制御システムのセキュリティ対策の考え方

先日、東京の新交通システム「ゆりかもめ」で開業から25年間使われ続けたNEC製ノートパソコン「PC-9801 NS/R」が引退するというニュースが話題になっていました。このノートパソコンはATO（自動列車運転装置）の情報を読み取るために使われていたとのことであり、他のシステムやインターネットとは接続されていなかったと考えられます。

「ゆりかもめ」をはじめとした交通インフラを含む産業用オートメーション及び制御システムは称してIACS（Industrial Automation and Control System）と定義されています。IACSは情報システムやインターネットとは接続せずに、独立したシステムとして運用されてきました。しかしながら、近年ではIACSと情報システムを相互に接続し、データ・情報の積極的な有効活用が図られる傾向にあります。今回は、情報システムとの相互接続を前提としたIACSのセキュリティ対策の基本について考えていきます。

1. IACSとは

IACSには鉄道等の交通インフラ、エネルギー分野（電力、ガス等）や石油・化学・鉄鋼等のプラント、機械・食品等の生産・加工ライン、ビルの管理システム等社会・産業基盤を支えるシステムが含まれます。IACSを構成する各設備は独自OSで開発され、設備同士の通信に使用するプロトコルは独自の規格が採用されていました。
IACSの代表的な例として、以下のようなものがあります。

■ 主に電気・機械系の組み立て工場を制御するシステムの一つの仕組みとして、FA（Factory Automation）があり、PLC（Programmable Logic Controller）と呼ばれるコントローラや、産業用ロボット、CNC工作機（コンピュータ制御の加工機械）等で構成される。
■ 食品やガス・石油等を扱う工場やプラントを制御するシステムの一つの仕組みとして、PA（Process Automation）があり、DCS（Distributed Control System）と呼ばれるコントローラや、アクチュエータ、バルブ、流量や水圧・油圧等を検知する各種センサ等で構成される。

2. IACSと情報システムの接続

従来、独立したシステムとして運用されてきたIACSですが、ドイツが提唱するインダストリー4.0構想とともにIoT（Internet of Things）やスマートファクトリー、AI（Artificial Intelligence）等の概念や技術が広まり、他のシステムとの接続を考慮するようになってきました。生産性や品質の向上を目的として、工程の実行管理や実績管理、遠隔管理、設備の故障検知や予兆保全、生産結果のトレーサビリティ情報の活用等が求められます。これに伴い、いつでも、どこでも、誰でもリアルタイムに生のデータに触れることができる環境を構築したいというニーズが生まれてきました。

近年、IACSを構成する設備はWindowsやLinux等の汎用OSの採用、及び通信プロトコルとしてTCP/IPの実装により、異なるメーカの設備同士が相互にデータのやり取りができるように変化してきました。この結果、図1のようにいくつかの役割毎に階層を分けてネットワークを構築し、それらを相互に接続する構成が提唱されるようになってきています。

図1　IACSと情報システムの相互接続の例

表1　各ネットワークの特徴

今後は、団塊の世代の定年退職や新型コロナウィルス感染症を契機としてより強く求められる工場等の省人化、及び外部とのデータ・情報連携の必要性等の様々な観点から、IACSと情報システムとの相互接続がより加速するものと考えられます。

3. 考えられるセキュリティリスク

これまでIACSは外部からの攻撃をはじめとするセキュリティ脅威に対しては特段意識する必要がないと考えられてきましたが、情報システムと相互に接続する状況下ではセキュリティ脅威も増大してきています。また現場技術部門でIACSに付随する通信ネットワークを独自基準で調達・構築する場合や、無線LANを用いて動作する設備導入も増加しています。IACSは人命や安全、環境問題に直結することや、企業の根幹であるサービスの提供やモノの製造等の業務にかかわるため、システムが異常な動作を起こしたり停止したりすることは社会的な影響や企業経営・事業継続に大きな影響を与えます。

IACSは情報システムとはその成り立ちと根本的な設計思想が異なります。IACSの多くは24時間365日稼働することを前提とされており、またシステムの利用期間が10～20年程度と長いため汎用OSのメーカサポートが切れたシステムも多く存在します。また、セキュリティ上の優先順位も異なります。表2にIACSと情報システムにおける主なセキュリティの考え方の違いを示します。

表2　IACSと情報システムにおける情報セキュリティの考え方の違い

IACSで対策を講じるべきセキュリティリスクを正確に評価するためには、情報システムのISMS（ISO/IEC 27001）と同じようにリスクアセスメントを行う必要があります。IACSのリスクアセスメントについては、IPA（独立行政法人　情報処理推進機構）から公開されている「制御システムのセキュリティリスク分析ガイド　第2版」や後述するIEC 62443の国際標準規格を参考にしたい。

