


制御システムの歴史

制御系システムはIT系に対応してOT(Operational Technology)と言われることも多いですが、制御システムはパソコンやサーバシステムなどよりもずっと古い、長い歴史があります。元々は工場の機械、プラント設備を制御するという必要性から生み出されてきたものです。バルブなどを動かすのに、大昔は空気圧を使っていましたが、じきに電気信号で行うように成りました。

これはアナログの電気信号で電流または電圧でコントロールするものです。その後、マイクロプロセッサーの進歩や通信技術の進展などに伴い、制御のデジタル化が進み、分散制御システムDCS(Distributed Control System)と称される製品システム群が登場すると、計装制御の世界では大きな革新が進んで行くことになりました。

制御システムは制御対象、例えば反応曹やタービンなどの回転体、燃焼などを正しく動作させるようにするための仕組みですから、動きすぎたり、温度や圧力などが所定範囲を越えることがないかを監視するため、リアルタイム性と確実に動作させる上での信頼性が要求されてきました。この際、セキュリティ要件は考慮されていませんでした。というのもそもそもセキュリティ要件がなかったからです。

モノや事象を制御する上ではPID制御が基本となっていますが、デジタル化の展開に伴って単純なPIDだけでなく様々な工夫を凝らした制御も可能になってきました。また、ERP、MESといった工場生産システムなどとの連携も広がるようになってきています。この相互接続、いわゆる”つながる世界”の拡大が、皮肉なことにサイバーセキュリティ脅威の温床にもなってきているわけです。


制御システムへのサイバー攻撃事例

制御システムで発生したインシデントというと、イランの核燃料施設が狙われたStuxnetが有名ですが、これ以降も下記のようにさまざまな事象が発生しています。

Stuxnet2009年から2010年にかけて発生。複数の脆弱性を悪用しながらUSBメモリなどの外部メディア経由でWindows PCに感染し、原子力発電所の制御システムへ侵入して、その制御システム上にある装置に攻撃を加えるコンピュータウイルス。イラン核施設の遠心分離器の回転速度設定を書き換え、稼働停止に追い込まれた。
ウクライナ停電2015年12月、3〜6時間にわたり大規模停電が発生。22万5千人に影響を及ぼした。侵入にはマルウェア BlackEnergy3 が使われたが、停電を引き起こした最終的な攻撃は、攻撃者による制御システムの不正操作でと言われている。
TRITON2017年 石油化学プラントの安全計装システム(SIS)のコントローラの制御プログラムをマルウエア TRITON が改竄し、プロセスが緊急停止。マルウエアによるEWS(エンジニアリングワークステーション)へのリモートアクセス があったと言われているが詳細不明
WannaCry2017年5月頃からランサムウェアWannaCryによる感染活動が世界中で発生。WannaCryは、Windows SMBv1のリモートからコード実行を許してしまう脆弱性を悪用して、他の脆弱なWindowsシステムに感染するネットワークワーム型のランサムウェア。日本国内でも日立製作所、JR東日本などの企業で感染例が報告されている。

近年のサイバー攻撃は、年々手が込んだ手法が使われるようになってきているのが特徴で、最終ターゲットの装置・機器に至るまでに、多く段階を踏んで行われます。例えば最初にウィルスを仕込んだメール添付資料を開かせ、そこからオフィス内のFax、コピー機等に感染し、そこで管理者権限IDとPWを窃取して徐々に本丸に迫ってゆくという感じです。サプライチェーンの末端に位置付けられる保守会社社員経由で攻撃が周到に行われたという例もあります。


情報システムと制御システムの違い

IT系の方々から見ると、OT(制御)系システムはどうもよくわからない という声をよく聞きます。コンピュータシステムという面では同じですが、それ以外の面で違いが多くあるというのが現実です。前に、歴史のところでも触れましたが、制御システムはそもそもの目的が、ITとは異なっています。

 情報システム制御システム
対象情報モノ(製品)、サービス(連続稼働)
期間3〜5年10年〜20年
更新随時パッチ適用可停止、再起動は容易ではない
目的・優先度C(機密性),I(完全性),A(可用性)H(健康),S(安全性),E(環境)+A(可用性),I(完全性),C(機密性)
分析・対策脅威分析安全解析+脅威分析
運用管理主に情報システム部門主に現場の生産、技術部門

工場、プラントは生産活動の継続ということが最も重視されます。社会の重要インフラであれば、停止してしまうことそのものが社会活動に非常に大きな影響を与えてしまいますから、法令などでも連続運転が滞った場合などには、ペナルティを課している産業もあります。

故に、情報システムのようにパッチがリリースされたのですぐに適用するということは制御システムにおいては難しくなります。日本では現場機器を動かしている制御コントローラは多くの場合メーカの独自OSなどで作られているので、Windowsの世界のような状況でもないのですが、部位によって様々です。そこで、計画停止のタイミングで行われることになりますが、パソコンのように夜間パッチを自動適用できる というわけではありません。

