現在、多くの企業が、実世界(フィジカル)から得た情報を仮想世界(サイバー)で分析して知識化し、社会課題の解決につなげていくサイバーフィジカルシステム(CPS)の実現を目指しています。CPSの実現に伴い重要となるのが、サイバー攻撃による影響を最小化して早期にシステムを復旧するという「サイバーレジリエンス」の視点です。世界有数のCPSテクノロジー企業を目指している東芝グループは、いち早くサイバーレジリエンスの実現に取り組み、情報セキュリティ、制御セキュリティ、製品セキュリティ、そしてデータセキュリティをシームレスかつトータルに管理し、運用するためのソリューションを提供しています。なぜ、サイバーレジリエンスが重要なのか、そしてどのようなソリューションでそれを実現するのかをご説明します。


「サイバーレジリエンス」の重要性


近年、世界のエネルギー産業を狙うサイバー攻撃「Night Dragon」や、制御システムを狙うマルウェア「DUQU」が、欧州や中東、アジアで話題となりました。また、原子力施設や電力関連企業、水処理施設、製鉄所、製造工場といった重要な産業インフラを狙ったサイバー攻撃が続出。日本においても、自動車メーカーがランサムウェアによる攻撃を受けたニュースは、記憶に新しいところです。

この、人々の生活に欠かせない産業インフラの多くは情報システム(IT)と制御システム(OT)の2つの系統で構成され、そのネットワークは、「情報系ネットワーク」「制御情報系ネットワーク」「制御系ネットワーク」という3つのレイヤーで構成されています(図1)。

従来、制御情報系および制御系のネットワークは、情報系ネットワークと物理的に接続されていない環境にあり、そこに置かれたOTや製品には一定の安全性が担保されていました。しかし最近は、OTから発生するデータの活用や現場の人手不足への対応に伴い、すべてのネットワークをつなぎリモートでシステムの運用や管理をすることが進められています。リモート化は、新型コロナウイルス感染症への対策としても有効なため、対応を加速させる企業がさらに増加しているのが現状です。このように、すべてのネットワークがつながることは人々にさまざまな効果をもたらしますが、一方でOTにとっては、サイバー攻撃による脅威が拡大することを意味するため、サイバーセキュリティの重要性がますます高まっています。

ここで重要なのは、ITとOTではセキュリティ対策やその対応が異なることです。ITでは情報漏えいリスクへの対策が中心で、対応の自動化も進んできました。一方、OTではインフラを止めてはならないなど事業継続リスクへの対策が重要であり、組織的な、運用的な対応が必要となります。

最近のサイバー攻撃の特徴としては、まず、情報セキュリティにおいては、国家的な産業スパイによる重要インフラ関連企業などを狙った、高度な攻撃が増加している点が挙げられます。また制御セキュリティでは、工場に設置された機器にマルウェアが仕掛けられ、世界中の工場が停止するなどの甚大な被害が出ている点。さらに製品セキュリティの面では、製品に組み込まれた汎用ソフトウェアの脆弱性(ぜいじゃくせい)が狙われ、サプライチェーンが影響を受けるリスクが現実となってきた点が挙げられます。また攻撃そのものも多様化、高度化、複合化し、しかも既知より未知の攻撃が増加しています。未知の脅威に対応するために、これまでの「Reactive(リアクティブ:反応的)」な対応から、「Proactive(プロアクティブ:先を見越した)」な対応への変革が求められており、そこでは、「サイバーレジリエンス」の視点が重要です。

レジリエンスは、「弾力」「復元力」「回復力」といった意味を持つ言葉です。つまり、サイバーレジリエンスとは、システムがサイバー攻撃を受けたときに、その影響を最小化し、早急に元の状態に戻す仕組みや能力のこと。産業インフラでサイバーレジリエンスを実現するためには、情報セキュリティ、制御セキュリティ、製品セキュリティ、そしてデータセキュリティを、シームレスかつトータルに運用し、管理していくことが大切なのです。


サイバーレジリエンスを実現するために考えるべきこと


では、サイバーレジリエンスを実現するためには、具体的にどのような対策が必要なのでしょうか。

私たちは、インシデントによるシステムへの影響を最小化するパラメーターを定義しています。パラメーターは、システムの稼働時間「Prepare(P)」、インシデントによる損失「Mitigate(M)」、そして対応・復旧時間「Response & Recover(R)」の3つ。それぞれ、「Pを長く」「Mを小さく」「Rを短く」することが求められます(図2)。

