昨今、ロシアによるウクライナへの侵攻や中東情勢などにより国際的な緊張が高まる中、サイバー攻撃に標的とされる範囲が、紛争の当事者だけでなく、その同盟国や支援者などへと広がっています。政府機関や医療機関、金融機関、製造のサプライチェーンを標的としたサイバー攻撃により引き起こされる社会インフラの機能停止や製品の供給不足といった事象は、人々の生活に甚大な影響を与えかねず、また社会問題へと発展する可能性があるものです。このようなことから、サイバーセキュリティは、企業において喫緊の経営課題といえます。ここでは、制御システムセキュリティをテーマに、その動向と、社会インフラや工場の制御システムに対するサイバーレジリエンスを高める東芝の取り組みについて、連載で解説します。
第1回では、制御システムのセキュリティを取り巻くリスクや規制の動向と、東芝が目指すセキュリティ技術の方向性を、また第2回では、社会インフラや工場の制御システムに向けたリスクアセスメントの手法を説明しました。第3回では、制御システムの開発と提供を行う東芝の強みを生かした模擬環境の実現により可能となった、制御システムに対するサイバー攻撃の「攻撃」と「防御」を検証する取り組みについて解説します。
制御システムに対するセキュリティ評価の難しさ
第1回で説明したとおり、東芝は「サイバーレジリエンス」、すなわち、セキュリティインシデントに「備え」、「影響を最小化」し、「早期に回復」して、事業を継続する「能力」の構築を目指しています。情報システムでは、最もリスクの高い事象として「情報漏洩」を取り扱うことが一般的です。一方、社会インフラや工場などの制御システムでは、「安全性」や「稼働に影響を与えない」という情報システムとは異なるシステムの特性を考慮したサイバーレジリエンスの構築が求められます。
過去には、制御システムがサイバー攻撃を受け、大規模な停電や飲料水の汚染未遂、製造ラインの停止といった事例が発生しています。実際に、人々の安全な暮らしが阻害されたり、企業に数百億円規模の甚大な損害が生じたり、さらには企業の事業継続に影響を及ぼすほどの大規模な被害が発生したりしました[1]。このような状況を受け、当社は制御システムの特性を考慮したサイバーレジリエンスの確保に向けた技術開発に取り組んでいます。
制御システムセキュリティに関する技術を開発するにあたっては、その効果検証において大きな課題があります。それは、技術の有効性を評価する際に、稼働中のシステムを用いることができない点です。情報システムにおけるセキュリティ技術の開発では、実際に稼働しているシステムの環境の一部や、実システムと同等のテスト環境に開発した技術を適用し、評価を行うことが一般的です。しかし制御システムの場合、人々の暮らしやお客さまのビジネス、つまり実際の稼働に影響を与えるリスクは避ける必要があります。そのため、開発した技術を適用して稼働中のシステムを模擬的に攻撃し、技術の有効性を評価するような検証を行うことは困難です。
バーチャルインフラ環境を用いたセキュリティ検証
技術の効果検証における課題を解決するため、当社では、実際の制御システムと同等の模擬環境を構築しました。これは長い間、発電・変電システムをはじめとする多様な制御システムを国や企業に納め培ってきた、当社の経験とノウハウにより実現できたことです。「バーチャルインフラ環境」と名付けたこの模擬環境の活用によって、人々の暮らしやお客さまのビジネスに影響を与えることなく、制御システムセキュリティに関する製品やサービスの検証、新しい技術の研究開発、さらにはセキュリティ人材の育成を可能としています。
実際に、制御システム向けのセキュリティ監視サービスの高度化に向けた技術検証などで、バーチャルインフラ環境を活用しています[2]。現在構築しているのは、変電所や火力発電所、仮想発電所(Virtual Power Plant:VPP)、上下水道の4つの分野に関する環境です(図1)。
