Comments
Description
Transcript
セキュリティ運用ガイドライン実地適用研究 - IPA 独立行政法人 情報処理
次世代デジタル応用基盤技術開発事業 「セキュリティ運用ガイドライン実地適用研究」 平成 12年3月 情報処理振興事業協会 目次 1 はじめに __________________________________________ 1 1.1 実地適用研究の必要性........................................................................................... 1 1.2 実地適用研究の背景 .............................................................................................. 2 1.2.1 PSEC の活動内容 ................................................................................... 2 1.2.2 PSEC におけるモデルシステム ............................................................. 2 1.2.3 ISO/IEC 15408 の検証 ............................................................................ 5 1.2.4 他の標準化動向....................................................................................... 5 1.3 実地適用研究の進め方........................................................................................... 6 2 運用ガイドラインの解釈 _____________________________ 9 2.1 基本的な考え方 ..................................................................................................... 9 2.2 外部接続ニーズとの関連性 ................................................................................. 10 2.2.1 外部接続ニーズと脅威・対策の関連性 ................................................ 10 2.2.2 運用ガイドラインと脅威の関連性........................................................ 29 2.3 運用マニュアルテンプレート.............................................................................. 51 2.3.1 作成時のポイント ................................................................................. 51 2.3.2 システムユーザ向け運用マニュアルテンプレート .............................. 56 2.3.3 システム管理者向け運用マニュアルテンプレート .............................. 60 2.3.4 リモートメンテナンス者向け運用マニュアルテンプレート .......................... 77 2.4 考察...................................................................................................................... 83 3 2.4.1 ウイルス................................................................................................ 83 2.4.2 リモートメンテナンスユーザ............................................................... 83 2.4.3 制御系システム内部から外部へのアクセス ......................................... 84 運用ガイドラインの適用方法 _________________________ 86 3.1 セキュリティ・ポリシーの策定方法................................................................... 86 3.1.1 基本的な考え方..................................................................................... 86 3.1.2 管理対象................................................................................................ 93 3.1.3 役割とアクセス方法 ............................................................................. 96 3.1.4 正規アクセス ........................................................................................ 97 3.1.5 不正アクセスと管理対象の重大度ランク........................................... 100 3.1.6 セキュリティ・ポリシー条文............................................................. 108 3.2 運用マニュアルの策定方法 ............................................................................... 