デジタルで豊かな社会の実現を目指す東芝デジタルソリューションズグループの
最新のデジタル技術とソリューションをお届けします。

昨今、ロシアによるウクライナへの侵攻や中東情勢などにより国際的な緊張が高まる中、サイバー攻撃に標的とされる範囲が、紛争の当事者だけでなく、その同盟国や支援者などへと広がっています。政府機関や医療機関、金融機関、製造のサプライチェーンを標的としたサイバー攻撃により引き起こされる社会インフラの機能停止や製品の供給不足といった事象は、人々の生活に甚大な影響を与えかねず、また社会問題へと発展する可能性があるものです。このようなことから、サイバーセキュリティは、企業において喫緊の経営課題といえます。ここでは、制御システムセキュリティをテーマに、その動向と、社会インフラや工場の制御システムに対するサイバーレジリエンスを高める東芝の取り組みについて、連載で解説します。

第1回から第3回の連載を通して、東芝が目指すセキュリティ技術の方向性やリスクアセスメントの手法、そして東芝が開発した模擬環境を用いた攻撃および防御の検証について説明しました。最終回である第4回では、制御システムにおいてセキュリティの監視や分析を行うセキュリティ運用のポイントを解説します。


なぜ制御システムにセキュリティ運用が必要なのか?


これまでの連載で説明してきたとおり、制御システムのIoT化やデジタルトランスフォーメーション(DX)化が進む中で、製造業や社会インフラを標的としたサイバー攻撃が増加しています。この増えるサイバー攻撃から制御システムを、どのようにして守っていけばよいのでしょうか。対策として、すでに多くの企業がセキュリティ製品を導入しています。この導入に加えて必要となるのが、運用です。セキュリティ製品を導入しても正しく運用できなければ、検知した脅威を見逃し、被害を及ぼしてしまう可能性があります。そこで、セキュリティ製品によって脅威が検知され、アラートが発報されたとき、そのことに担当者が素早く気づいて適切に判断や対処ができること、すなわち「セキュリティ運用」が重要です。


情報システムと異なる制御システムにおけるセキュリティ運用の特徴


制御システムのセキュリティ運用を行うにあたり欠かせない、制御システムの特徴を押さえておきます。社会インフラや工場の生産ラインを制御する制御システムが停止すると、社会や企業の業績に大きな影響を与える可能性があります。そのため、脅威が検知された場合でも、システムの継続的な稼働を求められることが多く、「可用性」が重視されるのが特徴です。 それに対し、情報システムでは「機密性」が重視されます。脅威が検知されたときには、情報漏えいを防ぐ手段としてシステムや機能の停止などが行われます。

可用性が重視される、つまりシステムの停止が難しいために、パッチの適用やOSのアップデートが困難となっていることも、制御システムの特徴の一つです。もし何らかのタイミングでシステムを停止できたとしても、変更する内容がその後のシステムの動作に影響を与える可能性を考慮して最低限の変更しか行わない、ということもよくあります。その結果、脆弱性(ぜいじゃくせい)に対応するためのパッチが未適用のまま、あるいはOSのバージョンが古い状態のままでシステムが使用されていることも少なくありません(図1)。

これらの特徴から、制御システムにおけるセキュリティ対策では、システムの可用性を確保しつつ、脅威からシステムを守ることが重要となります。つまり、制御システムのセキュリティ運用には「脅威に対して可用性を重視した対応」が求められるのです。


制御システムにおけるセキュリティ運用のポイント


可用性を重視したセキュリティ運用は、一体どのように行えばよいのでしょうか。前述したように、制御システムにセキュリティ製品を導入しただけでは、その多くは効果を発揮しきれません。いつ発生するかわからないサイバー攻撃に対応するため、セキュリティ製品で検知した脅威に関するアラートメールやシステムログの監視による気づきと、その後の適切な判断や対処に向けた「トリアージ(優先順位付け)」と「分析」を行うセキュリティ運用が必要です。セキュリティ運用において、トリアージや分析を行うにあたり、ポイントとなる5つの要素を説明します。

要素1:アラート概要

セキュリティ製品で検知した潜在的な脅威を定義して、対応を促すための情報です。制御システムに導入したセキュリティ製品で定義されているアラートの分類情報を確認し、脅威の種類と重大度を判断します。

要素2:通知件数

脅威が検出された回数を示す情報です。この情報と平常時に通知されるアラートの件数とを比較して、いつもより短い時間で大量に、あるいはいつもと異なる分類のアラートが大量に発生していないかどうかを分析します。

要素3:検知日時

脅威がいつ検知されたのかを示す情報です。この情報を基に、脅威が、平常時とは異なる日時や業務時間外に検知されていないかどうか、定期的に発生していないかどうかといったことを分析します。

要素4:送信元/送信先

脅威として判断された通信が発生した場所(送信元)と、脅威の影響を受けた可能性のある場所(送信先)を示す情報です。脅威が検知された機器と攻撃対象となった機器を捉え、それらが管理できている機器なのかどうかを資産情報に基づいて判断します。

要素5:利用ポート

脅威と判断された通信が通ったポートを示す情報です。通信の送受信に使用されたポートを特定し、そのポートを使用しているアプリケーション、さらにはそのアプリケーションが業務での使用を許可されているのかどうかを資産情報に基づき判断します。


制御システムの可用性を確保するためのICS-SOCとFSIRT連携の必要性


説明した5つの要素は、あくまでもセキュリティの脅威に対してトリアージや分析を行う際のポイントの一部です。実際には拠点ごとに、セキュリティポリシーがあり、対応が異なることに留意する必要があります。また、アラートメールやシステムログから取得した情報だけでは、脅威の分析に必要な情報が不足しているケースがあります。この場合には、セキュリティ製品のコンソール(制御盤)で詳細な情報を確認することや、さらなる調査として、ネットワークの通信パケットを採取してパケットキャプチャ分析を行い、原因を特定する作業などが必要になります。