これまでにも、IACSでは主に以下のような脅威に対するセキュリティリスクが存在していました。
■ USBメモリなど外部媒体を介したマルウェア感染
■ 保守用端末（保守ベンダの端末を含む）を介したマルウェア感染
■ IACSを保守ベンダが遠隔保守するためのリモートメンテナンス回線経由でのマルウェア感染や情報漏洩
■ 内部犯行による情報漏洩

IACSの各設備が汎用化され、情報システムとも接続されるにしたがって、以下のような脅威についても考慮する必要がでてきました。
■ 情報システムやインターネット経由のサイバー攻撃、マルウェア感染
■ ネットワーク設備の空きEthernetポートに端末を接続することによる不正アクセス
■ 制御ネットワークの無線LANの盗聴による情報漏洩や不正アクセス
■ 遠隔からの本来許可されない利用者からの不正アクセス（設備装置に通信制限がない場合やメーカ出荷時のデフォルトのユーザIDやパスワードのまま運用している）

4. セキュリティ対策の実施

IACSと情報システムを相互に接続する際に、IACSのセキュリティリスクについて、どのように対策を進めていくべきなのでしょうか。
まずは、経営層を巻き込み企業全体として取組み方針を示す必要があります。高度なセキュリティ施策の実行や定常的なシステム監視、情報システムとの連携にあたっては、情報システム部門のサポートが得られるようにコミットメントを得ることなども必要でしょう。IACSのセキュリティ対策について組織としての方針や体制を明確にした後に、前項で述べたリスクセスメントを行い対処するべきセキュリティ施策を明確にする手順が必要です。そして、洗い出されたセキュリティ施策を実行していきます。また、セキュリティ対策は導入から年月が経過するにしたがって最適な状態を維持し続けることの保証はなく、適切なPDCA（Plan：計画→Do：実行→Check：評価→Action：見直し）サイクルを回すことが重要です。

情報システムのセキュリティマネジメントシステムとして一般化したISMS（Information Security Management System）に対して、IACSに対するマネジメントシステムとしてCSMS（Control Systems Security Management Systems）があります。ISMSは国際標準規格ISO/IEC 27001を基にされているのに対して、CSMSは国際標準規格としてIEC 62443が基になっています。順次、内容は現在も更新されていますが、細分化されたIEC62443-2-1にリスクアセスメントを含むセキュリティプログラムの確立に対する規定があります。また、IEC62443-3-3には実際のシステムに対するセキュリティ要件とセキュリティレベルの規定があります。この国際標準規格などを参考としてリスクアセスメントやセキュリティ対策の妥当性を図ることで一定の根拠をもって各企業に最適なセキュリティ対策を行うことが可能となります。

今回はIEC 62443に定義された具体的なセキュリティ要件等の詳細には言及しませんが、一例として以下のような対策を進めるべきでしょう。
■ 管理するべき資産を明確化し、構成図等とともに管理すること
■ USBポートやEthernetポートの物理的な閉塞を行うこと（利用する場合は許可制とする等）
■ 管理・認可されている設備（保守用設備を含む）のみがシステムに接続されること
■ セキュリティパッチの適用が難しい設備が多く、ゲートウェイ型やふるまい検知（エンドポイント型以外）等によるマルウェア対策を行うこと
■ ファイアウォール等による外部システムとの通信制限を行うこと
■ 制御設備に対して、許可された設備からしかアクセスできないような通信制限を行うこと
■ 制御システム上のネットワークやシステム等の監視を行うこと
■ 利用者の認証を行うこと
■ 制御ネットワークの無線LANの暗号化と認証を行うこと
■ 重要なサーバ等に関しては電源の二重化（UPSを含む）を行うこと

5. 企業一丸となった推進

ここまで述べてきたすべてを考慮し現場技術部門が独自にシステム調達を行いIACSの高度化を図ることは、実はセキュリティリスクとは別の観点の危険性をはらむ可能性があります。いわゆるJ-SOX法に基づくIT全般統制（ITGC）に関係する懸念です。IACSに含まれる情報通信設備等についても内部統制の対象として含まれるのかの確認や内部統制として正確に評価されるように、経営層や情報システム部門、又は監査部門等と連携した対応が求められます。
厳しさを増す産業界の経営環境を鑑みると、今後、IACSと情報システムとの相互接続のニーズは確実に高まります。現場技術部門で悩みを抱えておられる方も、情報システム部門でIACSの領域への関与を担われる方も、企業関係者が一体となって、より良い関係性を築き最適なシステムの構築・運用が図られることを期待します。

※弊社では、セキュリティ施策に関する各種コンサルティングサービスを提供しております。随時ご相談ください。

執筆者
豊増　篤史
株式会社Dirbato（ディルバート）
コンサルティンググループ　シニアマネージャー

システム監査技術者／情報セキュリティスペシャリスト
製造／金融／通信業／パブリックセクター（地方公共団体等）を中心に、システム監査、情報セキュリティ監査、セキュリティ導入支援、各種規格（ISO/IEC 27001、IEC 62443、PCIDSS等）の認証取得支援及び規格に基づくシステム設計導入支援プロジェクト等に従事。