109 4 ケーススタディ___________________________________ 112 4.1 実プラント・モデル・システム .........................................................................112 4.1.1 概要 ......................................................................................................112 4.1.2 実プラント・モデル・システム ..........................................................112 i 4.1.3 ユーザとその役割 ................................................................................117 4.2 ケーススタディ 1............................................................................................... 120 4.2.1 ケーススタディ 1 の進め方 ................................................................ 120 4.2.2 セキュリティ・ポリシーの策定 ......................................................... 123 4.2.3 運用マニュアルの策定........................................................................ 156 4.3 ケーススタディ 2............................................................................................... 188 4.3.1 ケーススタディ2の進め方 ................................................................ 188 4.3.2 サイバーテロリズム対策のケース...................................................... 188 4.4 考察.................................................................................................................... 193 5 4.4.1 アンケート結果................................................................................... 193 4.4.2 特記事項.............................................................................................. 196 今後の課題 ______________________________________ 203 参考文献____________________________________________ 208 付録 A セキュリティ運用ガイドライン ___________________ 209 付録 B 用語集 _______________________________________ 216 ii 図表目次 図 1 大規模プラント・ネットワークに於けるシステム構成モデル ..................................... 3 図 2 研究の進め方とポイント................................................................................................ 6 図 3 タイプⅠ:ダイヤルアップ接続................................................................................... 14 図 4 タイプⅡ:情報系 LAN 接続(社内からの接続の場合)............................................. 15 図 5 タイプⅢ:制御系情報 LAN とのインターネット接続 ................................................ 16 図 6 運用マニュアルテンプレートの対象ユーザ................................................................. 54 図 7 正規アクセスの概念モデル .......................................................................................... 87 図 8 不正アクセスの概念モデル .......................................................................................... 89 図 9 セキュリティ・ポリシーと運用方法の策定手順の流れ .............................................. 92 図 10 セキュリティ・ポリシーの管理対象の策定図 ........................................................... 94 図 11 DCSサブシステムにおけるアクセス経路の策定図 ................................................ 96 図 12 運用マニュアルの策定方法.........................................................................................111 図 13 実プラント・モデル・システム................................................................................114 図 14 運用マニュアルの対象ユーザ .................................................................................. 121 図 15 セキュリティ・ポリシーの管理対象 ....................................................................... 124 図 16 本番系プロコンにおけるアクセス経路.................................................................... 