また使用している材料や設備、生産されるモノ自体が人体、環境に危険を及ぼすようなこともあるので、システムが担っている目的・優先度は上表の通り、HSEが先になり、その次がAICとなるわけです。情報システムはCIAの順になりますが、ここは大きく異なります。


リスク分析

制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。



ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。


セキュリティ脅威

セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)


盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するというように、段階的に行われることになります。現場のコントローラなどはメーカ独自であっても、通信プロトコルがオープンなケースは多い ので、DoS攻撃によってネットワークを輻輳させ制御動作を妨害させるということは、比較的容易です。

また、この表では、誤操作を含めています。この誤操作は不注意なオペレータ(例えば、生産管理用パソコンのウィルスチェックがずさんだったなど)によるインシデントが結構多いことから含めるのが妥当と考えているからです。


セーフティシステムのセキュリティ対策

このコラムの最初の方で、制御システムは工場やプラントなどのコントロールに使用されており、情報系と違ってHSE+AICの優先度で設計、運用されるということを言いました。そうした停止すると困る、安全性が確保されないと大変なことになるようなシステムは、安全系システムあるいは、セーフティシステムと称され、機能安全のコラムにも 書いたような特別な造りをして、外部の認証機関からお墨付きを得る必要があります。

さて、そうした制御コントローラやシステムは安全を担保するために相当な工数・コストをかけなくてはなりません。そうしたシステムにセキュリティの対策を施すとなると、それは事業面では大きなインパクトになります。セキュリティの対策が既存の安全機能に影響を与えることがないようにしなくてはなりません。

またセキュリィティ上どうしても必要な処置であるにもかかわらず、セーフティを優先するがために、セキュリティ対策をバイパスするようでは本末転倒です。そこで、IPAではそうしたセーフティシステムのセキュリティ対策をどのように進めたらいいのかを検討するための制御システムセーフティ・セキュリティ要件検討ガイドがリリースされています。

私もこのガイドの編纂に携わりましたが、手順的にはざっと以下のようになります。


詳細はこのガイドに譲りますが、この手順はすでにセーフティシステムが存在し稼働していて、それに対してセキュリティを検討するとしたならば、という前提になっています。しかしこれからゼロベースでセーフティとセキュリティの検討を同時並行で行おうとする場合は、安全分析の中でセキュリティ分析を含めてゆくようなアプローチになると思います。


CSIRT

CSIRT(Computer Security Incident Response Team)というのは組織内のセキュリティ問題を専門的に扱う、インシデント対応チームです。自社製品のセキュリティを専門的に扱う組織として、PSIRTというものもあります。ここでなまずCSIRTについて考えてみましょう。

最近、サーバの個人情報が漏洩して大騒ぎになることがあります。これまでは、そうした事件(インシデント)が発生すると、社内は蜂の巣をつついたような騒ぎになって、急遽対策チームが編成され情報把握したり、原因究明をしたりとなるのですがが、どうしても後手に回るということになりがちでした。 CSIRTはそういうインシデントが発生することを見越して、その場合の対応を行う体制をあらかじめ社内に構築するというものです。

ですが、いつ発生するかわからないセキュリィティ攻撃のために、それだけ行う専任者を常時配置しておけるかというと、大企業でもできるところは限られますから、多くの場合は兼任で対処することになるでしょう。PSIRTでは製品に関係するセキュリティですから、そんなことをできる人は製品を設計した人、部門が中心にならないとできないでしょう

次に考えなくてはならないのは、インシデントが発生したら、だれが何をどうするのかということ。セキュリティインシデントはたいていの場合、何かおかしいというのはわかるが、本当におかしいのか、何をみたら判断できるのかが簡単にはわかりません。そこでできるなら、予行練習のようなことをやって訓練しておくということになります。いわば、防災訓練ですね。

しかしこれも真に迫ったシナリオでないと形だけやることになりがちですから、工夫する必要があります。また、いつ、どの職制・職位にある人がどこまで判断するのかは容易ではありません。工程ライン、工場の操業を止めるという判断は現場だけでできるでしょうか。普通そんなことはできないでしょう。

といって、細かい情報を得られた順に次から次へと経営層に報告したらいいというかと、そんなことをしたらきっと大パニックになります。ですから、ありそうなインシデントシナリオを自社設備、組織用に作成し真に迫った訓練をして、緊急事態の際の行動原則などを定めておくことが重要です。


国際規格・業界規格

制御システムのセキュリティを扱っている国際規格は、IEC 62443 がもっともよく知られており、以下のような構成になっています。


この規格は全体量も大きく、まだ全てが正式文書になっておらず国際検討の場でも様々な意見が出されなかなか合意形成に至っていないものもあります。一方、2-1のように早くから正規文書としてリリースされているものもありますし、この表には書かれてませんが2-5という新たなパート分冊も策定中です。

