制御システムという特殊な環境でも導入できる「即効性のあるセキュリティ対策」

古来、日本を守ってきたのは「関所」と「通行手形」だった

江戸時代の日本では、街道の要所に「関所」を用意していました。
「入鉄砲に出女」というように、武器が関所を超えて江戸まで移動しないよう、
警備のために作られたものでした。

通行するには、自分自身が誰かを証明する「通行手形」を必要とし、
これがなければ突破はできない仕組みにより、中心地である江戸の治安を維持していました。

関所と通行手形
制御システムの安定運用と安全を両立させるには

電力・ガスなどの社会インフラ及び、
石油化学プラント(PA)、工場の生産ライン(FA) 、ビル管理システム(BA)など、

絶対に止まってはならない制御システムが、サイバー攻撃の標的として狙われています。

安定的な長期運用が絶対の制御システムでは、セキュリティ対策ソフトウェアの新規追加や、
複雑な機構を含む通常のセキュリティ対策手法は使えないだけでなく、既にサポートが切れていて、
既知の脆弱性が明らかになっているソフトウェアの保護も考えなくてはなりません。

いまや制御システムへ侵入する攻撃が存在するという前提でリスクを考えるべきです。
2020年には東京五輪という大きなイベントも予定されており、
そこでは「日本の制御システムをダウンさせた」という事実を狙ったサイバーテロの攻撃も予想されます。

制御システムがサイバー攻撃の標的に
どうやって脅威は侵入する?

これまでの制御システム防御方法は、「外界と分断する」という方法でした。
── これは江戸時代でいえば「鎖国」に例えられるでしょう。
しかし、いくら鎖国をしたとしても、その内部で問題が起きると対処ができません。

制御システムにおいては、「内部でUSBメモリを利用する」ことや、
保守端末による作業」が発生します。
これは各種メンテナンス作業のために行われることですが、
これによって、意図しない「侵入」が行われてしまうリスクがあります。
それ以外にも遠隔監視のために無線LAN設備があれば、それも侵入経路になるでしょう。

インターネットにつながっていなかったとしても、実は意外と「侵入経路」が存在しているのです。
侵入してしまえば、設備の監視、操作を妨害する、
データを書き換えるなどのセキュリティ脅威が発生してしまうのです。

制御システムで想定される侵入経路

制御すべきPLCやシーケンサー、アクチュエーターは専用のプロトコルが使われていますが、
それを監視するのはイーサネットのTCP/IPなどオープンなプロトコルです。

そこが狙われれば、攻撃が成功してしまいます。
侵入されないようにより厳しく「鎖国」するという方法もあるでしょう。
しかし、いくら厳しく鎖国しても、さまざまな方法で内部に脅威が忍び込む可能性をゼロにはできません。

サイバーセキュリティの世界においては、内部に侵入してしまった脅威はさながら「スパイ」や「忍者」。
江戸時代の町では性善説でも守れたかもしれません。
しかし、現代では、制御システムのセキュリティは「性悪説」で考えるべき。
そのため、「関所」と「通行手形」の考え方を取り入れるべきなのです。

監視ポイントにセキュリティスイッチを入れて「関所」と「通行手形」を実現する

制御システムにおいても「通行手形がなければ、関所を通さない」。
人の動きではなく「通信」でこれを実現するとどうなるでしょうか。

制御システムネットワーク内の要所にセキュリティスイッチという「関所」を用意し、
制御システム内で普段行われている通信に「通行手形」を渡す。

江戸時代と同様、通行手形のない通信は関所を通過することができないのです。

さらに、関所では「周囲の監視」も重要な役割です。
関所を回避するような行動をはじめとする不審な挙動を見逃さない。
正規の通行手形を持っていても、それが「偽装されていないか」をチェックするのも重要です。

【1】 制御システムネットワークの「監視ポイント(関所)」の最適配置
【2】 通常の利用とは真逆の制限付き「監視運用(通行手形)」の実装
       「通行手形」とは、通過させても良いプロトコル、端末との通信のみを接続制限させる機能
【3】 『関所・通行手形』方式の運用管理のために「大目付管理システム」を導入・運用
【4】 端末にインストールせずにUSBだけで起動するマルウェア駆除対策
【5】 問題発生時にも活用できるリスクアセスメント(現場目線、内部・外部監査にも活用可能)

