制御システムを標的にしたサイバー攻撃事例が高度化し、深刻化しています。2018年早々にハードウェアのCPUの脆弱性が発見され、サイバー攻撃に強いICT危機／制御製品／制御システム設計技術が求められ、各産業界もガイドラインを出し、IEC62443も更新されています。本稿では最新サイバーセキュリティ動向と最後にはEU、米国、中国、日本のサイバーセキュリティ法規制に対応した制御システムセキュリティ対策技術を習得できる製品を紹介します。

AI技術導入のIoT新時代―AI技術にどう取り込んでいくか

AIやディープラーニングを導入したIoT／CPS新時代

図1：IoT／CPSで構成されるIndustryのIoTシステム

図１は、製造システムを持つ企業のIoTシステムを構成するクラウドとエッジコンピューティングと製造システムの機能関連を示したものです。図2は、AI導入の基本構図の一例を表しています。AI本体は、プライベートクラウドの豊富なメモリー空間と高速処理の環境を使えるところに配置すると良いです。パフォーマンスやレスポンスを要求されるものは、エッジコンピューティングの中に装備することで、効果をもたらすというシステム構成が理想的と考えられます。あとは、AIの豊富な手法の中から、目的に合ったアルゴリズムを構造設計することで最適なAI活用が実現します。

図2：AI技術を導入したシステムイメージ図

海外のサイバーセキュリティの動向

ハードウェアの脆弱性情報と制御製品の脆弱性

コンピューターのハードウェアCPUの脆弱性情報が2018年早々に世界中でニュースになりました。20年前から出荷されている複数のコア（2,4,8コア）を持つCPUが対象でした。この脆弱性を使ってサイバー攻撃する方法を研究発表している学者も登場しました。それは攻撃側にとって好都合であったでしょう。LinuxについてはOSメーカーがいないので、製品にLinuxを採用しているベンダーが責任を持って対処することになります。米国機関のICS-CERTでも制御製品のハードウェアの脆弱性としてこの問題を公開しており、制御ベンダーや家電メーカーの対応サイトをICS-CERTのWebサイトで案内しています。

図３：ハードウェアCPUの脆弱性

サプライチェーンのサイバーセキュリティ品質

EUと米国政府では、サプライチェーンにおけるサイバーセキュリティ品質情報の共有と認証制度の整備を進めることを決定し推進しています。米国政府はその中でも防衛産業を優先しています。高度化するサイバー攻撃に対しISO28000を管理しているISO TC292の各WG（１～６）がISO28000の内容の更新作業を進めています。内容としてはサプライチェーンシステム（船舶や航空機輸送など含む）のサイバーセキュリティ対策だけでなく、設備や装置、機械、ロボットなどの供給サプライチェーンでのサイバーセキュリティ品質情報管理（脆弱性情報や認証取得情報を含む）やセキュリティ認証制度の整備も含まれています。日本もこれに追従していくことになるでしょう。

ISO28000

サプライチェーンのシステムのサイバーセキュリティ対策

設備構成品の脆弱性情報管理

セキュリティ認証取得情報管理

そのためのサイバーセキュリティ認証制度制定

サプライチェーンセキュリティ品質情報管理

設備オーナーが脆弱性情報を管理するため、サプライヤーへ情報提供を求めるものです。

対象となるのは、以下の産業になります。

• 防衛産業
• 重要インフラ
• ビル設備
• 家電
• 航空機、船舶
• ロボット
• ICT機器、IoT機器
• 工場設備品（制御製品、制御装置、機械）
• 自動車、建機、農機、交通車両
• 産業機械（工作機械、精密機械、搬送機）

中国サイバーセキュリティ法

中国国内の個人情報だけでなく、工場やビルの設備のリモートサポートで扱われるデータも国外へ出すことを禁止しています。つまり、中国国内のサーバーで管理し、サポートスタッフも中国の現地企業で対応することになります。

EU一般データ保護法

EUは従来のデータ保護指令に加え、EU内の工場や設備の情報もEU外への持ち出しが規制される動きがあります。

日本海外のサイバーセキュリティの動向

日本を標的にしたサイバー攻撃と法規制動向

日本を標的にしたサイバー攻撃の件数は前年の2倍から2.5倍ペースの増加を毎年記録しています。その中で注目すべきは、ファイアウォールやsandboxやプロキシサーバーでは検知できないスクリプトタイプや暗号化されたマルウェアが2014年以降急増しており、従来の情報セキュリティ技術だけで製造システムを防御することも難しくなっています。そこで、サイバー攻撃に強い制御製品や制御システム設計技術を求める声が高まっています。日本政府の動きとして内閣サイバーセキュリティセンター（NISC）からは「重要インフラの情報セキュリティ対策に係る第４次行動計画」「安全基準等策定指針」「リスクアセスメント手引書」を順次公示。経済産業省も「サイバーセキュリティ経営ガイドライン」を更新してVer2.0になりました。医療関係は厚生労働省がガイドラインを更新。2018年3月にはサイバーセキュリティ協議会の設立が閣議決定。今後、重要インフラだけでなく製造業や物流、リモートサポートシステムでもサイバーリスクアセスメントを実施して、セキュア改善やシステム設計を実施することが義務化されていくでしょう。

