制御システムセキュリティカンファレンス 2023 開催レポート
2023年2月9日に制御システムセキュリティカンファレンス2023を開催いたしました。本カンファレンスは、国内外の制御システムにおける脅威の現状や制御システムセキュリティのステークホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。2009年の初回開催から毎年実施し、今回の開催で15回目となります。
オンラインでの開催は今年で3回目となり、今回は日本全国各地より436名の方々に視聴参加をいただきました。JPCERT/CC Eyesでは開催レポートとして、開会・閉会のご挨拶および7つの講演の様子を紹介いたします。
開会挨拶
経済産業省 サイバーセキュリティ・情報化審議官 上村 昌博
経済産業省サイバーセキュリティ・情報化審議官の上村氏より開会のご挨拶をいただきました。
制御システムセキュリティの重要性はますます高まっており、従来のCIA(機密性、完全性、可用性)の確保に加えて、BC(事業継続)SQDC(安全確保、品質確保、納期遵守、コスト低減)と経営の観点からリスクマネージメントすべきセキュリティ対象範囲が拡大してきていることや、Society 5.0において、データ駆動型で新しい価値を次々と創造していく経済社会における重要な構成要素が制御システムであることを踏まえ、リスクを的確に捉えて脅威を評価し、セキュリティ対策を改善していくことが極めて重要になっているとの指摘がなされました。
そして、経済産業省の取り組みとして、「サイバーセキュリティ経営ガイドラインの改訂」「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインの策定」「SBOMの普及に向けた検討」「IoT製品に対するセキュリティ適合性評価制度構築に向けた検討」「産業サイバーセキュリティに係る人材育成」の5つを紹介されました。
また、各専門機関と連携をし、コミュニティー活動を通じて情報共有が進むことが制御システムセキュリティ対策に対して重要かつ有益であると述べられました。
制御システムセキュリティの現在と展望~この1年間を振り返って~
講演者:JPCERTコーディネーションセンター 技術顧問 宮地 利雄
本講演では、2022年を振り返って制御システムセキュリティ全体の動向を概観し、制御システムセキュリティを取り巻く主な変化に言及しました。
新型コロナウイルスのパンデミックが新しい業務形態を強い、また、経済的混乱を引き起こした一方でデジタル革命を加速し、それらに伴うシステム構造の変化をもたらしました。IIoT、クラウド利用が進み、ICSネットワークアーキテクチャーが変化しており、階層的なPurdue大学モデルが陳腐化しつつあります。また、ロシアによるウクライナ侵攻により、軍事行動に付随するサイバー攻撃が起こり、サイバー空間の規範が崩れて、各国がサイバー空間も戦場になると考えるようになりました。
インシデントの動向では、新たに2種のICSを狙ったマルウェアが4月に報告され、重要インフラへのランサムウェアの脅威が続きました。ランサムウェアはICSを特に狙っているわけではありませんが、現時点でICSに最も起きそうで大きな損害を伴うサイバー脅威であること、製造業界は高額な身代金を取れる業界と見られている可能性があります。
ICS関連製品の脆弱性の動向では、以前にも増して脆弱性が多く報告されており、IIoT機器の利用に伴うセキュリティリスクとしてソフトウェア・サプライチェーンを通じて継承される脆弱性が蓄積しています。こうした脆弱性の継承を製品利用者が知るためにSBOM(ソフトウェア成分表)が求められています。2021年5月の米国大統領令ではSBOMを調達時の要件に含めることが連邦政府機関に義務付けられています。