まず、Pを長くするための3つの対策を説明します。
1つ目は、「システムの健全性を維持」することです。ITには、OSやソフトウェアの定期的なアップデートとタイムリーなパッチの適用を、OTには、定期的なメンテナンスを行い、さらにリスクの見える化や継続的なモニタリングなどにより、システムの健全性を維持します。2つ目は、「抑止力・防御対策の強化」。ITとOTの境界に多層防御を施す、OTのレガシー機器を守る仕組みを導入する、システムを冗長化するなどを行います。そして3つ目は、「脅威インテリジェンスを利用し、リスクを予測」することです。攻撃者の会話や動きを未然に察知し、攻撃を受ける前に対策を講じることもプロアクティブな対応の重要な要素となります。

次に、Mを小さくする対策としては、大きく2つあります。
まずは、「インシデントのリアルタイム検出」です。異常の検知とともに、その後、連続して同じ攻撃を受けることも多く、最初の攻撃との相関関係を分析することも重要です。そこで、侵入検知システム(Intrusion Detection System:IDS)の導入や、ITおよびOTを継続的に監視する組織・態勢(Security Operation Center:SOC)の設置、さらにはインシデントとイベントログの相関分析を行うツール(Security Information and Event Management:SIEM)や、インシデントの可視化とレスポンスの自動化を行うソリューション(Security Orchestration, Automation and Response:SOAR)の導入が効果的です。また、システム内をネットワークや機能単位で分離(ゾーニング)し、各ゾーンの内部の状態やゾーン間の接続点(コンジット)の通信を監視して異常の検知や検出を行うことで、「ゾーニングによる影響の局所化と最小化」を実現します。

※ゾーニングについては、Vol.25の4つ目の記事で詳しくご紹介しています。

最後に、Rを短くするためには、「プレイブック化と自動化」によるインシデント対応の効率化と、「ログの活用とフォレンジック体制の構築」が重要です。インシデント対応において、属人化している知見や経験を形式知化(プレイブック化)してSOARに実装し、一部の対応の自動化と、それによるインシデント対応全体の効率化を行います。また、蓄積した対応ログと発生したインシデントの相関分析を実施し、ログと同様の攻撃に対してはすぐに対応を行える、一方の新しい攻撃に対しては、詳細な調査(フォレンジック)を行える体制を整備できていることが早期にシステムを復旧するために重要です。もちろん、これらの実現には、インシデント対応のナレッジを継続して蓄積しておくことも、欠かせません。

私たちは、これらPrepare、Mitigate、Response & Recoverへの対応というライフサイクルを、SOCおよびCSIRT(Computer
Security Incident Response Team)、PSIRT(Product Security Incident Response Team)が連携して継続的に運用し、サイバーレジリエンスの成熟度を高めています。またこのライフサイクルのマネージメントを効率化し、自動化するために、脅威の情報とアセットログをSOARに集め、サイバーレジリエンス運用プラットフォームを構築しています。


「P:システムの稼働時間」を長くするソリューション


実際に、サイバーレジリエンスを実現するために、東芝グループが提供しているソリューションを、いくつかご紹介します。

Pを長くするために有効なソリューションのひとつが、データダイオード「Waterfall 一方向セキュリティゲートウェイ(以下、Waterfall)」です。Waterfallは、逆方向からの通信を物理的に遮断し、一方向通信を実現する仕組みです。産業用のアプリケーションや標準的なファイル方式など、さまざまなアプリケーションやプロトコルに対応しているため、既存のアプリケーションの仕組みをほとんど変えることなく導入できる特長があります。この一方向通信が求められる背景には、ファイアウォールの問題がありました。ファイアウォールの場合、外向きの通信だけを許可しても、それに対する肯定の応答(Ack)など逆向きの通信が発生することから、この応答の通信を悪用して攻撃され、システムがマルウェアなどに感染する危険があります。さらにファイアウォール自体に脆弱性や設定ミスがあれば、攻撃者にシステムへの侵入を許してしまいます。

同様に、Pを長くするために有効な「CYTHEMIS(サイテミス)」をご紹介します。CYTHEMISは、通信したい機器に外付けする小型のデバイスと管理システムにより、簡単に専用線のようなセキュアな通信を実現するIoTセキュリティソリューションです。例えば、リプレースやアップデートが難しいレガシーな機器など、安全上ネットワークにつなげられなかった機器やネットワークにつないでいることによるリスクがある機器にCYTHEMISを導入することで、セキュアに接続、通信できるようになります。これはCYTHEMISの相互認証機能やホワイトリスト機能によるもので、データの送信元や送信先、通信の種類を定義し、リストに載っている通信以外は不正として遮断される仕組み。東芝がICカード事業で培ったセキュリティ技術を応用しています。