127 図 17 開発系プロコンにおけるアクセス経路.................................................................... 128 図 18 スタンドアロン型PLCにおけるアクセス経路 ..................................................... 129 図 19 LAN型PLCにおけるアクセス経路.................................................................... 130 図 20 DCSコントローラにおけるアクセス経路............................................................. 131 図 21 リモートアクセスサーバにおけるアクセス経路 ..................................................... 132 図 22 リモートメンテナンス時のログイン手順 ................................................................ 198 図 23 リモートメンテナンスのためのセキュリティ設備.................................................. 201 図 24 セキュリティ運用ガイドラインに関連する基準の参照関係 ................................... 206 表 1 外部接続ニーズの目的による分類 ................................................................................11 表 2 外部接続方式の形態による分類....................................................................................11 表 3 外部接続ニーズとその実現方法................................................................................... 13 表 4 外部接続方式による、脅威と対策の分類 .................................................................... 17 表 5 脅威を高める要素と対策.............................................................................................. 22 表 6 コンピュータ・ウイルスの脅威と対策 ........................................................................ 27 表 7 運用マニュアルテンプレートのユーザ定義................................................................. 53 表 8 運用マニュアルテンプレート タイトル一覧(システムユーザ向け)....................... 56 表 9 運用マニュアルテンプレート タイトル一覧(システム管理者向け)....................... 60 表 10 運用マニュアルテンプレート タイトル一覧(リモートメンテナンス者向け) ...... 77 表 11 モデル・システムにおけるユーザとその役割 ........................................................... 90 表 12 各策定手順において作成する図表等一覧 .................................................................. 91 iii 表 13 サブシステムの名称と構成機器の策定表 .................................................................. 95 表 14 DCSサブシステムにおけるユーザの役割の策定表 ................................................ 97 表 15 アクセス権限を表す記号とその意味 ......................................................................... 98 表 16 DCSサブシステムにおける正規アクセス............................................................... 98 表 17 不正アクセスによる被害の大小の決定指針............................................................. 101 表 18 不正取得/改ざん/破壊について ................................................................................ 101 表 19 不正アクセスによる被害の大小(DCS の場合) .................................................... 102 表 20 発生可能性のランク付け.......................................................................................... 103 表 21 想定される侵入者..................................................................................................... 103 表 22 不正アクセスの発生可能性の大小(DCS の場合) ................................................ 104 表 23 重大度のレベルを表す網掛けとランク.................................................................... 105 表 24 不正アクセスの重大度ランク(DCS の場合)........................................................ 