制御システムセキュリティカンファレンス 2020開催レポート~前編~
2020年2月14日に浅草橋ヒューリックホールにて制御システムセキュリティカンファレンス 2020を開催しました。本カンファレンスは、国内外の制御システムにおける脅威の現状と、関連業界や企業で行われているセキュリティに関する先進的な取組みを共有し、制御システムのセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。今回は307名の方々にご参加いただきました。カンファレンスの様子と全7講演の概要を2回に分けてレポートします。
開会のご挨拶
開会のご挨拶では、経済産業省大臣官房サイバーセキュリティ・情報化審議官 三角氏より、先日訪問されたサウジアラビアにおける制御システムセキュリティへの意識の高まりに言及しつつ、サイバー空間とフィジカル空間が一体化していく中で、現実世界におけるサービスの継続や安全の問題も含め総合的にセキュリティ対策を考えていく必要性が指摘されました。
産業分野におけるサイバーセキュリティ政策
講演者:経済産業省 商務情報政策局 サイバーセキュリティ課 鴨田 浩明
サイバー攻撃の動向や、昨年策定されたサイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を中心に経済産業省の取組みが紹介されました。
冒頭で、情報セキュリティ10大脅威(IPA)でサプライチェーンの弱点を悪用した攻撃がランクインしたことや、サプライチェーン攻撃の例として、ASUS社端末の自動更新を悪用した事例や、OSSライブラリに悪意のあるコードが仕込まれた事例、制御系のシステムにまでサイバー攻撃の影響が波及した事例を紹介して、深刻化したサイバー攻撃の現状に言及されました。
経済産業省の取組みでは、サイバー・フィジカル一体型社会におけるサプライチェーンのセキュリティ確保のためのサイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)が紹介されました。本フレームワークには様々な対策が網羅的に書き込まれていますが、活用にあたっては自組織のサービスやシステムの位置づけを整理し、本フレームワーク中の対策から必要なものをピックアップして使用するよう説明がありました。また、主な業界ごとに、本フレームワークに基づいたセキュリティ対策の具体化・実装を推進するための複数のタスクフォース(TF)の活動状況について説明されました。さらに、経営者向けのサイバーセキュリティ経営ガイドラインや、中小企業を対象とした実態調査の結果、人材育成プログラム等の各種取組みも紹介されました。
制御システムセキュリティの現在と展望~この1年間を振り返って~
講演者:JPCERTコーディネーションセンター ICSR 技術顧問 宮地 利雄
2019年を振り返り、制御システム・セキュリティ全体の動向を概観しました。
2019年には重大な事案はなかったものの、2020年は、ICSを狙って開発された初めてのマルウエアStuxnetの発見やWebサービスSHODANの公開から10年、軍事的なサイバー戦略の変化など、ICSセキュリティにとって節目の年に当たるとの認識を示しました。
インシデントの動向では、ICS上のインシデント件数が世界的には急増していることや、米国の電力網の障害報告で初の「サイバー事案」の記載が登場したこと、深刻化するランサムウェア被害の事例やその他マルウエア感染による生産停止が紹介されました。
脆弱性の動向としては、脆弱性の公表件数は年間200件前後で安定しているが、医療用機器の脆弱性が増加していること、ICSベンダによる脆弱性への取組み姿勢が二極化していること、累積しているN-day脆弱性などICS製品の脆弱性に関する課題について説明しました。
また、様々なICSセキュリティ認証制度の動向、米国DARPAが実施した電力網の復旧訓練、サイバー保険の動向、新たに公開された参考文書やツールなどについても紹介がありました。
守れ!”サプライチェーン”~そこから描く日本製造業の夢~
講演者:NECプラットフォームズ株式会社 執行役員 渡辺 裕之
講演資料のダウンロード/お問合せ:
NECプラットフォームズ株式会社 Webサイト
NECプラットフォームズが推進しているセキュア生産やサプライチェーン全体の管理の取組みなどが説明されました。
同社では、生産に必要な管理すべき重要情報をCUIとして定義し、調達・製造・ロジスティクスの実態把握やセキュア生産の管理レベルの底上げに取り組まれています。
まずは現場に受け入れられる現実的な対策を実施した後に、アセスメントによって製造現場の重要データや現状の対応状況を可視化して必要な対策を実施し、CUI(Controlled Unclassified Information)のセキュアな管理のためにブロックチェーン技術を応用したCUI監視・保証システムにも取り組んでいるとのことです。さらに、サプライチェーン全体の管理として、セキュア調達やセキュアロジスティクスに関する取組みなどについて述べられました。最後に、SDGs(Sustainable Development Goals)に貢献するセキュア生産プロセスの成熟を目指す「セキュア生産の成熟を目指す会」について紹介されました。
おわりに
制御システムセキュリティカンファレンス 2020の講演内容のうち、前半に行われた3講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、後半の講演を紹介します。
制御システムセキュリティ対策グループ 池上 未希