【巻頭フォーカス】
工場保安力の強化・高度化からみた サイバーセキュリティの視点・論点
1.はじめに
昨年5月に,米国のコロニアル・パイプライン(8850km)がランサムウェア攻撃を受けパイプラインの操業を停止した結果,ガソリンのパニック買いが発生したことは記憶に新しい。この事案ではパイプラインの早期稼働のため,同社CEOはロシアのサイバー犯罪者集団DarkSideに約500万ドルの身代金を支払ったと言われている1)。また日本においても,本年2月にトヨタ取引先の小島プレス工業がランサムウェア攻撃を受け,トヨタなど取引先が生産停止している2,3)。
もう,「工場は外部ネットワークと接続していない」と言う方はいないであろう。上記事例では,直接制御システムが狙われたわけではないが,生産に欠かせない情報を現場に提供できず,結局パイプラインや工場の停止に至る近年増えているサプライチェーン攻撃の一種であることに着目する必要がある。
令和2年6月に経済産業省スマート保安官民協議会が提示した「スマート保安推進のための基本方針」では,「産業保安力を強化する方策として,保安業務にIoTやAI等を活用する」ことを見込んでいる。このため,たとえば「高圧ガス保安分野スマート保安アクションプラン」4)ではセキュリティが確保されたデータベース構築(喫緊)と5G利用(中期)が情報の電子化のため課題として挙げられている。
しかしながら,IoTやAIを活用するには,生産現場で発生する多量のデータをフォグコンピューティング(FOG)5)で前処理(データ量削減,機密データ対応等)した上でクラウドサービス(CLOUD)へ展開することで,FOGが持つ生産管理に関する企業特有の知見とCLOUDが持つ汎化された知見を有効に活用する構成が推奨されている。
したがって,スマート保安を実現するためには社外のネットワークとの接続が不可欠であり,システム全体の安全性とセキュリティを共に高めなければ,スマート保全の実用化は難しいと言わざるを得ない。
2.安全とセキュリティの統合化
本年6月に「高圧ガス保安法等の一部を改正する法律案」6)が交付された。この改訂では,「安全確保を前提に,その保安確保能力に応じて保安規制に係る手続・検査の在り方を見直す」と共に,「サイバーセキュリティに関する重大な事案が生じた場合に,国が独立行政法人情報処理推進機構に原因究明の調査を要請」するとしている。重大事案とは,サイバーインシデントがプラントの安全を脅かす事案であり,調査が入った際には保安に関わる部署が対応することになろう。そのためにはサイバーセキュリティの管理をプロセス安全の枠組みに組み込む問題を議論する必要がある。
上述の組込み問題に対する答えの一つは,本年4月にアメリカ化学工学技術者協会(AIChE)の化学プロセス安全センタ(CCPSR)が著書7)の中で提示している。この書籍のパート2「Integrating Cybersecurity Management into the Process Safety Framework」では,ISA TR 84.00.09(Cybersecurity Related to the Functional Safety Lifecycle)」を,サイバーセキュリティと安全ライフサイクルの整合性を図る業界初の取り組みとして紹介している。
ISA TR 84.00.09では,IEC61511(プロセスオートメーション分野における機能安全規格)とIEC62443(制御システムにおけるセキュリティマネジメントシステムの構築のため規格)との組み合わせで,現在受け入れられている以下のベストプラクティスを示している。
・プロセスまたは機器が(悪意の誤操作・誤動作で)引き起こす「障害のレベル」を特定する。
・制御システム系(IACS:Industrial Automation and Control Systems)の脆弱性レベルおよびIACSに対するサイバー攻撃の可能性を特定する。
・安全およびセキュリティ両方のリスクの低減目標を設定し,これらのリスクを許容レベルまで管理する。
・安全計装機能(SIF),IACSにおけるセキュリティ対策,その他のリスク低減手段を設計し,リスク低減目標を達成する。
・SIL(Safety Integrity Level)とSL(Security Level)の目標を達成するために,SIFと対策をテストし,運用し,維持する。
プロセス安全とサイバーセキュリティのライフサイクルを通した統合化に関して,表1にライフサイクルの各段階で行うべき内容を示す。
