【トレンド】
産業用最新サイバーセキュリティ対策と 安全操業へのサポート技術
1.はじめに
昨今,新聞・技術雑誌などで「サイバーセキュリティ」の言葉を目にし,耳にしない日はないように感じられる。実際に,大きく報道されている医療関係,自動車関係のほかにも多数の攻撃情報が寄せられている。
これには,日本政府でも重要な課題として,「サイバーセキュリティ戦略」や「重要インフラの情報セキュリティ対策に関わる第4次行動計画」などが通達されている。
近年,攻撃パターンとして定着しつつあり,大きな脅威として被害関係者を悩ませているものに「ランサムウェア(課金型攻撃)」があり,多くのインターネット上やメディアでも脅威として報じられている。
警察庁の報告書「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」でも詳細に報告がなされているが,右上がりの傾向が依然続いている(図1)。一方,サイバー空間での脅威の増加に対しセキュリティ対策を実施していない企業も3割ほどあると報告されている(図2)。
このような状況の中で,「見えない脅威」から工場設備を守り安全な操業を行うためには,生産システムへの適切なセキュリティ対策を行うことが,今や必須な条件となっている。
本稿では,製造システムをはじめとする,産業システムへの最新のセキュリティ技術を紹介し,安全操業を支えるサポートについて,詳しく説明を行う。
2.Comptes社紹介 当社Comptesは産業向け製造システムのセキュリティ対策に特化した,セキュリティ会社である。石油精製装置の運転監視システムから,自動車などの生産ライン,医療機器を扱う病院のセキュリティを包括して,セキュリティ対策を実施することができる会社である。 当社では,これから紹介を行う米国のClaroty社とパートナ契約を結び,技術力を結集させて産業システムを対象としたサイバー対策を行っている。 会社の設立は2022年と若いが,石油精製・化学市場のDCSから高度制御,プロセス制御で培った計装技術とプロセス技術・知識を持ったエンジニアや産業界のシステムに強い営業を含め,業界に特化した形で,セキュリティ対策を推し進めている会社である。 今回は,日本におけるサイバーセキュリティの近況や,サイバー攻撃・脅威に対抗するためのシステムについて紹介させていただく。 3.サイバーセキュリティの近況 産業向けシステムのサイバーセキュリティの必要性とその重要性が,業界誌や各種業界新聞等に記事が掲載され始めてから,20年以上も経っているが,注目を浴びるようになったのは,ここ最近である。 これは,各工場でのDCS・SCADAシステムの更新に伴い,石油化学工場をはじめとする各業界で,Windows系のPCが産業システムの基幹設備になっていることによるものと考えられる。OT(Operation Technology)の基幹システムとしてのDCSをはじめとする産業システムのサイバーセキュリティ対策について,ようやく社内での組織が発足するなど,ITと協業しながら産業用システムのセキュリティ対策を行い始めたばかりである。 コンピュータ関係のサイバーセキュリティなので,ついつい敬遠しがちな内容ではあるが,システムの担当者や実際に運転を行っているオペレータを含め,最新の技術に目を通していただきたい。IIoT,ドローンなどの遠隔監視,DXなどに関連した最新技術の導入も,場合によっては,それらの機器による攻撃リスクを増やすことになりかねない事態も起こりうる。 以下では,当社が産業用サイバーセキュリティビジネスを行う上でパートナとなっている,米国Claroty社(クラロティ社)の最新技術を中心に,最近の技術動向,セキュリティ対策について詳述する。 4.最新サイバーセキュリティ対策 4.1 Claroty社について Clarotyは米国に本社を置き,2015年に創設された会社である。石油・化学市場をはじめエネルギー,食品,自動車,鉄道などの市場に至るまで,幅広い産業分野でのサイバーセキュリティソリューションを展開している。 また,最近では,医療分野に強いMedigate社も傘下にし,医療分野のサイバーセキュリティに対しても,そのビジネス領域を広げている最新気鋭の会社である。 ここからは,最新の技術動向と共にClaroty社のツールの機能紹介を行う。(図3) 4.2 システムのネットワーク状況把握:「Edge」 システムの脆弱性を保護するためにも,まずシステム全体の把握が必要となってくる。 現在使用されているシステムは,増改造をはじめとして,最新機器の導入・運転自動化支援システム,高度制御,アラーム管理ツールなどの機器も増え,ネットワークや機器の構成がわかりにくく複雑になりつつある。