制御システムセキュリティカンファレンス 2022 開催レポート
2022年2月3日に制御システムセキュリティカンファレンス2022を開催いたしました。本カンファレンスは、国内外の制御システムにおける脅威の現状や制御システムセキュリティのステークホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。2009年の初回開催から毎年実施し、今回の開催で14回目となります。
前回、はじめてオンラインで開催したところ、首都圏を中心に北海道から九州まで、全国各地よりご参加いただいたことから、今回もオンライン開催とし、440名の方々に視聴参加をいただきました。JPCERT/CC Eyesでは開催レポートとして、開会・閉会のご挨拶および6つの講演の様子を紹介いたします。
開会挨拶
経済産業省 サイバーセキュリティ・情報化審議官 江口 純一
経済産業省サイバーセキュリティ・情報化審議官の江口氏より開会のご挨拶をいただき、まず、リスク分析と対応体制の準備、関係者間での適切な情報共有や訓練などの事前の準備によってオリンピック、パラリンピックの運営が大きな支障なく行われたことが紹介されました。
また、テレワークによる働き方の変化やクラウドなどの外部サービスの利用の拡大をはじめ社会的にデジタルへの依存が大きくなる中、ソフトウェアやサービスの開発に複数の利害関係者が関わるようになり、脆弱性への速やかな対応や信頼性のあるシステムの構築・運用のために、各関係者が役割に応じた対応を担うことの重要性が増していることなどの指摘をされました。さらに、工場分野のセキュリティ対策のガイドラインづくりに着手したことやサイバーセキュリティ戦略の改訂についても触れられ、サイバーセキュリティの環境はますます厳しくなってくることから、政府、JPCERT/CCなどの関係機関、カンファレンス参加者各位の協力がより重要になってくると述べられました。
制御システムセキュリティの現在と展望~この1年間を振り返って~
講演者:JPCERTコーディネーションセンター 技術顧問 宮地 利雄
本講演は、2021年を振り返って制御システムセキュリティ全体の動向を概観し、さらに制御システムセキュリティを取り巻く主な変化にも言及しました。
産業界の動向に関しては、新型コロナウイルス感染症のパンデミックの下で、DXを活用して巧みに乗り切りDXを一層進めている組織と、着手が遅れてDXへの投資余力が低下し困難な状況を抜け出せないでいる組織に分かれてきている現状や、ICS環境の部分的なクラウド化などのオープン技術の活用が一層拡大している状況が指摘されました。また、サイバー攻撃者の取り締まりが法執行機関の国際的な連携で進められるも、攻撃者側も犯罪エコシステムとも言うべき組織化を進めている点も紹介しました。
インシデントの動向に関しては、制御システムを対象とした攻撃事例は見られなかったものの、米国のColonial Pipeline社でITシステムのランサムウェア感染の影響で制御システムも停止し、広範囲の石油燃料の供給が滞り、ガソリンスタンドに購入者が殺到するなどの社会混乱を生じて政治問題化した事案があったこと、ランサムウェアを使う攻撃者集団の分業化が進んでいること、海外では保険金で身代金を補填できるため身代金の支払いに被害組織が比較的安易に応じる傾向があって攻撃者を利していることなどが紹介されました。また、米国の上下水道施設における複数のインシデントも紹介され、米国に限らず、中小の水道施設はセキュリティ対策が脆弱であり、そのために初歩的な手法で侵害されることが指摘されました。
脆弱性の動向に関しては、米国CISAが2021年に公表した制御システム製品の脆弱性アドバイザリ件数が前年比6割増しの370件となったこと、さらに、あるベンダーのレポートによれば2021年上期だけで600件以上の脆弱性が見つかったことなど、毎年見つかる制御システム製品の脆弱性件数が高止まりしているとの認識を述べました。また、log4jの事例でも見られるように制御システムに継承される脆弱性の蓄積が増加していますが、これらの影響を受けた製品を利用しているか否かを利用者が認識できるようにするために、SBOM(ソフトウェア部品表)の普及への期待が示されました。
さらに、公開文書にはなっていないものの、水面下で進んでいる国際標準の改訂や米国のサイバーセキュリティに関する法規制の動き、サプライチェーンを巡るセキュリティ課題なども紹介されました。
情報通信技術等を利用した生産システムにおける人の安全確保を実現するための調査研究
講演者:三菱電機株式会社 先端技術総合研究所 システム構築技術部 主席技師長 神余 浩夫
神余氏のご講演では、生産システムにICT等の新技術を導入する際の安全を確保するために、リモートアクセス可能な製造ラインのセキュリティリスクアセスメントのガイド策定に関する調査研究について紹介されました。