最後に標準化や認証に関する動向や規制や公的ガイダンスに関する動向が紹介されました。EUでは、重要インフラのセキュリティ対策を強化するためのNIS2指令が採択されて今年の1月に発効し、EU加盟国は2024年10月17日までに対応する国内法を整備するよう義務付けられています。この規制は本拠の所在地を問わず欧州でサービス提供している一定の規模を超える重要サービス事業者に一律に適用されます。
IEC 62443制御システムセキュリティ規格の現状~概要と最新の状況の紹介~
講演者:横河電機株式会社 デジタルソリューション本部ライフサイクルサービス事業部 サイバーセキュリティ統括部 IEC/TC65/WG10国際エキスパート 星野 浩志
星野様のご講演では、制御システムセキュリティの国際標準規格であるIEC 62443の概要と最新の状況について紹介されました。
内閣官房サイバーセキュリティ戦略本部の「重要インフラのサイバーセキュリティに係る行動計画」をあげ、重要インフラ事業者のサイバーセキュリティは、組織統治に組み入れる必要のある、事業リスクに関する問題であることを指摘しました。サイバーセキュリティはサプライチェーン全体でセキュリティリスクに取り組む必要があることなどから、産業制御システムのサプライチェーン全体に関係する国際標準規格IEC 62443の重要性が高まっていることを述べられました。
次に、IEC 62443の概要と文書発行・改定状況について説明がなされました。IEC 62443は、ISA(国際自動制御学会)およびIEC(国際電気標準会議)にて開発されており、産業用オートメーションおよび制御システム(IACS)のセキュリティを確保するための国際標準規格であることが述べられました。標準化の経緯として、2002年にISAによる取り組み開始、2011年にStuxnetによる制御システムへのサイバー攻撃発生を経て、2013年にISAとIECによる共同開発が始まったことを解説し、主に、化学、石油、ガス、パイプライン、機器製造、電力、鉄道、ビルオートメーション、医療機器分野などで活用されていることを述べられました。現時点で主要な規格文書は発行済みであり、次期エディションへの改訂作業が計画・進行している文書があること、また、規格文書をもとにした第三者評価・認証制度が推進されていることや、国内でJIS化の活動が開始されていることなどについて述べられました。
また、IEC 62443を取り巻く状況と標準化最新状況について説明されました。デジタルトランスフォーメーションの進展、クラウドサービス利用の拡大、IT/OTの組織間連携の進展といった市場動向に対して、IEC 62443全体コンセプト・モデルの議論がなされており、IEC 62443-1-1の次期エディション2.0では、これまでのコンセプト・モデルを集約することなどを示されました。また、ISASecure、IECEEの62443関係認証といった各国の第三者評価・認証での活用、欧州NIS2指令やサイバーセキュリティ法といった法令・規制での動向などを例に、IEC62443の活用や参照も広がる可能性があることを述べられました。さらに、産業オートメーション以外のOT機器へのIEC 62443活用の動きとして、OTセキュリティの水平規格化の議論や、IEC 62443全体のロードマップ、要求項目の整理・見直しの議論が行われていることが紹介されました。
ICS環境の現場から考える検知・対応の難しさと解消に向けた対応の例
講演者:PwCコンサルティング合同会社 Technology & Digital Consulting Digital Trust Senior Manager 茂山 高宏
茂山様のご講演では、ICS環境でのインシデント検知・対応の難しさに言及し、その検知・対応の実装例をあげて説明がなされました。