ましてや,若手のエンジニアは諸先輩方の構築したシステムを図面頼りに理解しなければならないため,その努力は相当なものとなる。 そこで,まずは自分達のシステムの構造からの理解ということになる。産業用製造システムの多くは,数十年にわたって増改造が行われているために,システム構成図のバージョン管理が十分実施されていない場合も多く,記載・修正項目がすべてにわたって反映されている例は少ない。そのためにも,まずは基礎データとなるシステム構成の把握が必須となる。 以前は,図面でのシステム構成や機器の接続図などを手作業で確認を行っており,システムの管理者・保全部門の担当者と確認しながら調査を行っていた。 しかし,最近ではネットワークに接続されているシステム構成機器の状態を網羅的に自動収集できるツールが利用でき,短時間にネットワーク全体のデータを把握することが可能になっている。 以下は,Claroty社のデータ収集ツール「Edge」を使った場合のデータ収集の例である。 表1は,ツールを用いて収集したデータをExcel表示させた一覧表であり,図4はこのデバイスのレポート形式での出力結果である。このようなツールを扱うことにより,ネットワーク上に接続されている機器の情報を確実に収集することができる。 さて,図5はEdgeを実行するシステム環境の簡略図ある。OTシステム上で外部アプリケーションを実行する際には,制御系ネットワーク通信量の増加や実行するPCでのCPU負荷の増加,また検索しているデバイスが誤操作しないかなど,多くの不安を感じているエンジニアの方も多いと思う。Edgeは世界中で何千ものシステムでの動作実績があり,問題なくデータ収集を行っている。 OTシステムでは制御周期が重要となるため,このEdgeはWindowsプロセス優先度クラスがLowに設定され,RAMの使用量は2GBか,使用可能なRAMの半分かのどちらか少ない方で動作する,非常に影響度が低い実行ファイルである。また,相手の機器のメーカがわかると,そのメーカに応じた独自通信プロトコルを利用して通信クエリを発信し,機器情報収集を行うため,他の同様なソフトに比べ,間違った操作を起こすことが少なくなるように設計されている。 4.3 システムの脆弱性監視:「CTD」 製造システムのシステム機器構成,機器のネットワーク接続,通信プロトコルがわかったところで,システムの脆弱性の評価,脅威リスクの分析そしてそれらの総合評価に基づく対策が必要なステップとなる。 技術の発展とリモート化の拡大により,企業の生産システムも,大きく変貌を遂げつつあり,かつては孤立していた制御・プラント監視システムシステム(OT)環境が,技術情報環境(IT)相互接続されるようになってきている。その結果,複雑で攻撃対象が拡大したITとOTが統合した産業ネットワークが増加し,ITセキュリティチームが守らなければならない領域が拡大している。 Claroty社のContinuous Threat Detection (CTD)は,ITとOTチームがこの問題を克服できるように設計・製作されている。CTDは産業用サイバーセキュリティ対策の基盤技術として,独自プロトコル解析,4つのデータ収集方法開発,産業用ネットワーク機器に関する脆弱性研究を製品を通して提供し,これらは研究・開発チームによって支えられている。 図6にサンプル画面を紹介する。 こちらのダッシュボード画面をはじめとして,資産管理,リスクと脆弱性管理,脅威検出といった専用画面が用意されている。 <CTDの主な機能と能力> ・資産管理:リアルタイムでの管理が難しい産業用ネットワーク内の機器情報の一覧化,パデューモデルに則ったグラフィック表示などにより,資産をリアルタイムで把握することができる。 ・リスクと脆弱性管理:機器情報に関連する脆弱性情報や,通信の振る舞いに潜む脆弱性,それらの情報を元とした自動リスク評価によるリスク対策管理が可能。 ・脅威検出:未知と既知の脅威を検知し,OTセキュリティのインシデント対応基盤として使用することができる。 ・外部連携:既存のITセキュリティ基盤(SIEM,FW,NAC)やワークフロー(チケッティング)との円滑な提携により,セキュリティ対策領域を容易に拡大できる。 5.産業用システム・機器の可視化と管理 産業用サイバーセキュリティ対策は,システムに接続されている機器情報を詳細に把握し,見つかっているこれらの機器の脆弱性や,通信挙動を把握することで,システム内のリスクを特定することから始まる。 CTDはDCS,SCADA,PLCなどを対象とした産業用ネットワークに使用されている独自のプロトコルを数多く網羅しており,他の製品にはないデータの収集方法(パッシブ,アクティブ,AppDB,Edge)を活用して,全体的な資産管理機能を提供する。