生産システムにおける新技術の導入が今後さらに進むことが見込まれる中、セキュリティ脅威が機械安全の新たなハザードとなると予想されます。生産システムの設計者は、セーフティおよびセキュリティ上のリスク分析を行ってリスク低減策を検討することが求められます。このとき、両者の施策がシステムリソースを取り合い、一方の施策の効果を低下させるといったことが無いように、相反する効果をもたらす可能性のある施策の明確化と、両方の施策を融合してリスクを低減させることの重要性やそのための取り組みが紹介されました。
リスクは被害の大きさと確率から決まるのですが、ITセキュリティ対策だけでは被害を抑制できません。3つのリスク低減対策(ITセキュリティ対策、安全対策、復旧対策)を組み合わせることで、コストを抑え効果的なセキュリティ対策をとなります。対策の効果を確認するには対策後のリスクアセスメントが必要であり、システム引き渡し時に同梱されることが望ましいと述べられました。
制御システムエンジニアによる実践的な制御システム復旧計画
講演者:ABB日本ベーレー株式会社 デジタル技術部テクノロジー課 大石 貴之
大石氏のご講演では、長年にわたり制御システムエンジニアとして培ってきた設備に関する知見をもとに、サイバーインシデント発生時の復旧において注意すべき点や準備について紹介されました。
はじめに米国Colonial Pipeline社のインシデント事例について紹介しつつ、事例から学ぶ課題点として、事前準備がしっかりできていれば、制御ネットワークを切り離して操業を継続できたかもしれないこと、また、バックアップの安全性が担保されていれば身代金を支払わずに復旧させる判断を迅速にできたかもしれないことを指摘されました。
それには、制御システムの特徴を捉えた準備が不可欠であり、ISA99の制御システムモデルをベースに、HMIネットワーク、通信GW、コントローラネットワークそれぞれの特徴に応じたリスクについて理解し、これらのリスクを前提に、HMIネットワーク上の設備のオンラインおよびオフラインバックアップの必要性や留意点、コントローラネットワークまで被害にあった場合のEWS保守ツールやバックアップを使った復旧の備えと復旧時のデータ照合の重要性、平時からの変更履歴の取得などの留意点も紹介されました。また、復旧に備えた社内外の協力体制の構築を平時から行っておくことが重要であることも述べられました。
製造業へのローカル5G導入に伴うサイバーセキュリティリスク実証実験 ~製鉄所を模した環境での侵入経路と被害の実態~
講演者:トレンドマイクロ株式会社 グローバルIoTマーケティング室 セキュリティエバンジェリスト 石原 陽平
石原氏のご講演では、トレンドマイクロ社で製鉄所を模した環境を準備し、同環境のコアネットワークを足場とした攻撃により判明した製造物の破壊と製造の妨害、そのためのセキュリティ対策について紹介されました。
構築した検証環境の構成について、PLC等のフィールドネットワークとHMI等の制御ネットワークを「無線アクセスネットワーク」と「コアネットワーク」の2つの5Gネットワーク要素を介して接続する構成であること、特にコアネットワークにおいては、ユーザーの登録や製造過程のデータの処理などを担う重要なポイントであることが述べられました。
検証の結果、コアネットワークを足場にした攻撃手法によっては製造物の破壊や製造の妨害が可能であったため、その要因となり得るコアネットワークへの4つの想定侵入経路とコアネットワーク内部に侵入された場合の3つの傍受ポイントを解説されました。
コアネットワークはユーザーデータだけでなく製造に関わるデータ処理も行われ、かつ一度構築すると改修等が難しく長期利用されるため、セキュリティ・バイ・デザインにもとづき設計するといった導入時からセキュリティ対策を実装しておくことが重要であることなどが指摘されました。
制御システムセキュリティガイドライン制定への道のり
講演者:小林製薬株式会社 グループ統括本社 業務改革センター 生産システム部 製造システムグループ 佐々木 朝
佐々木氏のご講演では、DXや工場のスマート化構想を推進する小林製薬の社内において生産設備等へのさまざまなデバイスのネットワーク接続の要望や問い合わせが増加し、制御システムセキュリティ対策の一環として、事業上関わる規制等も考慮しつつ取り組まれた制御システムセキュリティの社内ガイドラインの作成過程とその留意点などが紹介されました。
素案作りのポイントは、用途別にネットワークを分離、業務ネットワークで管理するデバイスとそれ以外のネットワークで管理するデバイスに分けること、業務ネットワークとそれ以外のネットワーク間を相互に接続する通信の制限、業務ネットワーク以外のネットワークの通信ログの監視におかれ、素案の検討には、生産管理システム、CSIRT、ネットワーク、IoTといったさまざまな社内関係者を集め横断的に行ったことが述べられました。