106 表 25 各策定手順において作成する図表等一覧 .................................................................110 表 26 実プラント・モデル・システムのユーザ定義 ..........................................................118 表 27 実プラント・モデル・システムのユーザ端末 ..........................................................119 表 28 サブシステムの名称と構成機器............................................................................... 125 表 29 本番系プロコンにおけるユーザの役割.................................................................... 127 表 30 開発系プロコンにおけるユーザの役割.................................................................... 128 表 31 スタンドアロン型PLCにおけるユーザの役割 ..................................................... 129 表 32 LAN型PLCにおけるユーザの役割.................................................................... 130 表 33 DCSコントローラにおけるユーザの役割............................................................. 131 表 34 リモートアクセスサーバにおけるユーザの役割 ..................................................... 132 表 35 アクセス権限を表す記号とその意味 ....................................................................... 132 表 36 本番系プロコンにおける正規アクセス.................................................................... 133 表 37 開発系プロコンにおける正規アクセス.................................................................... 135 表 38 スタンドアロン型PLCにおける正規アクセス ..................................................... 136 表 39 LAN型PLCにおける正規アクセス.................................................................... 137 表 40 DCSコントローラにおける正規アクセス............................................................. 139 表 41 リモートアクセスサーバにおける正規アクセス ..................................................... 140 表 42 不正アクセスによる被害の大小の決定指針............................................................. 141 表 43 不正取得/改ざん/破壊について ................................................................................ 142 表 44 不正アクセスによる被害の大小............................................................................... 143 表 45 想定される侵入者..................................................................................................... 144 表 46 発生可能性のランク付け.......................................................................................... 145 表 47 不正アクセスの発生可能性の大小 ........................................................................... 146 表 48 重大度のレベルを表す網掛けとランク.................................................................... 147 表 49 不正アクセスの重大度ランク .................................................................................. 148 表 50 項目の重要度を示す添え字 ...................................................................................... 157 表 51 運用マニュアル タイトル一覧(システムユーザ向け)......................................... 158 表 52 運用マニュアル タイトル一覧(システム管理者向け)......................................... 163 表 53 運用マニュアル タイトル一覧(リモートメンテナンス者向け) .......................... 182 表 54 クラッカー、サイバーテロリズムの定義 ................................................................ 188 iv 表 55 クラッカーとサイバーテロリズムの主要なセキュリティ上の相違点 .................... 189 表 56 セキュリティポリシーにおける相違点.................................................................... 190 表 57 具体的なセキュリティ・システム設計.................................................................... 191 表 58 アンケートの判断番号と項目の重要度との対比 ..................................................... 