近年、エネルギー産業などの制御システムを狙ったサイバー攻撃が、世界的に増えています。主に企業や個人の情報漏えいにつながる情報システムへの攻撃とは異なり、制御システムへのサイバー攻撃は、設備の破壊や停電、操業停止といった企業の事業継続を脅かす事故につながる恐れがあります。現在、多くの企業が、実世界（フィジカル）から得た情報を仮想世界（サイバー）で分析して知識化し、社会課題の解決につなげていくサイバーフィジカルシステム（CPS）の実現を目指しています。このためには、工場やプラントなどの現場で閉ざされていた制御系ネットワークを、情報系ネットワークやインターネットといった外の世界へつなげる必要が出てきました。一方で、外部のネットワークにつながることは、サイバー攻撃の脅威に常にさらされることになります。ここでは、制御システムに対して増大するサイバー攻撃の脅威を検知・分析するソリューションをご紹介します。

制御システムにおけるサイバー攻撃の脅威は、年々増しています。ここ10年を振り返っても、電力関連企業や原子力施設、製造工場など重要な産業インフラを狙ったマルウェアなどによる攻撃が頻繁に発生していることが、報告されています。

従来、情報システムを中心に行われていたセキュリティ対策は、今後は、製造・生産インフラ、製品、システム、ソリューション、サービス などさまざまな領域においても必要になっていきます。そこで東芝グループは、システムがサイバー攻撃を受けたときの影響を最小化して早期に回復する仕組みや能力を指す「サイバーレジリエンス」の視点を基に、重要な産業インフラを守るためのさまざまなセキュリティソリューションを整備し、提供しています。

※サイバーレジリエンスの重要性やそれを実現するソリューション例は、同号の最初の記事で詳しくご紹介しています。

その中から今回は、制御システムの資産や脆弱性（ぜいじゃくせい）を可視化し、迫る脅威をリアルタイムに検出する制御システム向けサイバーセキュリティ・プラットフォーム「CyberX Platform（以下、CyberX）」 をご紹介します。

CyberXは、世界で3,000サイト以上の導入実績があり、制御システムの最前線で活用されています。セキュリティのインシデントに対して、Predict（予測）、Prevent（予防）、Detect（検出）、Respond（対応）の4つのプロセスを回して対処するという、リサーチ&アドバイザリ企業のガートナーが提唱している「アダプティブ・セキュリティ 」に対応。また、米国国立標準技術研究所（NIST）が発行しているサイバーセキュリティフレームワークの5つのフレームワークコア（識別・防御・検知・対応・復旧）をカバーするセキュリティ製品でもあります。 

CyberXが提供する機能について、ご説明します。CyberXは、セキュリティ運用におけるすべての段階を支える「資産の識別と可視化」「脆弱性レポートの自動生成」「攻撃経路の 予測と対策支援」「設備の脅威・異常検出 」という4つの機能を提供しています。

セキュリティ運用において、知らないものを保護することはできません。そこで「保護するもの＝資産（デバイス）の見える化」が必要となります。この見える化を簡単に行うのが、1つ目の「資産の識別と可視化」の機能です。CyberXは、ネットワークスイッチのミラーポートにつなげるだけで、制御系ネットワークに接続されたすべてのデバイスを自動的に検出し、個々のデバイスがどのデバイスと通信しているのかをネットワーク構成図でリアルタイムに可視化します（図1）。

このとき、受動的なネットワークトラフィック分析を使用しているため、ネットワークやデバイスに負荷をかけない運用が可能です。長年にわたりさまざまなデバイスが追加・拡張されてきた制御システムの最新の状態が可視化の機能によって簡単に把握できます。また、CyberXの導入後は、ネットワーク状態の継続的な把握により、不正なデバイスの接続を即座に検知できるほか、現行システムの変更時、インシデントへの対応・復旧時における運用がスムーズになります。

2つ目にご紹介するのは、「脆弱性レポートの自動生成」の機能です。CyberXは、CyberX社の脅威リサーチ・分析専門チームが把握している 制御システム固有の脅威情報を 基に制御システムを診断し、システム全体の脆弱性情報と個別の対応策をまとめたレポートを自動で生成。 診断結果が定量的なスコアで報告されるため、利用者 は客観的な判断ができるようになります。

3つ目は、「攻撃経路の予測と対策支援」の機能です。攻撃者は、個別には問題にならない低リスクの脆弱性を組み合わせて、制御システムへの侵入と攻撃を試みます。そのため、脆弱性を個々に把握するだけでは、適切な対策を施せません。CyberXは、独自の脅威モデリング技術によって、標的型ICS（Industrial Control System、産業用制御システム）攻撃で狙われる可能性の高い攻撃経路を予測します。さらに、制御システムにおいて最も重要となる、攻撃を受けたときに影響が大きくなるデバイスなど、個々のセキュリティリスクの高さを考慮して、優先的に対策を講じるべき攻撃経路やデバイスを示します（図2）。

最後にご紹介するのは、「設備の脅威・異常検出」の機能です。制御システムの多くは、制御機器メーカー独自の通信プロトコルを採用しているため、通常は、通信から脅威を発見することが困難です。CyberXは、これら独自のプロトコルに対応するプラグインを追加する仕組み（HORIZON） を提供し 、制御機器メーカーを問わず導入できるソリューションです。また異常の検出には、制御システムへのサイバー攻撃に関する世界最前線の知見を生かした5つの分析エンジンを使用し、既知の脅威と未知の脅威の両方に対応。制御システムの異常な挙動や許可されていない行動をリアルタイムに検出し、対応方法を提示します。

CyberXを導入するメリットは、これら4つの機能により、制御系ネットワークの最新状態の把握から、不正な接続の監視、異常な通信の検出とその原因の分析までがリアルタイムに行え、制御システムの資産を管理するコストの削減とダウンタイムの極小化 ができることです。ただし、このメリットを本格的に享受するには、セキュリティの脅威を監視するSOC（Security Operation Center）と、インシデントに対応するSIRT（Security Incident Response Team）の設置が欠かせません。

そこで、SOCやSIRTを設置したいと考える企業を支援するために、私たちはそれらの構築にあたってのコンサルティング、またその運用を支援するサービスを提供しています。さらに東芝グループでは、事業者 に代わって重要インフラを24時間365日監視するICS-SOCサービスも提供しています。

※ICS-SOCサービスについては、同号の3つ目の記事で詳しくご紹介します。

東芝自身が制御機器メーカーとして制御システムを構築し、その知見を持っていること、またCyberXをはじめ海外で先行するソリューションの開発会社との密接 なアライアンスにより多くのセキュリティソリューションに知見があること、さらに お客さまにとって最適なセキュリティソリューションと自社のインフラサービスを組み合わせて提供できることが、東芝の強みです。

制御システムにおけるセキュリティ対策の第一歩は、どこに脅威が潜んでいるのかを把握することです。それには、システムの資産の可視化と脅威の検知をリアルタイムに行えるCyberXの導入が効果的です。これまでさまざまなセキュリティソリューションをお客さまに提供してきた経験を生かしながら、私たちは、制御システムのセキュリティ基準に基づいて現状を分析し、最適な改善策を提案する、セキュリティアセスメントサービスも提供しています。

セキュリティ対策を検討されるお客さまは、ぜひ、ご相談ください。

• 制御システム向けサイバーセキュリティ・プラットフォーム「CyberX Platform」