昨今、ロシアによるウクライナへの侵攻や中東情勢などにより国際的な緊張が高まる中、サイバー攻撃に標的とされる範囲が、紛争の当事者だけでなく、その同盟国や支援者などへと広がっています。政府機関や医療機関、金融機関、製造のサプライチェーンを標的としたサイバー攻撃により引き起こされる社会インフラの機能停止や製品の供給不足といった事象は、人々の生活に甚大な影響を与えかねず、また社会問題へと発展する可能性があるものです。このようなことから、サイバーセキュリティは、企業において喫緊の経営課題といえます。ここでは、制御システムセキュリティをテーマに、その動向と、社会インフラや工場の制御システムに対するサイバーレジリエンスを高める東芝の取り組みについて、連載で解説します。
第1回は、制御システムのセキュリティを取り巻くリスクや規制の動向と、東芝が目指すセキュリティ技術の方向性について説明します。
止まらないサイバー攻撃と深刻化する被害
近年、製造業や社会インフラを標的としたランサムウェアによる攻撃が急増しています。想像してみてください。ある日の夕方、自社の工場内で操作しているコンピューターの画面が突然暗くなり、制御ができなくなったら……。このコンピューターは、工場にあるすべての製造機器を制御する役割を担うものです。内部のデータは何者かによって暗号化され、復元できません。社内の多くのパソコンが影響を受け、ウイルスに感染したすべてのコンピューターのデータが暗号化され、工場は稼働の停止を余儀なくされました。被害は計り知れないほど甚大です。このような事態の発生は、決して他人事とはいえない時代になってきました。
従来、制御システムへの攻撃は、政治的な目的をもった攻撃が多いといわれてきました。しかし、2010年代の後半からは、ランサムウェアによる金銭目的の攻撃が急増し、現在ではその多くが製造業やインフラ事業を標的にしているという報告があります。特に、製造業を狙ったランサムウェアによる攻撃は近年急増し、最新のレポートではこれによる攻撃のうちの7割が製造業で起きているという統計もあるくらいです(図1)。
なぜこのような状況が起きているのでしょうか。その要因の1つには、サイバー攻撃が及ぼす影響が金銭的にも社会的にも非常に大きいことが挙げられます。製造業においては、一部の企業への攻撃であっても、サプライチェーンに関わる企業の全体が影響を受け、多額の損害が生じるリスクがあります。また、鉄道やエネルギーといった社会インフラへの攻撃では、輸送や電力供給などの機能が停止することで、企業活動や人々の生活にさまざまな混乱や被害が生じます。このように標的の企業を攻撃するだけで、広範囲へ多大な影響を与えられることから、製造事業者や社会インフラ事業者は攻撃者から狙われやすくなっていると考えられます。
例えば、2018年にランサムウェア「WannaCry」の攻撃を受けた台湾の半導体製造企業のTSMC(Taiwan Semiconductor Manufacturing Company Limited)では、多くのコンピューターと製造装置に影響が及び、3日間の生産停止を余儀なくされました。その損害額は、営業利益ベースで最大190億円に上ったといわれています[1]。
また、2021年5月には、米国最大手の燃料パイプライン企業であるColonial Pipelineが、ランサムウェアによるサイバー攻撃を受けました。この事例では、パイプラインが6日間連続で停止したことで、首都のワシントンにあるガソリンスタンドのうち約81%でガソリンが売り切れる事態に陥り、市民生活に大きな影響を与えました[2]。
グローバルに展開されるセキュリティ規制の必要性と影響
このような状況の中で、自動車や半導体などの製造分野では、工場のシステムや製造装置に対してセキュリティに関するさまざまな規制の導入が進んでいます。自動車業界では、ドイツ自動車工業会が進める認証を共通の認証として、自動車のサプライヤーに取得してもらう取り組みにより、セキュリティの強化が始まっています。また、半導体業界では、大手メーカーが主導し、工場に設置する製造装置のサイバーセキュリティ対策が規格化されました。実際に、装置を調達する際の要求事項として盛り込まれ始めています。国としても規制が進んでいます。日本の経済産業省からは、工場システムのデジタルトランスフォーメーション(DX)を推進する上で必須となるセキュリティ対策について、その考え方や進め方を「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」[3]として発行されました。当社もこのガイドラインの作成に携わっています。
このような規制の導入やガイドラインの制定は、製造分野だけではありません。経済安全保障推進法では、電力や水道、鉄道といった政府が指定する14分野の「基幹インフラ事業者」に対して、特定重要設備へのセキュリティ対策とその適切な運用が義務付けられています。この法律では、サプライチェーンに関するセキュリティリスクへの対策として、基幹インフラ事業者だけでなく、特定重要設備として指定されている、電力の需給や浄水施設の監視、列車の運行管理に関わる制御システムなどを製造している製造事業者や、その先の部品製造などの委託先にも製造環境などへのセキュリティ対策が求められる内容となっています。2024年5月から適用が求められる法律です。
そもそも製造業や社会インフラへの攻撃が増加した背景には、制御システムのIoT化やDX化があります。この進化に向けて、これまでインターネットから隔離されたクローズドなネットワーク環境でかつ、独自のOSやプロトコルを採用していた制御システム(OT)も、情報システム(IT)と同様にWindowsやLinuxなどの汎用的なOSを使うことが増えました。汎用プロトコルが用いられたことで、情報システムへの攻撃と同様の攻撃で被害を受けてしまう状態になったのです。さらに制御システムへのIT活用により、制御システムと業務システムとが接続され、外部からの侵入口も増加しています。データ活用のためのクラウド接続や、リモートからの運用保守、サプライチェーン全体でのシステム連携など、外部とのコネクションが増えれば増えるほど、脅威の侵入口も増えるため、セキュリティリスクが拡大しているのです(図2)。