このようなセキュリティに関する監視や分析の業務は、情報システム部門が担う場合もあります。しかしサイバー攻撃の増加やシステムを守る重要性から、最近では、「SOC(Security Operation Center)」と呼ばれるセキュリティ運用を専門とする組織を立ち上げる企業が増えてきました。SOCでは、システムやネットワークの監視と脅威情報の収集や分析を、専門性の高い専任者が行います。さらに、検知した脅威をトリアージし、その脅威の種類や発生した原因、攻撃の規模、頻度、タイムライン(事象の時系列記録)、そして資産情報との乖離(かいり)などをセキュリティの観点から詳細に分析します。

また、制御システムに対するSOCを「ICS(Industrial Control System)-SOC」と呼びます。ICS-SOCでは、分析した結果を基に、セキュリティ上の脅威を「FSIRT(Factory Security Incident Response Team)」に報告します。FSIRTとは、各工場においてセキュリティの脅威に対応する専門の組織です。工場内の生産性と安全性を維持するためのセキュリティ対策や、サイバー攻撃などのインシデントが発生した際に被害を最小限に抑えるための対応を担います。ICS-SOCとFSIRTが連携してセキュリティの脅威に対応することで、システムの可用性を確保します(図2)。


制御システム向けのセキュリティ運用サービス


東芝ITサービスでは、制御システム向けのセキュリティ運用サービスとして、セキュリティの監視と分析に加え、セキュリティリスクに対する3つの支援を行っています(図3)。お客さまのシステム環境におけるセキュリティリスクの低減と、セキュリティレベルの向上に寄与します。

※制御システム向けのセキュリティ運用サービスは、東芝ITサービス株式会社と東芝デジタルソリューションズ株式会社が共同で運営しています。

 

支援1:資産の識別と可視化

制御システムネットワークには、長期間にわたり利用されていないサーバーやネットワークデバイス、クライアント端末などの資産が存在することがよくあります。これらの資産が、新規に接続された不明な機器として脅威と検知されたときには対処が必要です。そこで当社では、通信状況やパケットキャプチャ分析などを活用し、脅威と検知された資産を評価して報告します。これにより、保護するべき資産の特定による資産の識別と可視化を支援しています。

支援2:ネットワーク構成の可視化

セキュリティ対策を行う際、ネットワーク上の資産と、個々の資産に対するセキュリティリスクを把握した上で、対策の優先順位を定めることが重要です。しかし、資産が多様化して管理が不十分なシステム環境などでは、困難を伴う場合があります。そこで、通信状況やパケットキャプチャ分析を活用し、資産とアプリケーションの関連性を明確にします。これを基に、セキュリティリスクに応じた各資産の重要度合いを評価し、報告します。これにより、適切な優先順位によるセキュリティ対策の実施を支援しています。

支援3:対応ポリシーの見直し

ICS-SOCは、FSIRTと連携しながら、セキュリティ製品に検知された脅威に対応します。そこで、脅威に影響を及ぼされる範囲(資産)や、セキュリティリスクの大きさ、業務の優先度などを考慮した、監視アラートへの対応方針の見直しをお客さまに提案します。対応ポリシーを見直すことで、ICS-SOCの対応プロセスを効率化し、迅速かつ的確な判断と対応を実現するとともに、FSIRTの業務効率化を支援します。

ICS-SOCの構築においては、高度な専門知識を持つ人材が欠かせません。また運用体制をいかに維持できるかが重要です。さらにそこには、業務的および財政的な負荷が伴います。このような背景を踏まえて当社は、東芝グループが持つ国内および海外の拠点で培った豊富な実績と、官公庁や製造業などを対象に24時間365日の対応を担う運用体制を構築し運用してきた経験、そして各所で最新のサイバー攻撃に対応してきた実績を生かしながら、制御システム向けのセキュリティ運用サービスを提供しています(図4)。

制御システムのセキュリティに対するお客さまのニーズはさまざまです。当社では、企業内や組織内など限られた人しかアクセスできない環境(閉域網)に対するセキュリティ対応や、全国各地にあるお客さまの工場などでの駐在対応など、お客さまの求めに応じた細やかなセキュリティ運用を提供することができます。ICS-SOCについて、ぜひ東芝ITサービスへご相談ください。

 

参考文献
・図1※ 独立行政法人 情報処理推進機構(IPA)「制御システムのセキュリティリスク分析ガイド 第2版(2023年3月版)」
 https://www.ipa.go.jp/security/controlsystem/ssf7ph00000098vy-att/000109380.pdf (PDF形式)(6.98MB)

齋藤 渉(SAITO Wataru)

東芝ITサービス株式会社
セキュリティ&ネットワークサービス推進室 スペシャリスト
CEH(認定ホワイトハッカー)/CHFI(デジタルフォレンジック)


入社後、お客さまのサーバーやネットワーク機器に関する技術支援や、保守業務に従事。これらの経験を生かし、現在は、制御セキュリティのビジネスを推進している。

阿部 和真(ABE Kazuma)

東芝ITサービス株式会社
セキュリティ&ネットワークサービス推進室
情報処理安全確保支援士(登録番号023700)/ CEH(認定ホワイトハッカー)


入社後、お客さまのシステムに関するネットワーク運用およびセキュリティ運用の業務に従事。これら運用業務の経験を生かし、現在は、制御セキュリティのビジネスを推進している。

  • この記事に掲載の、社名、部署名、役職名などは、2024年10月現在のものです。
  • この記事に記載されている社名および商品名、機能などの名称は、それぞれ各社が商標または登録商標として使用している場合があります。

>> 関連情報

関連記事