193 表 59 必須項目に対し認識の差異が大きい項目 ................................................................ 194 表 60 アンケート回答者の注目コメント ........................................................................... 195 表 61 セキュリティ・ポリシーの策定手順 ....................................................................... 200 表 62 具体的なセキュリティ・システム設計.................................................................... 200 表 63 セキュリティ運用ガイドラインとそれに関連する基準の一覧 ............................... 207 v 1 はじめに 1.1 実地適用研究の必要性 近年の情報化の進展に伴い、経済・社会の多くの分野が業務の効率性、生産性の向上な どのため、コンピュータ・ネットワーク・システムに依存するようになってきている。そ の結果、コンピュータ・ネットワーク・システムの機能が停止したり不完全になると、経 済活動はもとより、国民生活全般に深刻な影響を及ぼすことになる。いわゆるサイバーテ ロリズムなどの脅威に対し充分なセキュリティ対策をとることが、これからの高度情報通 信社会の構築に不可欠であると思われる。 元々はプラントの制御を閉じた世界の中で実現してきた制御系も、情報系との接続やリ モートメンテナンスの実現、更には Internet 技術の活用による Intranet、Extranet への 展開等により、個別システムを越え、企業間の壁を越え、更には国境をも越えて益々高度 な且つ利便性の高いシステムへと変貌しつつある。いわば、防波堤で守られた制御システ ムの入り江から、開かれたネットワークの大海原へと出帆しつつあると言えるであろう。 しかしながら、社会的に重要なインフラストラクチャーであり、高信頼性が求められる 大規模プラント・ネットワークが「悪意ある侵入者」により攻撃されたならば、プラント の爆発や停止など、重大障害や災害の発生の危険性が否定できない。 現在、情報系システム上での不正アクセスやサイバーテロリズムの具体的事例が実感で きる機会が多くなってきており、システムを守る必要性が情報系システムを中心に理解さ れてきている。しかし、一方、制御系システムでは、脅威は予感しながらも、対策の必要 性を強く自覚し、具体的な対策を行っている企業は、まだ残念ながら少ないのが実情では ないかと思われる。また、本来閉鎖的なシステム構成から進展してきている制御系システ ムにおいて、どのような対策をどのレベルまで行わなければならないかなど経済性評価を 含めたセキュリティ・ポリシーの検討方針が具体的に想定しにくいことも、対策遅れの主 な要因になっていると思われる。 このような状況の中、通商産業省殿の呼びかけにより、 「大規模プラント・ネットワーク・ セキュリテイ対策委員会」が平成9年度より活動を開始し、運用ガイドラインの策定が行 われた。また、1999 年 6 月に国際基準「ISO/IEC 15408 情報技術セキュリティ評価基準」 が承認され、現在これに基づく評価技術の開発と実証が進められている。 大規模プラントにおいては、種々の設備・装置を導入・維持するが、情報システムやそ れを構成する機器・ソフトウェアについては、ISO/IEC 15408 規格にもとづいて評価・認 証された適切なセキュリティレベルの製品を採用し、それを適切に運用することにより、 大規模プラントのセキュリティレベルは飛躍的に向上すると思われる。そのため、ISO/IEC 15408 を応用した運用方案の実用化が期待されている。 今後は、 「ISO/IEC15408 情報セキュリティ評価基準」の評価技術の開発と検証の一環と して、ユーザ企業による実地適用性を研究する必要性があると考えられる。すなわち、ユ ーザ企業の観点から、運用ガイドラインの内容、位置付けを明確化し、補強、補充内容を 明らかにするとともに、プラントの現場において実際に適用する際の方法、問題点を明示 することが必要であると考える。 以上のように、本報告書ではユーザの視点から運用ガイドラインを見つめ直し、その実 地適用性に関して研究することを目的とするものである。 1 尚、本研究に際しては鉄鋼プラントをベースとした実プラントの制御系システムを想定 し、これに関する種々の経験、知見に基づいて実施した。 1.2 実地適用研究の背景 1.2.1 PSEC の活動内容 大規模プラント・ネットワーク・セキュリティ対策委員会(以下 PSEC と略記する)の 中間報告書(平成10年3月版)において、プラント・ネットワークの現状認識、セキュ リティ対策案について報告されている。(①プラント・ネットワークの現状認識、②侵入経 路別のセキュリティ対策) また、その報告を受けて、検討が実施された。 (③WG1 によるセキュリティ技術開発提 案、④WG3 によるセキュリティ運用ガイドライン策定) 以下にそれぞれの概要について記す。 ①プラント・ネット ①プラント・ネットワークの現状認識 ・ネットワークの現状認識 大規模プラント・ネットワーク・システムについて共通認識を持つために、委員 会においてモデル・システムを設定した。 (「1.2.2PSEC におけるモデルシステムを 参照) ②侵入経路別のセキュリティ対策 プラント・システムへの侵入の経路には、いくつかのパターンがあり、それぞれ の侵入経路別に脅威が列記されている。その具体的な対策も多く挙げられている。 ③WG1 によるセキュリティ技術開発提案 セキュリティ技術開発すべき項目として、ファイアウォール技術、認証技術、暗 号化技術、侵入・改ざん検知技術、侵入記録技術などが提案されている。ベンダ企 業分科会のメンバー企業が中心になって、技術開発が推進されている。 ④WG3 によるセキュリティ運用ガイドライン策定 技術開発項目以外のセキュリティ対策として、運用面の対策が重要である。制御 系システムユーザ基準、制御系システム管理者基準、ハードウェア・ソフトウェア 供給者基準、リモートメンテナンス事業者基準、ネットワークサービス事業者基準 から構成され、それぞれの運用基準が挙げられている。 1.2.2 PSEC におけるモデルシステム PSEC において作成されたモデル・システムを「図 1 大規模プラント・ネットワークに 於けるシステム構成モデル」に再掲する。また同図の解説文も合わせて引用する。1 1 参考文献[1]より再掲。 