【Solution】
産業システムに向けた サイバーセキュリティ対策導入ステップ
1.はじめに
昨今,新聞・技術雑誌などで「サイバー攻撃,情報の漏洩など」のサイバーセキュリティに関する言葉を目にし,耳にしない日はないように感じられる。
今年になっても,未だにニュースや新聞紙上などを賑わせており,まだまだ,サイバーセキュリティ対策が十分に行われていないケースやセキュリティ対策の実施が行われていない現状が伺える。
海外の実情と比較すると,サイバーセキュリティに対する意識や理解について,日本が欧米諸国に遅れをとっており,IT/OTに関しても「開発後進国」と言わざるを得ない状況である。
日本政府や各省庁およびサイバーセキュリティ関連団体・法人などでも盛んに,サイバーセキュリティに対する脅威への対策の啓蒙活動や対策の紹介などを,インターネットをはじめ,様々な媒体で紹介しているが,いまだ普及しているという状態には至っていないように感じる。
NRI(㈱野村総合研究所)の資料を見ても,日本のゼロトラスト対策が欧米と比較しても,その差は顕著である。ここでは「ゼロトラスト対策」に特化しているが,制御システムのサイバーセキュリティ全体についても,同じかもっと顕著に差が表れると思われる(図1)。
また,以前から指摘されているように,セキュリティ人材不足の問題も10年前からほとんど現状は変わっていない。このセキュリティ人材不足に対しては,他の国と全く様子が異なっているのが現実である(図2)。
このような状況下で,これからサイバーセキュリティ対策を実施していくことが,さらに難しく,最新の技術に追いつき,いかにサイバーセキュリティ対策の導入を進めていくかが,企業や担当者にとって大きな負担になっている。
そこで,今回はサイバーセキュリティ対策プロジェクトをいかに進めていくかを,まとめてみたいと思う。今後,システムのサイバーセキュリティ対策を進めていく上での,一助になれればと思う。
2.システムへのサイバーセキュリティ対策の実施プロセス
プラント制御システムあるいは製造ラインの制御システムへのサイバーセキュリティ対策を導入する作業は,ITシステムへの導入と異なって,より十分な準備と対応手順の検討が必要である。
ITシステムとは異なり,対象がDCS・PLCをはじめとするプラント・工場の制御システムであることに,難しさが増している。制御システムの端末PCでは,古いOSが使用されているケースやWindowsなどのセキュリティパッチも適用されていないケースがあり,そこにセキュリティ対策を実施しない・できない理由もあることを,十分に承知しなければならない。
しかし,サイバー攻撃の対象になれば,想像を超えた被害の範囲,近隣への被害,企業ブランドへのイメージダウンなどや,復旧対策など,想定外の大きな出費が容易に想像できる。
こうしたことから,サイバー攻撃に対するリスク回避を行うためにも,今のうちに対策を実施しなければならない。
(1)サイバーセキュリティ対策プロジェクト
サイバーセキュリティ対策を行うために,以下の手順で実施することが最適と考える。
・社内への周知および協力要請
・システムのデータ・図面などの情報収集
・会社のセキュリティポリシーなどの情報収集
・現状システムと社内資料の差異の調査
・システムのアセスメント
・アセスメントの評価と是正対策の検討
・是正対策の推進
(2)システムのサイバーセキュリティモニタリング
・システムのセキュリティ脅威対策,脆弱性対策が行われているか?
・システムの異常な振る舞い・通信量の変化がないか?