「サイバーレジリエンス」と「ゼロトラスト」で工場やプラントを守る
これら脅威への対策として、業務ネットワークと制御ネットワークの分離、そしてITとOTの境界対策が挙げられます。しかしそれ以前に、工場の現場では、無線LAN(Local Area Network)やモバイルルーターなどを用いた隠れたバイパス接続や、製造ラインの運転員や保守員が未許可で持ち込んだパソコンやUSB(Universal Serial Bus)メモリの接続への対策も必要です。さらに最近では、遠隔から行う製造装置の運用や保守、保全なども推進されているため、リモート接続のためのVPN(Virtual Private Network)装置や製造装置の脆弱(ぜいじゃく)性をターゲットにした攻撃への対策も欠かせなくなっています。
このような背景を踏まえた上で東芝が考える制御システムセキュリティのキーワードは、「サイバーレジリエンス」と「ゼロトラスト」の2つです。
当社では、サプライチェーンを含めた情報セキュリティ、製品セキュリティ、制御セキュリティ、そしてデータセキュリティをトータルで実現するために、サイバーレジリエンスの考え方を取り入れています。これは、工場やプラントに対しても当てはまる考え方です。サイバーレジリエンスについて、当社では「インシデントに『備え』、『影響を最小化』し、『早期に回復』して、事業を継続する『能力』」と定義しています(図3)。
サイバーレジリエンスを構築するための最初のステップは、サイバー攻撃の可能性に対する事前の準備です。あらゆる潜在的な攻撃に対処するために、リスクを把握してリスクレベルを評価する包括的なリスクアセスメントが効果的です。これは制御システムが多い工場の中も同様で、リスクを評価して可視化することで、対策方針の策定が可能になります。
次に、サイバーレジリエンスを高めるのが、もう1つのキーワードでもあるゼロトラストです。従来は、内部の資産を守るために、いかに外部から社内や工場に侵入させないかという「境界防御」の考え方でセキュリティ対策を講じてきました。しかしリモート接続による運用やメンテナンス、さらにはクラウドとの接続で脅威の侵入口が増えたこと、また一度でも境界の内部に入られてしまうと内部資産へのアクセスが自由にできてしまい被害を止められないことから、境界防御の対策では限界が見えてきました。
そこで、取り入れたのがゼロトラストです。ゼロトラストとは、すべてのアクセスを一旦信用せずに、「常に認証・認可」を求めて正しい相手だけを接続するとともに、状態を常に継続的に監視して怪しい挙動があれば、警告や遮断といったアクションを素早く起こして被害を最小化するという考え方です。私たちはこのゼロトラストを、工場やプラントにも導入する取り組みを進めています。工場やプラントにおける「OTゼロトラスト」について説明します(図4)。
まずは、工場のネットワークにつなげるすべてのものを信用せずに、検査・検証します。例えば、製造設備の設置やデバイスの持ち込みを行う際は、常に脆弱性を検査・検証した上で工場に持ち込むことで、不正な設備や機器を工場のネットワークにつなげられないようにします。さらに工場のネットワークに一度つながったものは、常に状態を可視化・監視し、もし工場の資産やネットワークに異常が生じれば、早期に発見できるようにします。そして、異常を検知したら早期に対応して復旧し、影響を最小化します。異常への早期対応は、事前に、ゾーニングや多層防御によりインシデントの影響を限定したり、インシデント発生時の体制構築や訓練を実施したりしておくことで実現します。これらの対策により、OTのゼロトラスト化が実現できると考えています。
このOTゼロトラストの導入により、工場でのインシデントの発生を抑えつつ、もしインシデントが発生しても早期の発見と対応によって影響を抑えることができます。これにより、制御システムのダウンタイムを最小限に食い止め、システムのパフォーマンスの持続性を高められるため、サイバーレジリエンスの強化につながるものと考えています。
今回は、連載の第1回として、昨今の制御システムのセキュリティを取り巻く動向と、東芝が目指す制御システムセキュリティ技術の方向性について紹介しました。第2回ではサイバーレジリエンスを高めるリスクアセスメント技術について解説します。ご期待ください。
参考文献
[1] https://www.ipa.go.jp/security/controlsystem/ug65p900000197wa-att/000085317.pdf
[2] https://www.ipa.go.jp/security/controlsystem/ug65p900000197wa-att/000093825.pdf
[3] https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
古川 文路 (FURUKAWA Ayaji)
株式会社 東芝 サイバーセキュリティ技術センター セキュリティ技術部 部長
IPA産業サイバーセキュリティセンター(ICSCoE)専門委員
IEC ACSEC(Advisory Committee on Information security and data privacy)メンバー
東芝に入社以来、東芝グループのサイバーセキュリティ対策に携わり、ガバナンスの強化や教育・訓練の開発に従事するとともに、制御システムセキュリティビジネスを推進。IPA(ICSCoE)では、制御システムセキュリティの国際連携を担当。
- この記事に掲載の、社名、部署名、役職名などは、2024年4月現在のものです。
- この記事に記載されている社名および商品名、機能などの名称は、それぞれ各社が商標または登録商標として使用している場合があります。