2 インターネット/公衆回線 インターネット/公衆回線 工場情報管理システム 設備診断 OAシステム PC 全社システム ホストコンピュータ *1 設備管理LAN F i re w a l l *1 OA LAN 情報系 システム 情報系LAN イーサネット-1(*3) 情報系 システム F i re w a l l WA 制御系 システム プロコン (プロセスコンピュータ) R/ M リモートメンテ ナンス用端末 (生産管理・データ収集) イーサネット-2(*3) コンソール 3 DCS (プラントの 運転監視) 別プラントDCS Ga te Wa y R/ M Ga te Wa y コンソール *4 R/M :Remote Maintenance RAS :Remote Access Server WAN :Wide Area Network EWS :Engineering Work Station PBX :Private Branch eXchange PC :Personal Computer PLC :Programmable Logic Contoller コンソール F i re w a l l 制御系情報LAN EWS エンコン (プラントの 運転支援) (エンジニア用 コンソール) (DCS用プログラム 開発環境) Ga te Wa y PLC PLC RAS 制御LAN PBX A社製制御LAN (メーカ独自LAN) コントローラ B社製制御LAN *2 (プラントの制御) 基地局 保守用コンソール 無線専用ネットワーク (無線LAN、 構内PHS を含む) (コントローラの修理・監視) コントローラ 現場 公衆回線 ダイヤルアップ接続 ←フィールドバス 現場 運転員用の 携帯端末 図1 大規模プラント・ネットワークに於けるシステム構成モデル *1 : 情報系LANとOALANは同一 の場合が多いが、プラントに よっては別に設置される場合 もある *2 : 必要に応じて接続 *3 : イーサネット-1,2は統合され る傾向にある *4 : ファイアウォールを入れて接続 される場合がある PC (・リモートエンジニアリング) (・リモートコンソール) 業種、企業ごとに、システムの構成、名称も異なる。議論をする上でベースと なるモデルを委員会の合意をもって何度か修正しながら作成した。 ①制御系システム プラントとは生産装置であり、石油、化学物質、水、燃料、ガスなどの流体を 扱うところでは、その制御に DCS と呼ばれる制御装置を使用している。 DCSは、生産装置(上図の現場)を直接制御している「コントローラ」とプ ラントの監視/操作を行う運転操作員のための「コンソール」を基本とし、さら に、エンジニアリング支援のためのコンソール(「エンコン」や、DCSの上位シ ステムとのデータ交換をする「ゲートウェイ」から成り立っている。 プラントの規模、工場現場の配置、アプリケーション対象などとの対応でシス テム設計のポリシーにより、コントローラを複数台使用したり、分散して配置す る こ と が で き る こ と か ら 、「 分 散 制 御 シ ス テ ム D C S ( Distributed Control System) 」と呼ばれている。 コントローラは、生産装置の機器(センサ)からの流量、温度、圧力などの電 気信号(測定値)を読み込み、制御ロジックに従い電気信号(出力値)を装置に あるバルブその他の操作端末に送り出して制御する。 コンソールには、プラントの状況が見えるグラフィックの画面を中心に運転・ 監視・操作に必要な種々の情報が表示される。それらの画面には直感的な操作が できるように工夫が加えられている。また、コンソールは規模や操作性などの理 由により複数台が使われ、制御LANに接続される。 このDCS内のネットワークを「制御LAN」と呼ぶ。このLANには制御情 報が流れるため、スピード(応答性)と信頼性が特に要求される。ベンダは、T CP/IPではなくベンダ独自のプロトコルや2重化によって、それらの要求に 対応している。 DCSの上位には、生産情報(計画・管理) 、製造情報(レシピ) 、実績情報(デ ータサーバ)を扱う「プロコン(プロセスコンピュータ) 」がある。従来プロコン は、ミニコンをベースとした専用コンピュータであったが、最近は、OSに UNIX や WindowsNT を用いたサーバ型になってきており、規模や運用によって複数台 使われることもある。 また、最近はプラント全体の効率化のために多変数予測制御など、従来の制御 装置ではできなかった高度な制御や異常原因の解析などのためにコンピュータ(図 中の「EWS」)が付加されることがある。 図の右にある「PLC」とは、Programmable Logic Controller の略で、DCS がアナログ量を主に扱っているのに対し、PLCは、デジタル量(オンオフ)を 主に扱っており、制御手順(シーケンス)を記述する言語で書かれているのでシ ーケンサとも呼ばれる。PLCは加工組立産業(自動車・電機など)に多く使わ れるが、プラント(装置産業)においても固体製品を扱う場合には使われる。 DCSとプロコンを接続するのが、「制御系情報LAN」である。異なるメーカ のコンピュータ、装置を接続することから、最近は Ethernet が使われている。こ のLANには、制御情報ほどでは無いが生産に直結する情報が流れており、また、 複数のプラントを制御範囲とするコンソールが接続されることもある。したがっ て、このLANは制御系システムが必要とする情報が流されるので、機能名称と して制御系情報LANと呼ぶことにする。 4 その他の制御系システムの範疇に入るシステムとして、「別のプラントのDCS との接続をするためのゲートウェイ」および設備点検や現場の情報収集などの構 内パトロールなどに「無線応用のシステム」も使われるようになってきた。また、 制御系システム内のコンピュータや機器をベンダのセンタから保守サービスする 「リモートメンテナンス用のダイヤルアップ回線による外部接続」が存在してい る。 ②情報系システム 情報系システムは、製造業での一般的な姿として図示している。「情報系LA N」が工場内のバックボーンのネットワークとして位置づけられ、そこに設備管 理やOAシステムなどのサブシステムが接続される。これらのサブシステムのネ ットワークは場合によっては、DCSが設置されている計装室またはコントロー ルルームまで敷設され、そこでの作業者の業務に使われることもある。小規模な システムの場合、制御系情報LANにOAパソコンを接続してOAシステムとL ANを共用したり、また情報LANと制御系情報LANとが分化していないこと もある。 工場からは、社外企業と原材料や製品その他のデータをやりとりするために公 衆回線・インターネットとの接続がある。本社を含む全社システムとはWAN経 由で接続されている。 各企業は必要なときに必要な機能を追加しシステムを構築してきた。その結果、 現在は生産と情報が直結した巨大なネットワ−クとなり、その中にDCSおよび プラントが存在するようなシステムになってきている。 