株式会社東芝(以下、東芝)と米国Peraton Labsは、発電所や受変電設備、上下水道や交通、工場・ビル施設などで稼働する産業制御システムへのサイバー攻撃に対する脆弱性評価ツール「Automated Attack Path Planning and Validation(以下、A2P2Vと略す)」を開発しました。A2P2Vは、高度な攻撃手法を組み合わせてサイバー攻撃シナリオを自動的に生成し、模擬的に攻撃を実行することで、社会を支える重要な社会インフラの産業制御システムのセキュリティー強度の検証を行うことができます。さらに、検証結果をもとに、増大するサイバー攻撃の中から優先して対策すべきセキュリティー脅威を抽出することが可能です。
東芝とPeraton Labsは、A2P2Vのサンプルソフトウェアをオープンソースソフトウェア(OSS)として公開する(https://github.com/pentest-a2p2v/)とともに、2021年8月4~5日に開催されるBlack Hat USA 2021 Arsenal (https://www.blackhat.com/us-21/arsenal/schedule/index.html#automated-attack-path-planning-and-validation-apv-24055)において本ツールを発表します。今後、東芝とPeraton Labs両社はオープンソース化をはじめとして、セキュリティコミュニティや関連団体との連携を積極的に行い、オープンイノベーションによる新しい価値創出を行っていきます。
A2P2Vでは、制御システムのシステム構成データと、一般に公開されている様々な攻撃技術を組み合わせ、制御システムに対するサイバー攻撃シナリオを自動で生成するとともに、その攻撃シナリオを用いてシステムのセキュリティーを検証することができます。また、東芝とPeraton Labsは、セキュリティー上の脆弱性を有する模擬環境に対してA2P2Vを適用し、当該環境に対して攻撃し脅威を検出する実証に成功しました。A2P2Vにより、制御システムに実際に攻撃できるセキュリティー脅威を明らかにすることで、増大するサイバー攻撃の中から優先して対策すべきセキュリティー脅威を抽出し、対応することをサポートします。
東芝の執行役員、研究開発センター所長の佐田豊は、「ネットワークに接続されるデバイスが増えてきたことで、サイバー攻撃の脅威は、従来閉じられた環境で運用されていた産業制御システムや製品にも及んでいます。東芝は、重要インフラに対してさまざまな製品とソリューションを提供し、外部ネットワークに接続された場合でも、それらを安全に保つ責任を負っています。A2P2Vなどのセキュリティー技術により、東芝は進化するサイバー攻撃に対する堅牢性を確保し、人々が安心・安全に暮らせる社会の実現に貢献していきます。」と述べています。
Peraton Labs社長のPetros Mouchtarisは、「サイバー攻撃の量と高度化に伴い、新しい攻撃シナリオを作成し、脅威に優先順位をつける能力は、重要なインフラと産業管理システムを保護するために不可欠です。サイバー研究のリーダーとして、Peraton Labsは、複雑で多面的な攻撃から産業、軍事、商業インフラを防護するための革新的なツールとソリューションの開発を続けることを期待しています。」と述べています。
東芝とPeraton Labsは、デジタル・サイバーのノウハウと東芝の140年以上にわたる製造経験を活かし、サイバー・フィジカル・システム(CPS)技術を引き続き活用し、制御システムのセキュリティーを強化するソリューションを提供し、社会を支える重要な社会インフラをサイバー攻撃の脅威から守る取組みを進め、安全な社会の実現に貢献します。
Peratonについて
Peratonは、地球から銀河系の果てまで広大な領域でミッションを推進しています。世界をリードするミッション・ケイパビリティ・インテグレーターおよび変革をもたらすエンタープライズITプロバイダーとして、人々の安全と安心を守るために、差別化された信頼性が高い国家安全保障ソリューションとテクノロジーを提供しています。Peratonは、情報、宇宙、サイバー、防衛、民間、医療、国家・地方などの幅広い事業領域において、政府機関の大切なパートナーとしての役割を果たしています。日々22,000人の従業員が、お客様が直面している最も困難な課題を解決するために、今まで実現できなかったことを実現すべく挑戦を続けています。詳細は、Peraton.com/Newsをご覧ください。また、LinkedInでPeratonをフォローして、ニュースやアップデートをご覧ください