日本を標的にしたサイバー攻撃は年々増加

出展元：NICTER観測レポート

制御システムを標的にしたサイバー攻撃事故

ファイアウォールもsandboxもプロキシサーバーも検知できないスクリプトタイプや暗号化された高度なマルウェアが2014年より急増

サイバーセキュリティ対策と人材育成

サイバーリスクアセスメント

ここで、「制御システムにおけるサイバーリスクアセスメントにはどのようなものがあるのか？」という疑問があります。

具体的には図4にあるように、制御システムを構成する制御製品が持つ脆弱性やシステム構築時のセキュリティ設定のミスなどから、予備品含めた設備品管理システムにおけるリスクなど多くの項目があります。特に、業者が持ち込むPC、デバイスやソフトウェアにウイルスがあって、それが製造システムに感染することで操業停止する事件が多くなっています。これらのサイバーリスクにどう対処したら良いかを具体的に考え、計画を立て、実現していかなければなりません。企業組織体制やポリシーから現場のマニュアルまで、情報システムと製造システムの違いを的確にとらえた防御システム構造、使えるインシデント検知方法と緊急時対応マニュアルの整備と回復までの手順書およびトレーニング方法、国際標準規格に合ったサイバーセキュリティ品質情報管理、サイバー攻撃に強い制御製品の仕様とシステム設計など、現場で対応できる残留リスクを考慮したサイバーリスクアセスメントをどう実施したら良いかを正しく理解し、正しく対応しておかなければ、国内外の動向や法規制に対応した企業活動にはならなくなるでしょう。

図4：制御システムにおけるネットワーク階層

制御システムのサイバーリスク

• 制御システムの構造上のリスク
• 業務系ネットワークとの取り合いリスク
• 制御製品の脆弱性のリスク
• 電子媒体含めデバイス管理のリスク
• オペレーションの認識不足のリスク
• 業者持ち込みのPCやデバイスのリスク
• バージョンアップやパッチ処理のリスク
• リモートサポートシステムアクセスのリスク
• 設備管理システムにおけるリスク

これからの企業力は人材育成にある

オンデマンドビデオ講座「eICS」

制御システムセキュリティ対策でまず何から始めるのかというと、まずはあるべき姿を設計します。次に現場を調査し、サイバーリスクアセスメントを実施して、そのギャップを把握しセキュリティ改善方針を明確にします。それから計画書を作成し、予算を組んで実施していきます。企業ポリシーから部門ポリシー、そしてサイバー攻撃に強い制御製品仕様や性能、機能および制御システム設計技術、そして脆弱性情報管理やインシデント検知から緊急時対応マニュアル整備に、回復作業、セキュア改善発注仕様書、試験方案に試験結果基準作り、発注先監査および基準づくり、スタッフトレーニング計画などに取り組みます。よって、制御システムセキュリティ対策の範囲は広く深いです。 これらを一気に学ぶことは難しく、現実は仕事をしながらになります。仕事を休んで研修を受けるにも1日程度です。

そこで役に立つのがどこでも視聴できるオンデマンドビデオ講座「eICS」です。「eICS」では、その最初のあるべき姿の設計から、サイバーリスクアセスメント、その後の具体的な対策技術や、課題解決方法までを学ぶことができます。お問い合わせは下記のサイトからお願いします。

ICS研究所のオンデマンドビデオ講座「eICS」

https://www.ics-lab.com/e/

実践的制御セキュリティ講座eICSカリキュラム

サイバー攻撃に備えた実践的なIoTセキュリティ対策の体験学習（ハンズオン）プロジェクト

eICSで学んだことを実際に導入したいという時に別途費用がかかりますが、NTTコミュニケーションズ社とNTTセキュリティ・ジャパン社とセキュリティベンダーの協力でハンズオン体験学習プロジェクトのプログラムを利用することも可能です。

プログラム概要

製造／制御システムや各装置の設計・構築・運用を行う技術者が日頃抱えている課題を解決するとともに、実践的なIoTセキュリティ人材を育成することを目的に2つのプログラムを提供します。

なお、本プログラムは、複数企業のセキュリティ対策製品・技術などを1つのハンズオン環境内に実装しており、業界的にも新しい取り組みです。

(1)学習プログラム(有料)※

Eラーニングおよび講義形式で、サイバー攻撃の脅威を十分に理解するとともに、被害を防ぐためのシステム設計構築方法やインシデント対処方法などを学習できるプログラムです。

※ICS研究所が提供するセミナー研修(講義形式)とeICS(Eラーニング)の学習プログラムセット料金。

(2)技術検証プログラム(無料)

学習プログラムで習得したセキュリティ技術や知識をもとに、実際に業務で利用する製造／制御システムや各装置の一部を用いたハンズオン環境を構築し、今後導入を検討している複数社のセキュリティ対策製品の技術検証や、日頃の課題解決についての体験学習ができるプログラムです。

法規制及び国際標準規格をベースにした対策技術と管理方法
ICS研究所の研修＋eICS講座（＞200講座）

協力会社

• アドソル日進（株）
• アズビルセキュリティフライデー（株）
• （株）MHPSコントロールシステムズ
• （株）カスペルスキー
• トレンドマイクロ（株）
• マカフィー（株）
• 日本シノプシス（合）
• 日本ダイレックス（株）