バーチャルインフラ環境のような模擬環境で技術の効果などを検証する際、その結果が実際の環境で用いたときの結果と大きく異なることは避けたいものです。一般に、検証を行う際には、机上よりもシミュレーター※1、シミュレーターよりもエミュレーター※2、さらにはエミュレーターよりもお客さまの環境で行うほうが、より現実に近い、精度の高い結果を確認できます。バーチャルインフラ環境は、お客さまの環境で利用されているソフトウェアやハードウェアと同様のものを利用している、実際の環境に近いエミュレーターです※3。このような実際の制御システムを模擬した環境を使った取り組みは、技術研究組合制御システムセキュリティセンター(CSSC)や、独立行政法人情報処理推進機構(IPA)の産業サイバーセキュリティセンター(ICSCoE)でも行われています[3][4]。当社も社会インフラ全体のセキュリティ向上のため、この2つの取り組みに協力しています。
※1:この記事では、仮想モデル上での模擬であり、実際に攻撃や通信を発生させないものと定義します。
※2:この記事では、物理上での模擬であり、実際に攻撃や通信を発生させるものと定義します。
※3:巨大なタービンなど同じものが利用できない場合は、一部を模擬装置やシミュレーターで代用します。
当社では、バーチャルインフラ環境を活用し、攻撃チームと防御チームに分かれてセキュリティに関する技術や対策の効果を検証しています。攻撃チームは、攻撃者の視点で、対象の制御システムに被害を引き起こすためにどのようなサイバー攻撃を行うのかを検討・検証するチームです。潜在的な被害を洗い出し、被害ごとに、それを引き起こす攻撃の方法や、攻撃の起点となり得るポイントなどを検討し、実際に攻撃できるのかどうかを検証します。一方の防御チームは、多種多様な攻撃からいかに制御システムを守るのかを検討・検証するチームです。サイバー攻撃に加え、さまざまなセキュリティの対策や対応が制御システムの稼働や安全性に影響を与えないかどうかを、制御システムの開発者あるいは運用者の視点で検証します(図2)。
検証に欠かせない攻撃チームと防御チームの取り組み
まず、攻撃チームの取り組みを説明します。攻撃者から制御システムを守るためには、より多くのサイバー攻撃の手口を知っておく必要があります。なぜなら、サイバーキルチェーン[5]に代表されるように、最近では情報の窃取やサービスの停止といった最終目的を達成するために、攻撃者が複数の連続した攻撃を仕掛けてくるケースが増えているからです。攻撃チームには、起点となる攻撃から目的を達成する最後の攻撃までの一連の攻撃とその経路を攻撃者の視点で検討すること、そしてその検討を制御システムの特性を加味しながら行うことが求められます。この実施には、サイバー攻撃に関する最新の動向の把握や、制御システムセキュリティに関する高度なスキルとノウハウが欠かせないことから、動向や技術に精通したセキュリティの専門家である当社の研究者や技術者たちが攻撃チームとして活動しています。
また攻撃チームでは、この活動で培った知見をより多くの制御システムの開発現場で生かすための取り組みも進めています。東芝グループはさまざまな製品やシステムを開発し、お客さまに提供しています。安全性を確保するために、提供するすべての製品やシステムに対する攻撃を、いかに効率的に検討できるかが課題でした。
そこで現在、攻撃者の視点と制御システムの特性を踏まえた一連の攻撃を、自動的に生成して検証する仕組みの研究開発を進めています。これは、攻撃チームの知見を活用し、攻撃者が考える「制御システムを攻撃するシナリオ」を検討するプロセスを明確化することで、実現します。具体的には、システムの構成や脆弱性(ぜいじゃくせい)の情報を基に攻撃のシナリオを自動で生成し、もしシナリオの中に既存の攻撃モジュールを利用して攻撃できるものがある場合にはその攻撃を自動で行い、システムのセキュリティの強度を検証するものです。「サイバー攻撃エミュレーション技術」と名付け、研究開発をしています[6]。
この技術を搭載したバーチャルインフラ環境を活用することで、製品やシステムを開発する技術者が、攻撃者の視点からセキュリティの対策状況を評価できるようになることを目指しています。またこのような制御システムセキュリティの実践経験を積み重ねることによる、高度な制御システムセキュリティ人材の育成も図っています。
続いて、防御チームの取り組みを説明します。防御チームは、攻撃チームが考えた一連のサイバー攻撃に対し、起点となる攻撃の特定と防御、それぞれの攻撃に対する早期の検知と対応、そして攻撃による影響の最小化と早期の復旧に向けた対策を検討し、検証します。この一連の攻撃に対する検証は、多層防御の効果を検証する意味でも重要です。またこれらサイバー攻撃への検証に加え、制御システムを守るために行うセキュリティ対策の導入や、有事の際にネットワークを切り離すなどの対応が、制御システムの稼働や安全性に与える影響について検証するのも防御チームの役割です。