ICS環境のセキュリティ強化の重要性が高まるものの、生産停止を容易に許容できないこと、事業運営上重要な規制への影響から対策によっては容易に実施できないものもあり、ICS環境の技術的な事前のセキュリティ対策を実施するにはさまざまな課題があるため、インシデントの検知・対応態勢に重点を置くことで、実効性のあるICSセキュリティ対策とすることも戦略の一つであると指摘されました。
検知・対応態勢にフォーカスを当てたときの難しさとして、マンパワーや専門性が不足していること、社内外ステークホルダー連携の整備が難しいこと、防御策が導入されておらず、アラートを送信できる対策がないことをあげています。そのため、攻撃者に狙われやすく利用が多いシステムに絞り対策すること、システムに標準に搭載されている機能(ログなど)を最大限活用するといった解消の方向性が示されました。これらの方向性を踏まえ、攻撃の起点となり、工場/研究所横断で導入数が多いWindowsに着目し、Windowsを対象とするインシデント検知・対応の態勢を整備する方法が考えられると述べられました。
インシデント検知の仕組みの実装例として、Windows標準のリモート管理のAPIを用いて、イベントログやパフォーマンスを監視する方法も紹介されました。工場/研究所は定型プロセスが確立していることがあり、業務上利用しないアカウントの利用やサービスの起動、CPUやメモリの使用率の高騰などの逸脱はインシデント懸念と見なすことができると考えられるというものです。また、インシデント検知・対応の手順・教育の実装例として、調査、封じ込め、連携などの対応手順や教育を推進チームにて整備し、特定の工場・研究所でトライアルを行い、その後、展開するといったアプローチで、IT、ICS、本社、工場・研究所などが協力して推進する例の紹介がありました。
制御システムにおけるリモート接続の課題と求められる機能
講演者:Claroty Ltd. APJ Sales Solution Engineer 加藤 俊介
加藤様のご講演では、制御システムにおけるリモート接続の課題、求められる機能、および導入事例について説明されました。
まず、リモート接続の現状とメリットについて、リモート接続により障害発生から作業着手するまでの時間・コストを削減でき、迅速に障害解消できることが期待できるため、MTTR(平均復旧時間)短縮になるメリットがあること、点検の頻度をあげられるため、故障の予防につながり、MTBF(平均故障間隔)の改善につなげられる可能性があることを指摘しています。公表されている調査報告書より、リモートメンテナンスの導入率は69.7%あり、うち重要システムへの導入率は31.0%と、リモート接続の導入は多く進んでいることが示されました。
次に、リモート接続を取り巻く脅威について紹介されました。まず、リモート接続経由で不正に制御システムが操作されたインシデント事例が2件紹介されました。また、ドイツBSIが公表したセキュリティ10大脅威の1つに「リモートアクセスからの侵入」があることや、制御システムのインターネット露出が増えていることなどに触れ、セキュリティ対策の必要性を述べられました。そして、国際標準規格のIEC 62443 3-3、NISTのSP800-82、北米の電力事業者向けの規制であるNERCのCIP、経済産業省の工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインで記載されているリモート接続に関する要求事項を紹介し、これらを踏まえてリモート接続を安全に使用するために求められる機能を取りまとめています。求められる機能としては、「中間システムに暗号化通信でアクセスすること」「多要素認証を使うこと」「端末に接続する際には接続グループ制限、ユーザー特定、接続通知、監視、遮断できること」を挙げられました。これらの求められる機能を備えた構成例として、中間システムに加えて制御システムネットワーク内に拠点サーバー(プロトコルGW)を設けて、一元管理する実例が紹介されました。
可用性を維持した制御システムの継続的改善手法とは?
