産業インフラをサイバー攻撃から守る東芝の「制御システムセキュリティ運用監視サービス」

昨今、産業インフラに眠る産業データを経営資源として活用することに注目が集まっています。産業インフラでは、CPS(サイバーフィジカルシステム)への対応や制御システムのオープン化が進み、そこから新たに生み出されるデータが飛躍的に増加する傾向にあります。その一方で、制御システムのオープン化は、産業インフラのサイバーセキュリティリスクを高め、そのリスクへの対策が急務となっています。しかし、制御システムには、情報システムと同じようなセキュリティ対策を展開できるわけではありません。システムの連続稼働を阻害する可能性がある対策は利用できなかったり、制御システムのセキュリティ技術に詳しい技術者がいなかったり、また制御システムのセキュリティ対策にどれほどコストをかければよいのか明確でなかったりなど、課題が山積しているからです。ここでは、これら制御システムのセキュリティ対策が抱える課題を解決するべく、東芝が立ち上げた「制御システムセキュリティ運用監視サービス」についてご紹介します。


制御システムの進化とセキュリティ規制


社会をより発展させるためには、実世界(フィジカル)と仮想世界(サイバー)の融合やデータの自由な流通、産業インフラのオープン化、国際化などを進めていく必要があります。これまで、社会インフラや工場といった産業インフラの制御システム(OT)は、閉じられたネットワークで、かつ独自のプロトコルやプラットフォームで運用されてきました。しかし近年、この閉じられた世界が変化しています。汎用OSや汎用プロトコルといった一般的な技術を採用してコストを削減したり、産業インフラに眠る膨大なデータを有効な経営資源として生産性の向上へ活用したりすることを目的に、制御システムのオープン化が進んでいます。こうした制御システムのオープン化がもたらすメリットに期待が増す一方で、オープン化により制御システムが情報システム(IT)やその先のインターネットにつながった産業インフラへのサイバー攻撃が、年々増加していることも事実です。

サイバー攻撃の中には、重要な産業インフラを止めてしまうなど、私たちの生活に大きな影響を及ぼすインシデントが増えていますが、それらへのセキュリティ対策は、まだ発展途上にあります。その背景には、いくつかの理由が挙げられます。

まず、汎用OSや汎用プロトコルの採用が進んでいるとはいえ、依然として独自のものも多く対応が個別に必要となることや、止められないシステムは稼働させたままメンテナンスをしなければならないことなど、技術的な面で難しい点があります。また、運用する体制の中に、制御システムとセキュリティの双方の技術者を配置できず、システムに異常が発生したとき即座に対応方法を判断できない、一般的に制御システムはライフサイクルが長いことから、進化する攻撃への素早い対応がそもそも難しいといった運用的な面での厳しさもあります。

こうした中、サイバー攻撃の脅威に対抗するため、世界的にセキュリティ規制が強化される動きがあります。日本でも、内閣サイバーセキュリティセンター(NISC)がとりまとめて関係省庁が主導する、各産業分野のサイバーセキュリティ規制の整備が進んでおり、そこではシステムのライフサイクル全体に対するセキュリティ運用が求められています。

このような規制への対応や世の中の動向を受け、東芝グループでは、セキュリティ態勢と製品セキュリティの強化に加え、これまで東芝グループで長年培ってきたセキュリティの経験と知見を生かして、産業インフラ向け制御システムのセキュリティサービスを強化することに取り組んでいます。最近では、お客さまからシステムの運用・監視に関するご相談を受けることが増えてきており、それに応える支援・サービスの準備を進めています(図1)。


製品部門と相互に連携する、東芝のICS-SOCサービス


産業インフラ向け制御システムのセキュリティサービスの中で、いま注力しているのが、制御システムセキュリティ運用監視(Industrial
Control System – Security Operation Center:ICS-SOC)サービスです。このサービスは、工場やプラントなどお客さまが持つ産業インフラの情報システムや制御システムを東芝SOCで遠隔から監視し、異常の予測や検出を行います。また異常発生時には、SIEM(Security
Information and Event Management)を用いた効率的な分析を行い、迅速な判断をサポートします。さらに、私たちが持つ現場のシステムや機器の知見を利用して、対応や復旧の方法をお客さまに提案するサービスです。