具体的には、当社で扱っているセキュリティソリューションや、先進的な技術に取り組むスタートアップ企業のセキュリティソリューションなどをバーチャルインフラ環境に組み込み、それらソリューションの評価検証を行っています。例えば、制御システム向けの侵入検知システムを組み込んで実際に攻撃し、サイバー攻撃をより高い精度で検知するルールや設定方法を検討しています。これにより、日常的には見られない制御システムの動きに対して、正しい動作なのかサイバー攻撃による異常な動作なのかを高い精度で判定する方法などを開発しています。また、商品化を計画しているセキュリティ関連の新しい製品やサービスについても、バーチャルインフラ環境を用いて攻撃を行い、期待通りの効果を発揮するかどうかを検証しています。
実践的な評価検証でサイバーレジリエンスの確立を目指す
このように当社では、制御システムの知見を生かしたバーチャルインフラ環境の実現により、検証する環境に課題のあった制御システムのセキュリティに関するソリューションや技術の検証を容易に行えるようになりました。継続的なセキュリティへの取り組みにより進化したこの環境は現在、攻撃者の視点と制御システムの特性を踏まえた一連の攻撃に対して効率的かつ効果的にセキュリティの評価を行える場であり、またその実践を積み重ねることで高度なセキュリティ人材を育成する面においても有効な場です。技術開発などの加速化にも寄与します。バーチャルインフラ環境を用いてセキュリティを担保した制御システム向けの各種ソリューションやサービスの開発により、東芝は、万が一に備えたサイバーレジリエンスの確立を目指していきます。
今回は、制御システムにおけるセキュリティ対策の難しさと、バーチャルインフラ環境を用いたセキュリティ検証について解説しました。連載最後となる第4回では、サイバー攻撃を遠隔から監視する「ICS-SOC(Industrial Control System - Security Operation Center)」について解説します。ご期待ください。
参考文献
[1] 制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
[2] https://www.global.toshiba/content/dam/toshiba/jp/technology/corporate/review/2022/03/a04.pdf (PDF形式)
[3] https://www.css-center.or.jp/
[4] https://www.ipa.go.jp/icscoe/index.html
[5] https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[6] https://www.toshiba-clip.com/detail/p=6551
大矢 章晴(OOYA Toshiharu)
株式会社東芝 サイバーセキュリティ技術センター セキュリティ技術部 スペシャリスト
東芝デジタルソリューションズ株式会社 デジタルエンジニアリングセンター 制御セキュリティ事業推進部 サイバーセキュリティ第一担当 スペシャリスト
制御システム向けのサイバーセキュリティ技術の専門家として、東芝でセキュリティ技術開発に従事するとともに、東芝デジタルソリューションズにおいては、お客さまへの提案活動をはじめ商品企画や、設計などを担当している。
青木 慧(AOKI Satoshi)
株式会社東芝 サイバーセキュリティ技術センター セキュリティ基盤研究部 スペシャリスト
電子情報通信学会会員、情報処理安全確保支援士(登録番号010900)、CISSP、産業サイバーセキュリティエキスパート
入社以来、制御システムのセキュリティ向上を目指し、脆弱性検査技術やサイバー攻撃技術、セキュリティ評価基盤技術の研究開発に従事。独立行政法人情報処理推進機構(IPA)の産業サイバーセキュリティセンター(ICSCoE)が実施する「中核人材育成プログラム」を修了している。
- この記事に掲載の、社名、部署名、役職名などは、2024年8月現在のものです。
- この記事に記載されている社名および商品名、機能などの名称は、それぞれ各社が商標または登録商標として使用している場合があります。