講演者:ABB日本ベーレー株式会社 アプリケーション設計部 大石 貴之
大石様のご講演では、制御システムのセキュリティ対策において、制御システムユーザー側で可用性を担保しつつ実施する難しさと、それを解消するための方法について、制御システムベンダーの立場から説明と提案をされました。
まず、継続的なセキュリティメンテナンスがなぜ難しいのかについて説明されました。制御システムユーザーがセキュリティのメンテナンスを継続的に行うために必要な要素に、ベストプラクティスとしてセキュリティパッチの適用を効率的に厳格に行うこと、積極的な情報収集を行うこと、サポート期限に合わせた設備更新を行うこと等を挙げられました。しかし、これらがユーザー側においてなかなか進まない現状があると述べ、その理由に、可用性に影響するのではないかという不安がユーザー側にあることを指摘しています。
このような状況にもかかわらず、すべてのアップデート対応に人員を割けない等のベンダー側の事情があり、結果的にその実施判断をユーザー側に委ねざるを得ないものの、ユーザー側で判断して実施した場合の責任を負えないことから、これまで、いちベンダーの立場としてセキュリティアップデートを強く推奨できていなかった点があると述べられました。そのため、予算、時間、人材もないなかベンダーが強く推奨していない対策を取るユーザーは限られているのが現状とのことです。しかし、こういった理由で継続的なセキュリティ対策を先延ばしにされた制御システムは、侵入されれば無数の弱点が利用され被害に直結する、そういったインシデントが今後増えていく可能性があると指摘されました。
次に、制御システムユーザーがアップデートを不安なく進めるために現実的な改善を行うにはどのようなことが必要かについて述べられました。不安なくアップデートを実施するためには、必ず制御装置ベンダーで検証されたアップデートを適用することが重要だと述べられました。可用性への不安を抱くユーザーに対して安全なアップデートの提供はベンダーが保証しなければならない前提条件であるとの指摘がなされました。また、実施タイミングについては、ベンダーとユーザーの協業が必要で、ベンダーはパッチの検証、リスク評価、作業手順および作業時の制約に対して責任を持ち、ユーザーはベンダーから提供された情報をもとに日常保守作業としてセキュリティの更新を行うといった、制御システムのベンダーとユーザーの連携による対応ついて提案されました。
これらを実施するために、場合によっては契約内容の確認を行い、必要に応じてベンダー保守の内容も見直すことも重要だと指摘されました。ベンダーとユーザーが協力してセキュリティを維持していく、その意識を持つことが可用性を維持しつつ継続的なセキュリティ対策を行うための第一歩であると述べられました。
どうする?これからの制御システムセキュリティ
講演者:参天製薬株式会社 Digital & IT本部 Global Cybersecurity Manager 正木 文統
正木様のご講演では、参天製薬における制御システムセキュリティ対策の取り組みについて紹介されました。以前、自社のセキュリティポリシー策定について本カンファレンスでご講演されており、今回は、策定されたポリシーを現場に実装するにあたっての課題や対応策、更なるセキュリティ向上に向けてのチャレンジについて発表いただきました。
まず、参天製薬において、ポリシーの実装のために、日々行っている制御システムセキュリティ対策の取り組みを紹介されました。次に、その対策を進めるにあたり対応上の課題が浮き彫りになった「USBメモリの管理」「資産管理」「パスワード設定」「リモート接続」「セキュリティ教育」「セキュリティ人材」「脆弱性対応」「物理セキュリティ」の8つの項目を挙げられ、それらの課題について実際に行った対応策の説明がなされました。
次に、制御システムのセキュリティ対策をさらに進めるためのこれからのチャレンジとして、(1)組織的対策におけるチャレンジとして、制御システムセキュリティ用予算の確保、セキュリティ課題の発生要因に寄り添うこと(2)運用的対策におけるチャレンジとして、ITとOTの管理一元化、設定変更のハードルの高さへの対応(3)技術的対策におけるチャレンジとして、制御システムにセキュリティアラートの実装、OTのネットワーク化による保護や監視の強化、制御システムで利用するサービス等の導入パターンの多様化(4)サプライチェーンの対策におけるチャレンジとして、制御システム向けSOCサービスの活用、委託先のセキュリティ管理があげられました。
最後に、工場では5S(整理、整頓、清掃、清潔、しつけ)が重要だと言われますが、制御システムのセキュリティ意識が製造現場に浸透するためには、セキュリティのSを加えた6Sが当然のこととして語られるようになることが重要だと述べられました。