この規格が扱っている制御対象は主に、PA(Process Automation)で石油化学プラント、FA(Factory Automation)などになります。航空、鉄道、自動車も関係はするのですが、工場プラントとは異なる要素も多いので参照しつつも、当該設備・システムは個別のものを参照するというかんじです。

個別の代表格は、自動車、車載システムになります。現在自動車業界は、自動運転の取り組みが世界規模で行われていて、安全対応とセキュリティをどう両立させてゆくかが国連の場で議論されています。 自動車は元来機能安全の規格に、ISO 26262 がありこのワーキングでも長らくディスカッションがなされてきましたが、米国自動車協会のSAEがこのISO 26262 ベースにセキュリティ検討プロセスである J3061 をリリースしたこともきっかけになっていまは両者を統合した車載セキュリティの国際規格を策定中です。


セキュリティ認証

機能安全では、IEC 61508 を基本とした各産業分野ごとの個別安全規格があり、それに基づく認証制度があるのですが、セキュリティについてはどうなっているのでしょう。セキュリティでは、上記のIEC 62443 の規格をベースにした国際認証の仕組みがあります。

・CSMS(Cyber Security Management System)・・・IEC 62443 2-1をベースにした
 産業制御システムの認証。組織体制などが対象。
・EDSA認証・・・IEC 62443 4-2をベースにした制御コンポーネントを対象にした認証。
・Achilles認証・・・カナダのワールドテック社(米国GE社に買収された)が主導する認証。

これらのうち、最も認証取得数が多いのが、最後のAchilles(アキレスと発音)認証です。これは国際認証というわけではないのですが、EDSAのCRT(ロバストネステスト)に特化したもので、内容的にはEDSAに比し軽量なためコストもそこそこで済むことが背景にあると思います。次に多いのがEDSAで、少しづつですが増えてきました。 EDSAもAchillesと同じく個別の制御コントローラ、機器が対象ですが、手数がかかる(つまりコストがかかる)のが難点なのでしょう。あまり取得数は伸びておらず頭打ちのような傾向です。以下は2018年にJPCERTが公表した認証取得数の統計です。

製品認証2015年2017年2018年
Achilles認証294472581
EDSA認証111420
UL CAP02

CSMS認証は国内でも過去に取得した企業(事業場)の実績は6ケ所程度にとどまっています。セキュリティへの取り組みは頭ではわかるが、安全と異なり時間経過につれて、脅威が増え変化するのでどこまでお金をかけるのが妥当なのかという事業判断の観点からすると動機もつかないというのが正直なところなのであろうと推測されます。


AIとセキュリティ

AIは故障予知、自動車の自動運転などの領域で盛んに技術開発が進んでいますが、セキュリティとの関係はどうなっているのでしょう。最近、神戸大学の小澤教授の「セキュリティ分野におけるAI活用の現状と期待」と題する講演を拝聴したことがあるのですが、興味深い内容でした。 講演内容によりますと、サイバー攻撃・防御におけるAI適用 という話と、AIの仕組みがサイバー攻撃を受ける という側面があるとのことでした。

MiraiというDoS攻撃型の兆候を観測していたところ、ダークネットのアクセスには特徴があり、観測期間中にも変化している。主にWebシステムでの攻撃手口が高度化、多様化してきており、今後も増大すると見込まれています。こうした状況下において、攻撃にAIが使われる、また その反対に攻撃の検知といった防御にAIが活用される という話題です。

防御ということでは、アノマリー検知が知られています。通常の正常状態のネットワークトラフィックを学習しておき、正常と異なるアクセストラフィックを検知して異常状態の可能性を通知するというものです。

次にAIが攻撃を受けるということですが、最近のクラウドサービスでは機械学習の環境セットが有償で利用できるようになっているので、その機械学習を用いた公開サービスが狙われるわけです。これは可能性としてはありそうなことで、公開した後も動的に学習し続けるような仕組み になっていると、おかしな画像データなどをわざと学ばせておかしくさせることができそうです。

敵対的生成ネットワーク(GAN: Generative Adversarial Networks)というAIの識別能力を高める、鍛えるための仕組みがありますが、これを悪用するとできそうですね。GANは内的にはディープニューラルネットワークで構成されているので、フェイク画像をたくさん読み込ませる ことで、学習勾配を変化させることで、誤認識率を上げるなど混乱させることができるというわけです。


脆弱性

セキュリティで必ず登場するのが、脆弱性という言葉です。これは別の言葉でいうと「弱点」ということです。セキュリティからみた弱点とは具体的には何を意味しているでしょう。