ICS-SOCを実現するには、正常な稼働状態を定義する必要があります。正常な稼働状態を定義することで、異常な状態と区別することができるようになるからです。また、異常を検知したときに、その異常がサイバー攻撃によるものなのか、機器の障害によるものなのかを切り分けること、そして常に稼働を必要とする制御システムを止めて対応するべきか、止めずに対応できるのかを迅速に判断する必要もあります。

そこで東芝が提供するICS-SOCサービスでは、SOCとSIRT(Security Incident Response Team)が連携する実行体制を整え、この課題を解決しています。SIRTを担う製品部門が持つ知見を生かして、あらかじめ監視アラートの最適な切り分けルールを設計し、システムの状態が正常なのか異常なのかをSOCで判断できる基準をつくります。また、異常の際は、システムへの影響を考慮し、状況に適切な対応方針をSIRTからSOCへ提案します(図2)。

異常の連絡が入ると、SOCのセキュリティ運用監視担当は、監視アラートの切り分けルールに基づき、発生している異常の原因が設備の故障によるものなのか、それともセキュリティインシデントによるものなのかを判断します。重大なセキュリティインシデントの場合は、SIRTで対応方針を決定し、その方針を製品システムの保守担当へ指示することで、保守担当が的確なインシデント対応を行います。

このように、SOCとSIRTに専門の人材を配置し、互いに連携して対応できる点が、私たちが提供するサービスの最大の強みです。

ICS-SOCサービスは、既にエネルギー分野のお客さまに導入し、運用を開始しています。監視アラートの切り分けルールの設計は、現在、人が対応していますが、今後は、セキュリティ運用の自動化および効率化を実現する技術として最近注目されているSOAR(Security Orchestration, Automation and Response)を用いて、ルールの設計からインシデント対応までを自動化するとともに、制御セキュリティにおけるインシデント対応の知見を継続して蓄積していくことで、より高度で洗練されたサービスへと成長させていく予定です。

また、エネルギー分野を皮切りに開始したこのサービスは、石油や化学、上下水道、交通など、ほかの分野へも順次展開していくことを予定しています。海外、特にASEAN市場では、重要インフラへのセキュリティ規制が厳しくなり、高度な運用が求められる傾向にあるため、お客さま自身で独自に運用するには難しく、限界がきはじめています。こうした背景から、外部のセキュリティ運用監視サービスの活用が徐々に進んでいます。このように、世界的に需要が高まる兆しがあることから、東芝は導入の実績を積み重ね、ICS-SOCサービスへの信頼度を高めていきたいと考えています。


サイバーとフィジカルをトータルでサイバー攻撃から守る


産業インフラ向け制御システムのセキュリティサービスは、海外でもようやく始まりだした新しいサービスであり、国内においては東芝グループが先行してサービスの提供を始めました。

将来的には、この産業インフラ向けの制御システムセキュリティサービスを東芝グループ横断の共通セキュリティサービスとして、インフラサービスの付加価値に、そして強みにしたい。そんな想いを実現するべく、東芝のサイバーセキュリティ技術センターでは、継続してセキュリティ技術・ソリューションの開発および体制づくりに取り組んでいきます。

重要な産業インフラを持つお客さまにシステムや機器を長年提供してきたこと、制御システムを知りつくしていること、そしてインフラサービスカンパニーとしての実践と実績をお客さまに提供できること。これら3つの強みを生かし、サイバーとフィジカルをトータルでサイバー攻撃から守ることが、私たちの使命だと考えています。

現代社会はめまぐるしく変化し続けています。みなさまの事業の継続と発展、そしてより豊かな社会を実現するため、現在はもちろん、未来の脅威に対しても、私たちと共に挑戦していきませんか。

  • この記事に掲載の、社名、部署名、役職名などは、2021年2月現在のものです。

>> 関連情報

関連記事

このマークが付いているリンクは別ウインドウで開きます。