堀 充孝(Mitsutaka Hori)

堀 充孝(Mitsutaka Hori)

制御システムセキュリティカンファレンス 2021 開催レポート

2021年212日に制御システムセキュリティカンファレンス2021を開催しました。本カンファレンスは、2009年以来、毎年開催しており、国内外の制御システムにおける脅威の現状と関連業界や企業で行われているセキュリティに関する先進的な取り組みを共有し、制御システムのセキュリティ対策の向上やベストプラクティス確立の一助となることを目的としています。今回が13回目の開催であり、講演募集(CFP)に応募いただいた3件の中から採択した2件を含む、6つの講演が行われました。

今回、新型コロナウイルス感染症対策によりオンラインでの開催となりましたが、首都圏を中心に全国各地より427名の方々に視聴参加をいただきました。本ブログではカンファレンスの様子をご紹介します。

開会のご挨拶

開会のご挨拶では、経済産業省サイバーセキュリティ・情報化審議官 江口氏より、新型コロナウイルス感染症の影響により働き方が変わったこと、また混乱に乗じた攻撃が増加・高度化したことに触れ、改めて経営者がリーダーシップをもって広くサプライチェーンも含めたサイバーセキュリティ対策をする必要があるとの指摘がなされました。また、各組織でセキュリティを強化するための人材育成の機会として、IPA産業サイバーセキュリティセンターの中核人材育成プログラムについて紹介されました。

開会の挨拶:経済産業省サイバーセキュリティ・情報化審議官 江口氏

制御システムセキュリティの現在と展望~この1年間を振り返って~

講演者:JPCERTコーディネーションセンター 技術顧問 宮地 利雄
講演資料

本講演では、2020年を振り返り、制御システム・セキュリティ全体の動向について概観しました。

冒頭では、新型コロナウイルス感染症の流行下における業務形態の変化やシステムの進化により、セキュリティ対策が追い付いていないのではないかとの指摘がなされました。

インシデントの動向では、2020年には質的に新しいと言えるインシデントはなかったとした上で、イスラエル水処理施設とイランの港湾施設でのサイバー攻撃などいくつかの大規模な事案について紹介されました。また、今年も製造業や政府機関を標的としたランサムウェア攻撃が増加しているとし、今後もランサムウェア攻撃がより高度に進化していくとの見解が示されました。

脆弱性の動向では、ICS機器やIIoT機器の脆弱性情報が公開された後も一部の組み込み製品では対策が進まず、脆弱性が残留する「Nデイ脆弱性」について説明がなされました。

最後に、SolarWinds社への攻撃によりOrionサーバーのユーザー企業にマルウェア感染が広がった事案について紹介し、サプライチェーンリスクについて言及されました。

制御システムセキュリティの現在と展望~この1年間を振り返って~:JPCERTコーディネーションセンター 技術顧問 宮地 利雄

急激な進化を続けるスマート家電の遠隔操作の現状から見えてきた課題
- IEC60335-1第6版の公開と予防安全機能によってこれからの製品安全設計はどう変わる?

講演者:株式会社NTTデータ経営研究所 エグゼクティブスペシャリスト 三笠 武則
講演資料

本講演では、スマート化が進む家電における製品安全とセキュリティに関する考え方や取り組みが紹介されました。

家電のスマート化が急速に進む中、遠隔操作されるスマート家電の製品安全設計においては人に危害を与えるサイバー攻撃のリスクを考慮する必要があり、完全性・真正性や安全を守る機能の保護が重視される点などに注意が必要であることの説明がなされました。一方で、人に危害を及ぼす遠隔操作への対策の現状の課題として、電気用品安全法等の法制度やIEC60335-1等の技術規格では、遠隔操作によって生じる間接的な被害、遠隔操作などに対する過信によって生じる被害、サイバー攻撃による被害などについては対象範囲外になっている点について指摘されました。

遠隔操作によって機器の周囲にいる人に生じる間接的な被害への対応や、出荷後のソフトウェアアップデートに対する製品安全の維持については、現在国内で議論が進められており、間接的な被害リスクを低減するとともに、遠隔操作中であることの表示や使用者への警報などにより遠隔操作のリスクを低減する予防安全機能(安全を向上させる通常機能)を活用して遠隔操作のリスクに備える方向で検討が進んでいることが紹介されました。