関所・通行手形方式の大目付管理システム

関所」を最適な場所に配置し、「通行手形」を実現。
そしてその通行手形の発行を管理する「大目付管理システム」の3つを組み合わせることにより、
江戸時代に治安を守った仕組みが、制御システム上でも実現できます。

通行手形がなければ、それはすべて「通行禁止」。振る舞いや不確かさを判断する必要がないので、
正常な通信は遅延を発生させることなく通過できます。
これなら、制御システムにも影響はありません。

江戸時代は、「通行手形」のチェックだけでなく、内部の行動をきっちり監視し、
不審な行動を許さない「関所」の組み合わせにより、町の平和が保たれてきました。

制御システムにおいても、関所と通行手形で許可した通信のみを通すこと、
さらには関所において不正な動きを監視し、
問題のある行動はシャットアウトすることで、制御システムを守れるのです。

関所・通行手形で実現できる、こんな運用方法
不正な端末の接続による、許可されていない通信

不正な端末からの通信は通行手形がないので何もできません。もちろん、接続したときにIPアドレス、MACアドレス、物理ポートも記録でき、制御ネットワーク(または内部ネットワーク)でなにが行われているのかが「見える化」できます。

保守端末には「一時的に使える通行手形」を

ただし、保守のために持ち込む端末を一時的に接続するという作業も発生するでしょう。このようなときには、制御システムに接続できる「一時的な通行手形」を用意します。IPアドレス、接続するポートを登録して許可するだけでなく、通行手形の有効期限も設定可能です。

端末単位だけでなく「通信内容単位」での通行手形を実現

正しく登録された端末でも、何らかの原因でサイバー攻撃を受けてしまうと、こっそりと「悪意ある通信」が行われるかもしれません。通常ならばセキュリティ対策ソフトによる「怪しさを判断し止める」「パターンファイルで止める」などの仕組みが必要ですが、「通行手形がない通信」だけを止めることが可能です。

マルウェアによる通信は、すべて「通行手形がない通信」。正常な通信には全く影響しません。万が一通行手形があったとしても、その内容が不正で問題のあるものであれば、関所がきっちり止められること。これで問題がしっかり検知ができますので、制御システムに影響なく脅威を取り除けます。

制御データを改ざんすることも不可能に

例えば、室温を示す制御データを改ざんし、低い温度をセンサーが検知したと偽れば、空調システムをのっとり、サーバールームの温度を不正に変更されてしまうかもしれません。このような攻撃も、もとになるのは「不正な通信」です。盗聴やデータ改ざんを引き起こす通信も、関所で止めることで防ぐことが可能です。

2017年5月に猛威を振るった破壊型ランサムウェア「WannaCry」もこのタイプの攻撃。ランサムウェアの「不正な通信」さえ止めることができれば、制御システム内での拡散を止めることができます。このような不正な通信は、関所で止めるべきものです。

戦国時代の知恵を、監視制御システム防御の力に

関所・通行手形、大目付の仕組みは、今の時代でも色あせてはいません。

ITシステムの守りの要として、この仕組みを取り入れることで、皆さんがこれまで実行していた、
日本が誇る素晴らしい仕組みである「製造現場の5S」 ーー整理、整頓、清掃、清潔、しつけーー に加え、
もう1つのS、「セキュリティ」を確保できるはずです。

そう、実はサイバーセキュリティ対策もこれまでやってきたことの延長線上にあることで、
決して難しいことではないのです。

ぜひ、あなたの制御システムでも、関所・通行手形の仕組みを取り入れてはいかがでしょうか

※文/宮田 健

※記載の関所と通行手形の概念は、三菱電機インフォメーションシステムズ株式会社の資料に基づき使用しています。

パイオリンクのお問合せ・資料ダウンロード

| パイオリンクのTOPページ | TiFRONTの製品ページ |

プリント用PDFのダウンロード

このページの先頭へ