また、作成して周知するまでの活動には、ネットワーク接続デバイスの精査等を行った「現状分析」、目指すべき方向性を見出すための参考とする「他社ヒアリング」、情報セキュリティと異なり可用性を重視したガイドラインのコンセプトや構成などの検討と作成を行った「ガイドライン策定」、社内周知を実施した「ガイドライン周知」の4つのフェーズがありました。各フェーズの紹介では、それぞれに苦労した点も挙げられました。その後、本ガイドラインにもとづいてパイロット工場でのネットワーク分離を行い、社内実装に向けた取り組みも紹介されました。
JPCERT/CCにおける制御システム製品の脆弱性情報の収集および分析
講演者:JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ 堀 充孝
本講演は、制御システム製品の脆弱性情報の収集・分析・発信業務を日々行う中で、特に制御システムユーザー組織のセキュリティ担当者で活用いただけるよう、業務上行っている注力ポイントや注目した脆弱性情報について発表しました。
注力ポイントとして、(1)公開情報を広く能動的に収集し、国内向けに公表されていない制御システム製品の脆弱性情報の迅速な把握と国内への発信に努めていること、(2)把握した脆弱性情報の国内への影響や攻撃への転用が容易に可能かどうか、攻撃が行われた場合に想定される影響などを技術的な観点をもって分析していること、(3)攻撃に使用される可能性が高い情報が公表された場合には注意喚起等の情報発信を行い、制御システムユーザー組織に対応いただけるようワークアラウンドなどの対策の併記に努めていることを紹介しました。
また、2021年度上期の活動において、対策がなされないまま公表される脆弱性情報のうち、エンジニアリングソフトウェアに関する脆弱性情報が多かったことから、JVNで公表したエンジニアリングソフトウェアの脆弱性情報を例に、脆弱性の解説ならびに発信された脆弱性情報のフォーマットをどのように読み解く必要があるか、想定される攻撃シナリオなどを制御システムユーザー組織向けに紹介しました。
脆弱性への対応は、製品開発ベンダー、製品ユーザーなど、当該製品に関わるすべての関係者が協力して取り組むことで、制御システムのセキュリティリスクを効果的に低減することができます。本講演では、製品ユーザー組織での対応の検討を念頭に発表を行いましたが、本活動の今後の改善のため、制御システムユーザー組織が脆弱性対応する際に必要な情報の過不足や管理手法の課題、インシデント経験の情報提供などを視聴参加者に呼びかけました。
閉会挨拶
JPCERTコーディネーションセンター 常務理事 有村 浩一
閉会挨拶はJPCERT/CC常務理事の有村が行い、前回に続いて踏襲したオンライン開催のスタイルが、わずか2年で定着したと述べました。
IoT、DX、リモート勤務の普及など、製造現場でもスタイルの変化、環境変化がより進む兆しがあることや日本版経済安全保障、カーボンニュートラル、SDGsといった新たなキーワードを次から次に目にする社会変化が見られることに触れ、これらの社会動向に乗ることは「あたらしい多様な産業制御システムを配備するチャンスの増加」をもたらすかもしれず、ローカル5G導入時の考察は注目すべき講演であるとの指摘をされました。
また、インシデント・事故への対処といった諸課題に対応するには、制御システムセキュリティガイドラインの自社策定の取り組み、実践的な復旧計画策定のコツ、ICTを利用した生産システムに対してセーフティとセキュリティをハーモナイズする考察は、いずれもカンファレンス参加者の興味を掻き立てるものであったと評しました。
当センターから、この一年を振り返っての制御システムセキュリティの現在と展望、動向を注視している制御システム製品の脆弱性情報の収集・分析に関して情報提供を行ったことも触れられました。
最後に、外部講演者のみなさまにはJPCERT/CCの活動にご協力いただいた感謝のしるしとしてチャレンジコインをお渡ししていることや最後まで熱心に視聴してくださった全参加者への感謝を述べて、締めくくりといたしました。
おわりに
前回に続きオンライン開催したことで、全国各地からご参加いただきました。また、参加者数も前回を上回っております。このことは、制御システムセキュリティへの関心が引き続き高く、オンラインであれば参加可能な制御システム関係者が多いことの証左であると考えます。今後も開催内容を改善しつつ、国内の制御システムセキュリティの向上に資する情報の発信や知見の共有に努めて参りたいと思います。
ここまで制御システムセキュリティカンファレンス2022の開催レポートをお読みいただき、ありがとうございました。
最後に読者のみなさまへお知らせです。
例年、当カンファレンスでの講演希望者を募るCFP(Call for Presentation)を夏頃に行っています。募集テーマ等の詳細はJPCERT/CC Webサイトのイベント情報で発表されます。講演ご希望の方は、ぜひご応募いただき、チャレンジコインをゲット(採用者のみ)してください。
次回の開催もご期待ください。
制御システムセキュリティ対策グループ 河野 一之