ここでのポイントは,プロセス・機能安全とサイバーセキュリティのライフサイクルの各段階において,安全性とセキュリティを確保するために用いる手法やアプローチには共通点や重複が認められることである。したがって,重複する作業を安全担当部署とセキュリティ担当部署が協働すれば,IoTやDX,AI等を活用する新たな時代における,安全性に関わる脅威の低減とセキュリティ導入コストの削減につながる改善活動となることを意味する。
3.IACSセキュリティ・ライフサイクル
一般的に,制御システム系のサイバーセキュリティを向上させるための処置は,安全運転に欠かせないシステムの侵害の可能性を低減し,全体的なリスク低減をサポートすることである。図1にIACSにおけるセキュリティ・ライフサイクルを示す。
本ライフサイクルを始めるにあたって,参考文献8)では組織として定めたセキュリティポリシーを考慮した上で,以下を含むIACSセキュリティポリシーを制定することを勧めている。
●「IACS製品ベンダおよびサービス提供者の役割と責任の明確化」;
社内における役割分担は当然として,契約によってライフサイクルの各段階における用務と責任を規定する必要がある。
●「サイバーインシデントの結果として引き起こされるIACSの故障や障害に対するリスク評価方法」;
機能安全評価では,通常は単一故障を前提している。しかしながら,サイバーインシデントでは,同時多発的にIACSに障害を与えることが可能である。したがって,攻撃・感染を限定化するゾーンとコンジットを適切に配置しないと,既存の多重防御システムとそれを担保する機能安全評価結果を信頼することができない。
また,「制御システムのセキュリティリスク分析ガイド 第2版」9)では,資産ベース*1)と事業被害ベース*2)のリスク分析法を説明している。
表2にあるようにそれぞれの手法には守備範囲があり,特に事業被害ベースのリスク分析では意図的な誤動作・誤操作と同時多発攻撃を想定した機能安全評価によって事業被害を特定する必要がある。
●「組織横断的な技術的および組織的なセキュリティ対応」;
米国国立標準技術研究所(NIST)のCSF(Cyber Security Framework)11)では,組織内の情報の流れと意思決定の流れを図2で示している。
ここでは全社的なサイバーセキュリティのスパイラルアップのために,上級役員レベルでのリスクマネジメントと実施/運用レベルでの実装の2つのPDCAを共に推進することを求めている。2つのPDCAを接合し,セキュリティの観点から経営層と現場担当者を繋ぐ人材(中核人材)がビジネス/プロセスレベルに配置される必要がある。
<産業サイバーセキュリティセンター>
この中核人材育成のために,「産業サイバーセキュリティセンター」*3)が設立され,筆者らは講義に加えて以下に示す演習システムを開発して実践教育にあたっている12) 。
1)「IMANE-DEMO」:模擬プラントを用いた演習
・模擬プラント(仮想化によりIT系ならびにIACS系を含み,実機として制御機器とミニプラントを接続)をターゲットとしたとサイバー攻撃演習により,攻撃者の視点を理解する。
・防御の「型」を,NIST CSFが示す5つのコア(特定,防御,検知,対応,復旧)を通して理解する。
2)「IMANE-CARD」:カードゲーム
・組織連携によるインシデントレスポンスを理解する。
・サイバーインシデント発生時に必要となる対応プロセスおよび組織体制について理解する。
3「IMANE-PC」:シミュレーションゲーム
・与えられた役割の下で緊急対応を行うことで,リアルタイムに近い組織連携を体験する。
・緊急対応の際に,予め決めておかなければならない情報共有のタイミングと内容を理解する。
●「IACS固有の認証」;
IT技術の変化は速く,組織を取り巻くサイバー環境は留まることを知らない。したがって,常に評価・見直しと改善を行う必要がある。たとえば,IEC62443-2-1対応CSMS(Cyber Security Management System)認証基準によって評価を行い,JIS Q 22301(セキュリティおよびレジリエンス-,事業継続マネジメントシステム-要求事項)の箇条4~10をPDACサイクルに当てはめることで,見直しと改善を行うことが可能となる。(表3)
4.おわりに
本稿では,スマート保安に向けてサイバーセキュリティを強化する上で不可欠な安全とセキュリティの統合化は,安全担当部署とセキュリティ担当部署が協働することで,
①「安全性に関わる脅威の低減とセキュリティ導入コストの削減につながる改善活動」
となり得ることを示した。また,スマート保安の基盤となる変化の激しい情報技術に対応するためにIACSセキュリティ・ライフサイクルを有効とするには,これまで保安において行われてきた人材育成と同様に,