Pを長くするソリューションとして最後にご紹介するのが、制御システム向けサイバーセキュリティ・プラットフォーム「CyberX Platform(以下、CyberX)」 。これは、OT-IDS(OT向け侵入検知システム)のひとつです。CyberXは、制御情報ネットワークや制御ネットワークに接続されたデバイスを自動的に検出し、ネットワークの接続関係をリアルタイムに可視化します。現場の制御システムの動作には影響を与えない特長があります。エネルギー業界では、CyberXの導入により、資産の識別と可視化を実現されました。

※CyberXについては、同号の2つ目の記事で詳しくご紹介します。


「M:インシデントによる損失」を小さく、
「R:対応・復旧時間」を短くするソリューション


OT-IDSの導入は、Mを小さくし、Rを短くすることにも効果があります。例えば、ある変電所にOT-IDSを導入した事例では、制御システムの挙動から未知の脅威と既知の脅威の両方を分析し、制御プロトコルに応じて異常の検出と対策案の提示を行っています。

また、SOARの活用も、Mを小さくしてRを短くするのに有効です。例えば、ある製造業のお客さまでは、PSIRTにSOARを活用されました。その結果、対応の効率化に加えて、自社に関連するインシデントの発生状況と対応状況が可視化される効果がありました。

そのほか、Mを小さくRを短くする取り組みとして、私たちは、ICS-SOC(産業用制御システム向けのSOC)を運営しています。ここでは、製造業としての東芝グループが持つシステムや機器の知見と運用ノウハウ、そして社外の情報ソースから収集した脅威情報などを利用した脅威インテリジェンスの活用により、より高度で早く、正確な分析と異常の検知を行います。

※ICS-SOCについては、同号の3つ目の記事で詳しく紹介します。

さらに、データセキュリティの領域では、産業データを安全に流通させるためにセキュアデータ加工技術の研究開発を推進しています。もちろん、製品セキュリティの強化も図っています。例えば、東芝グループの製品については、その引き合いから要件定義、開発・設計、製造・試験、実装・検査、運用、破棄に至るまでの製品のライフサイクル全体にわたり、セキュリティのチェックリストとそれを運用するための品質保証ガイドライン、さらには評価する検証基盤を整備するなどを進めています。

※セキュアデータ加工技術については、Vol.34の4つ目の記事で詳しくご紹介しています。


産業インフラのサイバーレジリエンス実現に貢献する


このように東芝グループは、サイバーセキュリティにおけるさまざまなソリューションを用意しています。東芝グループの強みは、自身も製造業としてOTと製品を有し、情報セキュリティ、制御セキュリティ、製品セキュリティ、そしてデータセキュリティそれぞれと、それらを統合した経験や知識を蓄積していることです。また現在、「すべての機器やシステムへのアクセス制御と監視を前提としたゼロトラストネットワークの構築と実践を行う新しい取り組みも進めています。今を守りながら、先を見据えた取り組みを続ける。このことが、サイバーセキュリティにおいて欠かせない、そしてサイバーセキュリティは東芝グループがインフラサービスカンパニーとしてのさらなる成長を目指す上でとても重要な要素です。

※ゼロトラストネットワークへの取り組みは、今号の4つ目の記事で詳しくご紹介します。

私たちのようにサイバーレジリエンスという視点でシームレスかつトータルにセキュリティ対策を考え、実践できる企業は、まだ限られています。産業インフラにおけるサイバーレジリエンスの実現は、CPSテクノロジーを磨いてきた東芝グループの強みを存分に生かせる領域なのです。

また、必要な投資を必要なときに行うことがセキュリティ対策には重要なことから、導入するセキュリティソリューションの機能が重複して過剰な投資にならないように支援したい。そんな想いで、私たちは、お客さまが導入される前にアセスメントを行い、最適なソリューションをご提案しています。

産業インフラにおけるサイバーレジリエンスの実現を検討されるときは、ぜひ、当社にご相談ください。お客さまにとって最適なセキュリティを、シームレスかつトータルに管理し、運用するソリューションをご提供します。

  • この記事に掲載の、社名、部署名、役職名などは、2021年1月現在のものです。

>> 関連情報

関連記事