・アラーム・警告メッセージの内容確認
・異常時の早期対応
などの監視を行い,システムの監視を行う。
(3)サイバーセキュリティ対策ツールのアップデート
・システムのアップデート
・パッチの適用
などの運用作業を実施し,運転システムおよびサイバーセキュリティツールのメンテナンスも行うことが必要になる。
3.導入作業の詳細
導入に伴う作業について,詳細を見ていくことにする。
(1)社内への周知および協力要請
まず,サイバーセキュリティ対策を行うためには,他部署との連携が必要になる。
システムの資料整理から実機での調査までを行うため,それらシステムの関係者および社内に対しての,サイバーセキュリティ実施に対する社会的要求,企業としてのビジネスの継続などについて十分に説明を行う必要がある。
また,経営層からの会社としての取り組みをきちんと説明する機会を設け,会社としての絶対的な取り組みを強調することも重要である。
経済産業省から,「サイバーセキュリティ経営ガイドライン」が発行されており,サイバーセキュリティ対策・対応への経営層の主体的な行動を呼びかけており,このような資料を基に,企業としての対応を検討していくことも可能である。
同じく,経済産業省の「サイバーセキュリティに対する取り組み」の資料でも,日本と欧米を比較し,経営層の積極的な対応の割合が低いと懸念を示している(図3)。
(2)システムのデータ・図面などの情報収集
稼働中のシステムを調査・アセスメントを行う前に,既存のシステムのドキュメントや図面を集めて,資料の精査から始めることになる。
資料には以下のものが含まれる。
・計器室レイアウト図
・キャビネットルームレイアウト図
・キャビネット名部配置図(DCSコントローラ,PLC,サーバ類)
・システム構成図
・ネットワーク接続図(IPアドレス)
・Firewall,Network Switch,機器型番および設定リスト
などの,資料を利用しアセスメント事前の情報として,システム状況の把握を行う。
場合によっては,図面が古く,増改造の反映がなされていない場合もあるが,既存の構成図を最新の状況にアップデートすることも必要な作業である。
これらの情報をベースに,作業の割り振り・手順・対象範囲の詳細方針を決定していく。
(3)会社のセキュリティポリシーなどの情報収集
現在のセキュリティポリシーの再度見直しを行い,最新の技術・機器・性能を十分に考慮したものに改変されているかを確認する。
たとえば,パスワードの定期的な更新などは,今では最も初歩的なサイバー攻撃の対策になっている。また,生年月日などのわかりやすいものではなく,英数字や記号を含んだものが要求されている。
また,通信機器の設定などのポリシー,機器更新のポリシーなど,時代とともに変わってきている技術に対し,対応あるいは対抗処置などの記載が重要となってくる。あるいは,重要インフラや特定の業界においては,特定の対応が求められる場合があるので,それに対するケアーも重要となる。
国内では,多くは自社内のセキュリティポリシー,情報システムポリシーなどがあり,会社独自の基準でサイバーセキュリティ対策を行っている,会社・工場もあるが,世界のグローバル化に伴い,これらのポリシーが国際基準にどの程度一致している・追従しているかは需要な要素になってくると考えられる。
国際基準に照らし,ポリシーの見直しを行うことも重要な作業になる。
(4)現状システムと社内資料の差異の調査
(2)システムのデータ・図面などの情報収集の項でも述べたように,必ずしも現状のシステム構成図やキャビネット図面の内容が正しく更新されているとは限らない。 そのため,実際に機器の有無や機器の増設などの情報を現地の実機ベースで確認する必要がある。特に,DCSなどでもPCやサーバの利用が増えており,定修工事・メンテナンス工事のタイミングでシステムに改造が行われる場合が多数あるので,システムの担当者とともに現状のシステムを確認する必要がある。 この確認は,現場での目視確認や最新のシステムデータを利用して行うが,弊社Comptesでは,最新のPCツールを利用し,10分ほどの実行時間で,ネットワーク接続機器,ネットワークの接続図を収集することができ,それをすぐに可視化することが可能となっている(図4,5)。 (5)システムのアセスメント システムのアセスメントは,会社のセキュリティポリシーや業界の標準の標準規格を用いて,システムが規格書ベースに運用されているかを評価するものである。 目的として; ・望まれる状況と比較しての全体的な弱点およびリスク領域の概説 ・より良いシステム管理のための実行可能な推奨案の提供 ・推奨案の優先度決定のための経験上のデータの使用 ・是正努力の規模や範囲に対する予算ガイドラインの提案 を行うために,現状のシステムの全体的な使用状況を網羅した調査を行うことにある。 アセスメントの範囲としては; ・キックオフミーティング ・コンサルテーション ・セキュリティ管理の運用および管理上の分析 ・セキュリティ設計の分析 ・物理的セキュリティの評価 ・脆弱性の評価 などを中心としてアセスメントが実施される。 場合によっては,物理的な入出管理やアクセス権限の詳細設定まで,アセスメントが行われる場合もある。 いずれにせよ,現場での運転継続を維持しながらシステム調査を実施するために,運転員や保全担当者とのチーム連携が重要となる。 プラント・製造現場作業が優先されるため,現場調査を行う日時は運転計画と見比べながら,随時の調整が必要になる。