急激な進化を続けるスマート家電の遠隔操作の現状から見えてきた課題 - IEC60335-1第6版の公開と予防安全機能によってこれからの製品安全設計はどう変わる?:株式会社NTTデータ経営研究所 エグゼクティブスペシャリスト 三笠 武則

ペネトレーションテスト事業者から見た制御システムセキュリティ対策の惜しい点

講演者:株式会社サイバーディフェンス研究所 技術部 安井 康二
講演資料

本講演では、制御システムにおいてペネトレーションテストを実施する中で得た知見をもとに、対策しているつもりで見落されている点や費用対効果を考える上で有効な対策について紹介されました。

まず、USBメモリの対策をしていてもUSBケーブルを使用して侵入できることを示したデモを例に、侵入対策で見落としがちな点についての指摘がされ、対策のポイントやバックアップおよび復元テストの重要性についての説明がなされました。

次に、立ち入り禁止区域や制御ネットワークに接続されている機器の物理的な侵入対策は万全であるものの、LANケーブルは立ち入り禁止区域外にむき出しになっており、そのLANケーブルを経由して制御ネットワークに侵入するデモや、制御ネットワークに侵入した後に通信を盗聴、改ざんして不正な制御を行うデモを例に、通信路の暗号化やセグメントを分けることの重要性が示されました。

ペネトレーションテスト事業者から見た制御システムセキュリティ対策の惜しい点:株式会社サイバーディフェンス研究所 技術部 安井 康二

スマート工場で見過ごされているセキュリティリスク~ミラノ工科大学との共同実証実験に基づく3つの侵入経路と攻撃シナリオ~

講演者:トレンドマイクロ株式会社 セキュリティエバンジェリスト 石原 陽平
講演資料

本講演では、同社がミラノ工科大学と共同でスマート工場の製造システムを模した検証環境を構築し、同環境でペネトレーションテストを実施した結果を踏まえた攻撃シナリオやスマート工場に必要なセキュリティ対策についての戦略が紹介されました。

検証の結果、スマート工場では注目すべき複数の新たな侵入経路が判明し、その中でも危惧される三大侵入経路として、メーカーによって提供されるアプリケーションストア経由でのEWSへの侵入、ERPシステム経由でのMESシステムへの侵入、悪意あるオープンソースライブラリ経由でのEWSへの侵入を挙げ、それぞれの侵入経路を利用した攻撃シナリオについて、一部デモを交えながら説明がなされました。その上で、MESEWSはスマート化において必須であるが、攻撃を受けた際の被害が甚大であるとして、特にセキュリティを考える上で注意する必要があるとの指摘がなされました。

そして、スマート工場に必要なセキュリティ戦略として、スマート工場のセキュリティには多くの人が関わること、ソフトウェアのサプライチェーンがより複雑化していくことを踏まえ、セキュリティバイデザイン、ゼロトラストの考え方が重要であることや、スマート工場を持つ企業のみがセキュリティ対策をするのではなく、サプライチェーン全体で対策をする必要があるとの見解を示されました。

スマート工場で見過ごされているセキュリティリスク~ミラノ工科大学との共同実証実験に基づく3つの侵入経路と攻撃シナリオ~:トレンドマイクロ株式会社 セキュリティエバンジェリスト 石原 陽平

海運における船舶サイバーセキュリティ対策について

講演者:株式会社MTI 船舶物流技術グループ 船舶IoTチーム長 柴田 隼吾
講演資料

本講演では、海事業界の複数企業で昨年行った船舶ペネトレーションテストの概要と結果を中心に、海事業界でのセキュリティの取り組みや現状について紹介されました。

昨今、船舶でもインターネット常時接続が普及し、船陸間のデータ共有が増加する一方で、船用機器のコンピューター化などに伴い、船舶内外からのウイルス感染や不正アクセスといったサイバー攻撃にさらされるリスクが高まっており、船舶の安全運航を支えるOT機器をサイバー攻撃から守り、乗っ取りや運航不能を防止する必要があるとの説明がなされました。その上で、海事業界のさまざま事業者のサイバーセキュリティ対策における役割や、船舶の安全に関するガイドラインや認証の動向など業界内での議論と対応について紹介されました。