ICS関連製品の脆弱性情報の分析を通じて見えてきた課題
講演者:JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ 堀 充孝
本講演では、ICS関連製品の脆弱性情報の分析事例の紹介とその分析の振り返りから、ICSユーザー組織で入手した脆弱性情報をハンドリングする上で注意すべき点や課題、脆弱性を管理する上で参考となる2つの脆弱性分析手法を紹介しました。
まず、ICS関連製品の脆弱性情報の分析事例として、「ICS脆弱性分析レポート -2022年度上期-」で取り上げているCODESYSの脆弱性(CVE-2021-34593)についての詳細な解説を行いました。解説では、脆弱性によって想定される影響やCVSS v3基本評価基準の詳細、アップデートの提供状況など示し、検証結果を踏まえた制御システム全体への影響について分析した結果を述べています。
次に、分析した結果を振り返りながら、ICSユーザーが対応要否判断のために必要な情報についての整理を行いました。特にユーザーにとって判断が難しい点は、攻撃者は本当に脆弱性を悪用し得るのか、悪用された場合に自組織で引き起こされる事象にはどういったものが想定されるかの2つです。攻撃者は本当に脆弱性を悪用し得るのかについては、JPCERT/CCから公表される注意喚起を例に挙げながら、蓋然性の高まりを判断するための要素を取りまとめました。
これらの脆弱性を取り巻く状況を踏まえながら、どれくらいの重要度をもって対処すべき脆弱性なのかを導出し、いつ対処すべきかの判断を支援するツールしてCISA SSVCとICS-Patchを紹介しました。CISA SSVCは、米国で政府機関や重要インフラ向けにSSVCをカスタマイズした脆弱性分析のための決定木で、Webで使用可能なツール「CISA SSVC Calculator」では、それぞれの要素についての状況を選択し判断を導出することができます。ICS-Patchは、ICS特有の事情を考慮したSSVCベースの決定木で、ICSの資産情報にもとづく要素とCVSS v3スコアで判断を算出することが可能です。
最後に、J-CLICS攻撃経路対策編を紹介しました。本ツールは、SICE/JEITA/JEMIMAセキュリティ調査研究合同WGにて作成が進められてきたもので、JPCERT/CCで公開されている「J-CLICS STEP1/STEP2」からの次のステップとして、攻撃者の視点に基づいて対策の実施状況を可視化し、対策を実施することによる効果や対策の優先度を明確にし、今後実施すべき対策を検討するための自己評価ツールです。
講演では公開予定としていましたが、2023年3月7日にJPCERT/CC公式Webサイトよりダウンロード可能となっています。こちらからダウンロードしてご利用ください
閉会ご挨拶
JPCERTコーディネーションセンター 常務理事 有村 浩一
閉会挨拶はJPCERT/CC常務理事の有村が行いました。
新型コロナウイルス感染症の影響の長期化、ウクライナ問題など、事業におけるさまざまなリスクが出現したことや、遠隔サポート等のリモートアクセスの利用拡大やクラウド環境の利用促進がこれまで以上に製造現場で進んでいることをあげ、環境変化が進むにつれて制御システムセキュリティ対策の一層の強化は重要性が増しているとの指摘をした上で今回の講演が、こういった環境変化への技術面やマネージメント面のヒントとして皆さまにお届けできたとの思いを述べるともに、講演者および全参加者に対して謝意を表して締めくくりとしました。
おわりに
今回の制御システムセキュリティカンファレンスでは、制御システムセキュリティを取り巻く状況について、国際標準規格、制御システムベンダー、セキュリティベンダー、ユーザー企業などさまざまな立場からご講演いただきました。本カンファレンスが、制御システムに関わる聴講者の皆さまにとって、今後の活動の参考となればなによりです。今後も開催内容を改善しつつ、国内の制御システムセキュリティの向上に資する情報の発信や知見の共有に努めて参りたいと思います。
ここまで制御システムセキュリティカンファレンス2023の開催レポートをお読みいただき、ありがとうございました。
最後に読者のみなさまへお知らせです。
例年、当カンファレンスでの講演希望者を募るCFP(Call for Presentation)を夏頃に行っています。募集テーマ等の詳細はJPCERT/CC Webサイトのイベント情報で発表されます。講演ご希望の方は、ぜひご応募いただき、チャレンジコインをゲット(採用者のみ)してください。
次回の開催もご期待ください。
制御システムセキュリティ対策グループ 太田 満