(6)アセスメントの評価と是正対策の検討と是正策の推進 アセスメントの評価を受け,是正案の検討に入る。是正案の検討には,費用・掛かる時間,そして緊急性を有するかどうかの優先度などを考慮する必要がある。 それと同時に,計画的にアセスメントや是正対応を行っていくための,計画策定と実施の状況確認を行い,アセスメントで是正項目が対応されていることを確認する。
会社のサイバーセキュリティポリシーは,国・業界の状況や,グローバルスタンダードの内容により,定期的に内容の見直しが必要である。 これらの是正対策には,もちろん経営層からの力強い牽引と,セキュリティ対策にスピード感を出しながら,素早い対策を進めることが何より大切である(図6)。 4.国・各省庁の動向 今年の4月末,経済産業省から「サイバーセキュリティ経営ガイドライン Ver.3.0」が提出されており,経済産業省のホームページからダウンロードすることも可能である。 Ver2.0からの変更内容も資料として用意されているため,どのような対応が必要になるかといったことまで,社内で統一的にできるような構成になっている。 その中でも協調されている項目として,「経営者が認識すべき3原則」が記載されている。 1)経営者は,サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し,自らのリーダーシップのもとで対策を進めることが必要 2)サイバーセキュリティ確保に関する責務を全うするには,自社のみならず,国内外の拠点,ビジネスパートナや委託先等,サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
3)平時および緊急時のいずれにおいても,サイバーセキュリティ対策を実施するためには,関係者との積極的なコミュニケーションが必要 (以上,「サイバーセキュリティ経営ガイドライン Ver.3.0」より抜粋) 以上のような内容が記載され,日本の従来からのセキュリティ対策方法に,より強力な推進策としての経営者層の積極的関与と,責任が挙げられている。 日本の企業ではサイバーセキュリティ対策は,インシデントなどの事故が発生してからの後手の対応に対し,欧米では企業のトップダウンによる指示に基づいての対策を行うところに,日本での対策遅れの影響があると思われる(図7)。 政府の推す,経営層からのトップダウンでの実行は,日本でのサイバーセキュリティ対策の大きな発展につながる。 また,海外ではサイバーセキュリティの費用を「リスク対策」として考えているのに対し,日本の企業では「コスト」として考えている違いも,諸外国との対策遅れに影響が出ていると考えられる。 5.サイバーセキュリティ専門組織の構築 さて,次に同じく「サイバーセキュリティ経営ガイドライン Ver.3.0」から,経営者が認識すべき「重要10項目」について見てみよう。 図8は,「サイバーセキュリティ経営ガイドライン Ver.3.0」からの抜粋である。 ここでもやはり注目すべきは,サイバーセキュリティの管理体制の構築と,トップダウンからのリーダシップを発揮することが求められている点であろう。 また,インシデントに対応する体制の構築なども述べられており,素早いシステムの復旧体制が不可欠になっている。たとえば,弊社ではシステムを利用し,常時システムの攻撃・異常の監視を行うツールが揃っており,セキュリティ管理組織を十分サポートすることが可能となっている。(ぜひ,本誌2023年2月号)の記事を参照していただきたい。) さらに,インシデント発生時のシステムの復旧対応サポートのほかに,メディア管理を行い企業のイメージダウンを抑えることができる対策部門も用意しており,多方面からの組織のサポートが可能である。 6.まとめ サイバーセキュリティ対策は,今では企業継続戦略の一つに取り上げられるべき項目になっている。対策を行ったからといっても,攻撃者との技術のしのぎ合いの中では,被害が0%になることはないが,それでも対策を行うことにより人・環境をはじめ会社のシステム・製造の早期立ち上げなど,メリットは大きいと考える。特に,人的被害や環境への影響を抑えることは,企業のブランド力を維持するためにも重要と考えられる。 サイバーセキュリティ対策は,いまや同世代の会社経営層および上位管理者層に与えられた課題である。この課題に対し,いかなる答えを導き出すかは,企業によって様々であると思われる。だが,いい意味での競争原理で,日本をサイバーセキュリティ開発後進国から先進国への仲間入りができるよう,まずは,自分たちのシステムの正しい正確な状況を把握するところから始めたいものである。 〈参考文献〉 1)上石紀彦:「産業用最新サイバーセキュリティ対策と安全操業へのサポート技術」,『計装』,Vol.66,No.2(2023)
図4 データ収集ツール作業イメージ
図5 収集ツールによるネットワークの可視化
図6 アセスメントの概略工程
図7 情報セキュリティ対策実施のきっかけ
図8 サイバーセキュリティ経営の重要10項目
Comptes 上石紀彦
ポータルサイトへ