そして、船舶ペネトレーションテストに関しては、OTネットワークに分類される航海系ネットワーク(船舶の位置情報等を示す機器等が接続されているネットワーク)と機関系ネットワーク(エンジン等の船舶の動力エネルギーに関連する機器等が接続されているネットワーク)に対してそれぞれ3つの攻撃シナリオに基づいて行ったテスト結果について解説されました。テスト結果として、適切に対策がなされていた例と対策が不十分だった例が紹介され、これらのテスト結果を踏まえて今後の対応を検討していくとのことでした。また、今回の検証をとおして対策案だけでなく、連携体制や手順に関する知見が得られ、ペネトレーションテストの有用性が確認されたとのことでした。

海運における船舶サイバーセキュリティ対策について:株式会社MTI 船舶物流技術グループ 船舶IoTチーム長 柴田 隼吾

制御セキュリティポリシー導入における課題と解決のためのヒント

講演者:参天製薬株式会社 情報システム本部グローバル情報セキュリティチーム 正木 文統
講演資料

本講演では、参天製薬の工場で制御セキュリティポリシーを導入した経験を踏まえ、ポリシーを作成し、現場にポリシーを導入、浸透させる際の課題点や注意点が紹介されました。

まず、ポリシー作成のフェーズにおいては、制御システムセキュリティでは可用性が重視されることを踏まえ、自社に合った手順を考える上での参考として、先にリスクアセスメントをするかどうか、ベンダーの手を借りるかどうか、ガイドラインに準拠するかどうかなどの判断材料が示されました。

次に導入のフェーズにおいては、セキュリティ担当者と工場の現場担当者が密にコミュニケーションを取ってお互いに意見や疑問を言いやすくすることが重要であることを示され、浸透のフェーズにおいては、何よりも可用性を重視し、制御システム特有の事情から守れないルールが存在することを踏まえてプロセスの変更、例外ルールの作成、代替策の実施、対策できるタイミングまで待つという4つの手段を講じることが重要であると示されました。

また、その他の取り組みとして、重要なサプライヤー等のサードパーティのセキュリティアセスメントの実施、制御セキュリティ製品の検証・比較、制御セキュリティの教育の検討などが紹介されました。

制御セキュリティポリシー導入における課題と解決のためのヒント:参天製薬株式会社 情報システム本部グローバル情報セキュリティチーム 正木 文統

閉会ご挨拶

閉会のご挨拶では、JPCERT/CC 常務理事 有村から、昨年に引き続き、感謝の意を表してチャレンジコインを各講演者にお渡ししたことを説明しました。

また、オンライン開催を行ったことにより、これまでのカンファレンス以上に参加機会を提供できたのではないかとした一方で、当カンファレンスにおけるオンライン開催は初めての試みであり、今後の改善のためにもアンケートへ協力いただきたい旨を呼びかけました。

最後に、本カンファレンスで貴重な情報や知見を共有してくださった講演者および最後まで熱心に傾聴してくださった全参加者に対して感謝を述べて、締めくくりとしました。

閉会の挨拶:JPCERTコーディネーションセンター 常務理事 有村 浩一

おわりに

今回はオンラインでの開催だったこともあり、例年よりも多くの方に参加いただくことができました。今後も講演内容や開催方法などの改善を行い、地方も含めたたくさんの方に制御システムセキュリティの知見を共有する機会を作っていきたいと考えております。

制御システムセキュリティカンファレンス2021に参加して下さった方々と本レポートをご覧いただきました皆さまにお礼申し上げます。

制御システムセキュリティ対策グループ 堀 充孝

この記事の筆者

堀 充孝(Mitsutaka Hori)

堀 充孝(Mitsutaka Hori)

2017年9月より制御システムセキュリティ対策グループに着任。制御システムへのサイバー攻撃や制御システム関連機器の脆弱性情報等の情報収集や分析を行い、それらに関連する情報提供を行っています。

≪ 前へ
トップに戻る
次へ ≫