制御機器,IoT,IIoT機器や通信状態などの詳細な情報を提供し,それを使ったネットワークの状況把握も可能となっている。 (1)機器の可視化:産業用ネットワーク上につながるデバイスのモデル番号,ファームウェア番号,シリアル番号,スロット情報などを可視化する。 (2)セッションの可視化:すべての産業用ネットワークセッションと,その帯域幅,実行されたアクション,変更,接続パス,および産業用ネットワークセッションに関連するその他の詳細を可視化する。 (3)プロセスの可視性:OT,IoT,IIoT機器が関与するすべてのプロセスのコードセクションとタグ値,およびプロセスの健全性に悪影響を及ぼす恐れのある,プロセス値の異常変化を可視化し,追跡することが可能。 6.脅威と異常の検知 CTDでは5つの検知エンジンを活用し,産業用ネットワーク内のすべての機器,通信,プロセスを自動的に識別し,正常時のトラフィック基準を作成することで,基準から逸脱した異常状態を警告することができ,誤検知を排除し,セキュリティ担当者の運用コストを削減することができる。 <脅威検出の主要機能> ・OT特有の脅威インテリジェンス:CTDユーザに対しては,クラロティ社の研究機関による脅威インテリジェンス情報が配信される。Cloud経由でリアルタイムに更新され,最新の脅威検出を可能にする。またオフラインでも脅威情報は更新が可能。 ・状況に基づいたアラートとリスクスコアリング: 各アラートが発報に至った独自の状況に基づき,適切なアラートをユーザへ通知する。これにより誤検知の対応を除外し,優先度付けと緩和策施工を適切に行うことができる。 ・Wisdom of the Crowd:クラロティのWisdom of the Crowd機能は,全世界の導入環境で発生している同様の事象を匿名で活用して,アラートの頻度と潜在的なインパクトへの背景情報をユーザへ提供し,より効果的に対処できるようにする。 ・根本原因分析:同じ攻撃やインシデントに関連するすべてのイベントを 1 つのアラートにグループ化し,イベントの一連の流れを統合して表示するとともに,根本原因の分析も行う。その結果,誤検知率が低下し,アラート対応による疲労が軽減されるため,より効率的かつ効果的な優先順位付けと緩和措置が可能になる。(図8) 最後に,CTDの基本システム構成図を図9に示す。 7.まとめ 産業用システムに対するサイバー脅威は増しつつあり,その範囲は特定の分野・大手企業などに限定されておらず,その攻撃はいつ,自社・工場・生産装置に襲いかかるかわからない。そうした中では,一刻も早い対策が必要であると同時に,システム全体に潜む弱点の把握を行い,攻撃を受けた場合の波及効果を事前にシナリオとして把握できるようにしておくことが必要である。 また,常日頃からのセキュリティ教育や,攻撃を受けた際の復旧シナリオを用意し,訓練をしておくことも必要である。 しかし,このような教育や訓練も,自社で使用しているシステムの十分な把握と,どこに脆弱性があるかの情報,そしてリスクの大きさを考えた,復旧シナリオが必要であることは言うまでもない。これは,産業用システムの担当者や,ITシステム部門のエンジニアだけの問題でははく,全社での組織を挙げた対応ができるかどうかが,これからのポイントと考える。 また,企業,工場などのシステムを管理していくためにも,強力なセキュリティパートナが必要になってくる。
今回紹介したClaroty社の最新技術である,Edge,CTDは,システムの状態の把握から,脆弱性とリスク管理,脅威検出を行うことができ,OTエンジニアでも理解し情報を得て,セキュリティ対策基盤として管理・運用することが可能になる。 組織の中で,産業用サイバーセキュリティについて,IT部門,OT部門と所掌範囲を切り分けることは難しい。また昨今のDX推進に伴う,複雑になりつつあるシステムでは,IT+OTの相互の技術が必要とされており,クラロティ社の技術が大いに役に立つと言える。 当社Comptesは,セキュリティ対策の提案から脆弱性アセスメント,そしてセキュリティ対策システムの導入とその後のサービス体制を確立している。これにより,あらゆる産業分野のユーザをサポートして,セキュリティの脅威から工場・生産現場を守ることをお約束できるパートナになれる会社であると自負している。 皆様と一緒に,日本の明るい製造業を築いて行きたいと思う
図3 Claroty社概要
表1 「Edge」によるデータ収集
図4 収集データのレポート表示
Comptes 上石紀彦
ポータルサイトへ