サイバー攻撃をしかける立場からみた場合の侵入路、方法を考えるとわかりやすいでしょう。脆弱性にはいろいろなものがありますが、最も単純なのは

  ・差し込み口が空いたままになって運用されているハブ、スイッチ
  ・ICカードなどでの認証がない部屋の出入口

が典型的なものです。こうした物理的なことが意外と放置されていますので注意が必要です。これ以外には、

  ・旧式のWi-Fi、無線LAN
  ・ウィルス対策がずさんな現場管理用パソコン
  ・不十分な個人USBの管理

などが考えられます。Wi-Fiはちょっと前にも暗号キーが短かったり、固定のものだったりで多少時間をかければ暗号を解くことができるという話題がありました。旧式のものは注意が必要です。でも、工場の 生産現場には無数の無線装置があって、ちゃんと調査してみたら、使ってるのか使ってないのか不明なものも含め数百もあったという例も報告されています。

そして、コントローラなどの電子機器そのものの仕様に関係する弱点もあります。これは製造メーカでないとわからないことが多いですが、新たに発見されるとIPAなどの公的機関で公表されますし、SHODAN のように世界規模で現場装置の脆弱性を調査し報告しているサイトもあります。こういう情報を常にチェックしておくことも大切ですね。


脅威インテリジェンス

最近「脅威インテリジェンス」というキーワードが聞かれるようになりました。この脅威インテリジェンスとは簡単に言うと、サイバー攻撃者の攻撃意図、攻撃方法、それを実施するためのツールとか設備などに関する情報を集めてスタディし、対策に活用できるようにすること というように言えるかと思います。

例えば、どこかの会社でサーバが攻撃され大量の個人情報が漏洩したというニュースがTVや新聞で報道されたとします。経営者としては、ウチの会社は大丈夫なのかと心配し、情報システム部門やセキュリティ部門に対応を検討せよと命じるでしょう。

指示を受けた部署の担当者はおそらく、

 「詳細な情報の収集」
   ↓
 「攻撃の手口・特徴の把握」
   ↓
 「自社環境との差異分析と影響度評価」
    ↓
 「対策立案と実施」

というように行うでしょう。ところでそうはいってもこうしたアクションというのは、相応の経験も必要ですし、平時から脅威に関する情報収集を行い知見を内的にデータベース化するなどの取り組みをしておく必要があります。 多くの企業にとってそうしたことというのは簡単でもありませんから、こうした脅威インテリジェンスサービスとして銘打って行う企業も出てきました。

既知の脆弱性をついてくる脅威くらいならたいしたことはないのでは・・と考えがちですが、既知の脆弱性と脅威を総括して把握するというのがまず大変です。ですので、数多ある情報を自社環境に関係のあるものに集約するだけでも価値があると考えて利用 する会社もあるようです。このようにサービスの内容やかかる費用もピンからキリというのが実態のようでもありますから、試行錯誤しながら対応を始めているというのが実態と思われるます。


自動車の制御系セキュリティ

もしかすると、この話題が時代の最先端かもしれません。制御システムのセキュリティ対応の重要性、技術的・事業的な難しさの矢面に立たされている産業領域であろうと思います。 自動車業界がいま最も最優先で取り組まなくてはならないのが、「自動運転」でこの実現に向けては、AI技術の飛躍的な向上や法令対応が必要ですが、現在そうした取り組みが世界規模で行われています。

現代の自動車はエンジン、ステアリング、ブレーキのコントロールは全てマイクロコンピュータによる電子制御で行われています。人命にかかわるものなので、機能安全の国際規格ISO 26262に基づく認証も 行われています。それに対して外部からのサイバー攻撃が行われると自動車の安全に危害が及ぶことになりますので、セーフティを担保しながらセキュリティ対策をどのように行うのかについて、いろいろな議論が かわされてきました。

現在、国連の中でWP39と呼ばれる国際検討活動があり、その中で安全とセキュリティを統合するような国際規格の制定、認証制度の在り方などが検討されていて、ISO/SAE 21434 として2020年の秋ごろにリリースされることになっています。これは自動車 の企画、開発、製造から廃棄にいたるライフサイクル全般にわたるセキュリティ活動に関するプロセスを定めているものです。

自動車はプラント設備と異なり、専門知識のない一般人が運転を行い、工場のように限定された場所ではなく公道を走行すること、自然環境から さまざまな影響を受けることなどの大きな違いがあるため、IEC 62443のような規格では対応できないという判断にたっています。

そこでもっと自動車の事情に即したもので考えるべきだとなり、ISO/SAE 21434は機能安全規格のISO 26262と、米国自動車協会SAEが発行した自動車向けサイバーセキュリティガイドであるJ3061がベースとなって策定されていて、日本も国土交通省と経済産業省が 中心となって国内の法律の整備なども行われることになりますので今後の動向にも注視が必要と思います。