②「セキュリティの観点から経営層と現場担当者を繋ぐ中核人材の育成が不可欠」
であることを述べた。
事故調査が実施される場合,表1の機能安全評価・サイバーセキュリティ評価1~4に従って評価・導入されたSIFやIACSセキュリティ対策において,インシデントデータを収集する仕組みとそれを担う組織の確立が不可欠である。筆者は上述した①を原資として②を達成することが,新しい時代のスマート保安推進ばかりでなく重要インフラ企業のより強固なセキュア化に繋がると考える。
注)
*1)保護すべき制御システムを構成する資産群を明確化し,各資産に 対するシステム構成上および運用管理上に想定される脅威について,各資産の重要度と,その脅威の発生可能性と受容可能性(脆弱性)の相乗値によって,資産のリスクを評価するリスク分析手法。
*2)回避したい事業被害を明確化し,事業被害を引き起こすと想定される攻撃について,事業被害の大きさと,攻撃の発生可能性と受容可能性(脆弱性)の相乗値によって,事業のリスクを評価するリスク分析手法。
*3)https://www.ipa.go.jp/icscoe/
〈参考文献〉
1)「コロニアル・パイプライン社へのランサムウェア攻撃 国土安全保障委員会の公聴会で語られた事件の背景とは」,ISRセキュリティニュース編集局, 2021/06/28
https://www.cloudgate.jp/security-news/colonial-pipeline-ransomware-attack-cause-and-why-it-paid-ransom.html
2)島津忠承:「トヨタ取引先の小島プレス工業がマルウエア感染公表,ランサムウェア攻撃の可能性大」,『日経クロステック』, 2022/03/01
https://xtech.nikkei.com/atcl/nxt/news/18/
12332/
3)島津忠承:「トヨタの工場を止めたサイバー攻撃 サプライチェーン攻撃のリスクが露呈」,『日経コンピュータ』,2022.03.14
4)『高圧ガス保安分野スマート保安アクションプラン』,スマート保安官民協議会 高圧ガス保安部会,2020.07
https://www.meti.go.jp/shingikai/safety_security/
smart_hoan/koatsu_gas/pdf/action_plan.pdf
5)シスコシステムズ合同会社:「Ciscoフォグコンピューティングソリューション」,2016
https://www.cisco.com/c/dam/m/ja_jp/offers/
164/never-better/core-networking/computing-solutions.pdf
6)『高圧ガス保安法等の一部を改正する法律案』,衆議院,2022.06.22
https://www.shugiin.go.jp/internet/
itdb_gian.nsf/html/gian/keika/1DD5626.htm
7)「Managing Cybersecurity in the Process Industries: A Risk-based Approach」, Center for Chemical Process Safety, 2022.04.12
8)「Security Lifecycles in the ISA/IEC 62443 Series」, International Society of Automation, 2020.10
https://gca.isa.org/isagca-security-lifecycles-62443
9)『制御システムのセキュリティリスク分析ガイド第2版』,独立行政法人情報処理推進機構セキュリティセンター,2020.03
https://www.ipa.go.jp/security/control
system/
riskanalysis.html#section15
10)『基礎から学ぶICSセキュリティ#2ゾーンとコンジット』,JPCERT/CC,2022.10.27
https://www.jpcert.or.jp/ics/20221027_
ICSsecStandards-02.pdf
11)『重要インフラのサイバーセキュリティを改善するためのフレームワークver.1.1』,NIST,2018.04.18
https://www.ipa.go.jp/files/000071204.pdf
12)橋本芳宏:「プラントのDX化による生産性の向上,保全の高度化 4.6節プラント制御のためのセキュリティ人材育成」,技術情報協会,2022.04.28