1.2.3 ISO/IEC 15408 の検証 1999 年 6 月に、国際基準「ISO/IEC 15408 情報技術セキュリティ評価基準」が承認さ れたが、日本国内においても当初より各種団体、すなわち、日本電子工業振興協会(JEIDA)、 情報処理振興事業協会(IPA)セキュリティセンター、情報処理学会等が精力的に取り組んで おり、また JIS 化も進められている。 このような中で、情報処理振興事業協会(IPA)セキュリティセンターでは、1999 年 5 月 に評価技術タスクフォースを発足させ、実際の商用製品に対する試行評価の実施や欧米評 価機関との情報交換を通して、セキュリティ評価技術の開発および実証を行なっている。1 1.2.4 他の標準化動向 国際的な場における情報システムのセキュリティマネジメントの標準化動向としては、 1995 年より実施されている英国工業規格 BS7799(Code of Practice for Information Security Management)と、ISO/IEC にて 1996 年より検討・作成されているテクニカル レポート GMITS(Guideline for the Management of IT Security「情報技術 - IT セキュリティの 管理ガイドライン」ISO/IEC TR 13335)がある。これらは情報系を対象にしたものであり、制 御系を直接の対象としたものではないが、何れもコンピュータおよびネットワークの情報 セキュリティ管理についてシステムの全ライフサイクルに亘って、「行動準則」として示し ている。 これらは情報システムの運用管理は「何をすべきか」の原則的な枠組みと脅威と対策の メカニズムを、物理的な安全対策も含めて広範に且つ包括的に論ずる事に主眼が置かれ、 個別の具体的なシステムの現実論としてポリシー及び対策を「如何にすべきか」の方法論 1 参考文献[8]より引用。 5 については余り触れられてはいない。BS7799 では、「会社のポリシー又は会社間の取引協 定の基本として使用できるようにする為には、別のガイダンスによって補足することが必 用な場合がある」、或いは「(この規格の)引用に際しては、あたかも仕様であるかのよう に引用されるべきではない」とされている。 1.3 実地適用研究の進め方 本研究では、以下の4つの作業を実施する。 1. 運用ガイドラインの解釈 2. 運用ガイドラインの適用方法論の検討 3. 運用ガイドラインの適用(ケーススタディ) 4. 今後の課題の提示 本項では、それぞれの作業内容について説明している。なお、文中の括弧内には、本報 告書における見出し番号とそのタイトルを示す。 運用ガイドラインの解釈 [2章] *条文の具体化 *外部接続ニーズに伴う脅威の対策 運用ガイドラインの適用方法 [3章] *セキュリティ・ポリシーの作成方法 *運用マニュアルの作成手順 ケーススタディ [4章] (運用ガイドラインの適用) *実プラント・モデル・システムの設定 *ケース1(クラッカー対策) *ケース2(サイバーテロリズム対策) 今後の課題 [5章] 図2 研究の進め方とポイント 6 (1) 運用ガイドラインの解釈 この作業では、運用ガイドラインの実地適用に先立って、約1行で表現されている運用 ガイドラインの各条文から、その適用場面や具体策などについて検討する。本報告書では、 運用ガイドラインの条文ひとつひとつを出発点として具体化を進める作業だけでなく、ガ イドラインが対応を図っている外部接続1に関する具体的なユーザニーズから出発して、そ こから発生する脅威およびその対策を分析し、それら対策に運用ガイドラインを対応づけ る作業も行う。そして、これらの作業の結果を、運用マニュアルテンプレートとして提示 する。この運用マニュアルは、制御系システムにおけるセキュリティ対策を実施する際に、 運用ガイドラインを理解、解釈するための手引書に相当するものである。 具体的には以下の手順にて作業を進める。 ①外部接続ニーズとそこから発生する脅威とその対策に関して分析・整理を行なう。 ①外部接続ニーズとそこから発生する脅威とその対策に関して分析・整理を行なう。 〔2.2.1外部接続ニーズと脅威 外部接続ニーズと脅威・対策の関連性 外部接続ニーズと脅威・対策の関連性〕 ・対策の関連性〕 まずユーザの立場から外部接続ニーズを明確にし、次いで、ニーズを満たすため の外部接続がもたらす脅威およびその対策を分析・整理する。 ②運用ガイドラインと外部接続ニーズから発生する脅威・対策との関連性の分析 ②運用ガイドラインと外部接続ニーズから発生する脅威・対策との関連性の分析・ ・対策との関連性の分析・ 整理を行なう。〔 運用ガイドラインと脅威の関連性〕 整理を行なう。〔2.2.2運用ガイドラインと脅威の関連性 運用ガイドラインと脅威の関連性〕 ①のニーズ・脅威・対策の分析・整理結果をもとに、運用ガイドラインの各条文 と外部接続ニーズから発生する脅威・対策との対応関係を明らかにする。 ③運用マニュアルテンプレートを作成する。〔 〔2.3運用マニュアルテンプレート 運用マニュアルテンプレート〕 ③運用マニュアルテンプレートを作成する。 運用マニュアルテンプレート〕 ②の作業により明らかになった不足項目の追加および内容の具体化などを行な い、運用マニュアルを作成する。 (2) 運用ガイドラインの適用方法論の検討 この作業では、運用ガイドラインの実地適用に先立って、本研究で検討した適用方法に ついて説明する。 具体的には以下の手順にて作業を進める。 ①モデル・プラント ①モデル・プラント・システムに基づきケ ・プラント・システムに基づきケーススタディの方法 ・システムに基づきケーススタディの方法・手順を策定する。 ーススタディの方法・手順を策定する。 〔3.1セキュリティ セキュリティ・ポリシーの策定方法 運用マニュアルの策定方法〕 セキュリティ・ポリシーの策定方法〕 ・ポリシーの策定方法〕〔3.2運用マニュアルの策定方法 運用マニュアルの策定方法〕 実際の制御系プラントを抽象化し、業界横断的に表現したモデル・プラントを例 に取り、セキュリティ・ポリシーの策定方法および運用マニュアルの策定方法を述 べる。 なお、本報告書におけるセキュリティ・ポリシーは、プラント制御系システムに おける情報セキュリティの基本方針を指しており、企業組織における情報セキュリ ティの基本方針を指してはいない。したがって、ここでは、企業理念や経営戦略な 1 外部接続とは、情報系システムとの接続、ダイヤルアップ接続追加、無線応用ネットワークの追加など、従来の制御 系システムから見た外部との接続を意味する。 7 どではなく、プラントの設備構成や機器の接続状態、ユーザ業務などに基づいて、 セキュリティ・ポリシーを決定している。 また、実際には立案したセキュリティ・ポリシーの実施後の評価・見直しが必要 になるが、ここでは、PDCA サイクルで言えば P(計画)段階での適用を想定して いる。すなわち、本方法論は、プラントの計画・設計フェーズにおいて実施する、 運用・保守業務を対象としたセキュリティ対策の立案時に適用することを前提とし ている。 (3) 運用ガイドラインの適用(ケーススタディ) 運用ガイドラインの適用(ケーススタディ) この作業では、実プラント・モデル・システムを設定し、そのシステムに対して運用ガ イドラインを適用するケーススタディを行う。 ケーススタディ内容は以下の通りである。 ①実プラント・モデル 実プラント・モデル ①実プラント・モデル・システムを設定する。 ・モデル・システムを設定する。〔 ・システムを設定する。〔4.1実プラント 実プラント・モデル・システム ・モデル・システム〕 ・システム〕 ケーススタディの前提条件となる実プラントのモデル・システムを設定し、その システムに携わるユーザとその役割を定義する。 ②実プラント・モデル )を実施する。 ②実プラント・モデル・システムに基づきケーススタディ ・モデル・システムに基づきケーススタディ(その ・システムに基づきケーススタディ(その 1)を実施する。 〔4.2ケーススタディ ケーススタディ 1〕 〕 実プラント・モデル・システムにおけるクラッカーによる不正アクセスを想定し、 セキュリティ・ポリシーおよびそれに基づいた運用マニュアルを策定する。 ③実プラント・モデル ③実プラント・モデル・システムに基づきケーススタディ ・モデル・システムに基づきケーススタディ(その2)を実施する。 ・システムに基づきケーススタディ(その2)を実施する。 〔4.3ケーススタディ ケーススタディ 2〕 〕 先のケーススタディ 1 とは異なり、サイバーテロリズムを想定した実プラント・ モデル・システムにおけるケーススタディを実践する。 (4) 今後の課題の提示 最後にユーザ企業視点から見たセキュリティ対策に関する今後の課題を提言する。 8 2 運用ガイドラインの解釈 本章では、運用ガイドラインの実地適用に先立って、約1行で表現されている運用ガイ ドラインの各条文から、その適用場面や具体策などについて検討する。 まず、ここでの作業の進め方について説明する。 次に、外部接続ニーズとの関連性の視点から、運用ガイドラインの解釈を行う。 最後に、その結果を利用して、運用ガイドラインを具体化、補足したものを、運用マニ ュアルテンプレートとして提示する。 2.1 基本的な考え方 具体的には、大きく以下の 2 つのステップを経て、作業を進める。 step1. 外部接続ニーズと脅威・対策の関連性を分析 外部接続ニーズと脅威・対策の関連性を分析・整理する。 ・対策の関連性を分析・整理する。 従来、エネルギー・製造業等大規模プラントの制御系システムは、専用の閉鎖系システムとし て構築されていたが、近年、利便性、発展性、ビジネスにおける競争上の要請等により、開放系の 情報系システムと接続される機会が多くなってきている。... 上記の運用ガイドラインの主旨で指摘されているように、制御系システムが外部システ ムと接続されるようになったことが、不正アクセスの脅威を増大させる大きな要因になっ ている。したがって、まず外部接続に関するユーザニーズそのものを出発点とし、外部接 続ニーズから発生する脅威およびその対策を分析する。 step2. 運用ガイドラインと脅威・対策の関連性を分析 運用ガイドラインと脅威・対策の関連性を分析・整理する。 ・対策の関連性を分析・整理する。 次に、Step1 で整理した脅威・対策と、運用ガイドラインの各条文との対応関係を明ら かにすることによって、運用ガイドラインの条文を適用されたときの具体的な対策だけで なく、その背景にある脅威やユーザニーズとの関連性を分析する。 そして、これらの作業と、さらに条文ひとつひとつを出発点として具体化を進める作業 を通じて明らかになった具体策や追加項目をまとめた結果を、運用マニュアルテンプレー トとして提示する。 9 2.2 外部接続ニーズとの関連性 2.2.1 (1) 外部接続ニーズと脅威・対策の関連性 外部接続ニーズと脅威・対策の関連性 概要 大規模プラント制御システムは、ローカルなプラントを制御するために外部との接続は 従来の考え方では必要なく、物理的に切り離されていたので、サイバー・テロやハッキン グなどを含めた外部からの侵入に対しては、元々無縁であった。さらに、使用されている 制御機器はメーカー固有の OS やハードウェアを使用しているため、侵入できても被害を 与える心配もほとんど無かった。その環境下から、汎用 OS やイーサネット,TCP/IP など の汎用ネットワーク技術をプラント制御に活用するシステムが増えるに従い、プラント外 部から接続する「外部接続」が容易になり、そのメリットを活用する傾向にある。同時に、 部外者が制御システムに侵入するルートを与えることにもなってきている。 中間報告書では、外部接続することで発生する脅威と対策について網羅的に説明されて いるので、大変有用である。ユーザ企業からみると、外部接続するニーズ・メリットと共 に脅威、対策が併記されていると、ニーズに応じて取るべき対策の違いが明白になり、具 体的な対応策がとりやすいのではないかと考え、ニーズの視点から脅威・対策を整理した。 (2) 基本的な考え方 従来の閉じた世界のままでも、プラント制御は可能であるはずであるが、外部接続する ことにより従来の不便な点や要員や契約価格を低減できる可能性を与えてくれる。さらに は、石油採掘プラントのように、海外プラントをリモート制御により、少ない運転員でタ イムリーな処置を取ることも可能になってきた。外部接続するプラント側のニーズを明確 にし、どのような手段で外部接続するか、その外部接続がもたらす脅威、その対策を併記 する。 従来の閉じた世界に外部接続を加えることで変わってくる点を中心に本課題の情報を拾 い上げ、整理する。即ち、従来からある脅威やオープン化による脅威は含めないことにし た。 (3) 外部接続ニーズの分類 制御プラントに外部接続したいニーズを企業の視点で拾い上げてみると、以下のように、 大きく4つに分類できると考えられる。 (1) システムの維持管理費用の低減 (2) 制御系システムの導入費用の低減 (3) 生産管理の効率向上 (4) 生産計画の精度向上 (1)では、複数のプラントのメンテナンス要員を基地に集約して、リモートメンテナン スをしたいとか、メーカーのサポートデスクを受けられるようにしたいなどの、ニーズが 想定できる。(2)では、建設直後のフォロー期間中の出張をリモートメンテナンス機能活 用で少なくしたいとか、設計時に、設計情報を電子メディアで交換して設計効率を上げた いなどのニーズが想定できる。(3)では、現場プラントからの生情報をリアルタイムに収 10 集して、生産状況を正しく把握したいとか、品質対策の効果を評価したいなどが考えられ る。 (4)では、顧客からの注文納期に間に合うかの問い合わせに確実に応えたいとか、生 産計画の管理周期を短くしたいなどが考えられる。 この他に、 (5)プラント側に外部接続するニーズはないが、結果として外部接続状態に なり、脅威が発生する場合がある。すなわち、制御系システムと情報系システム間の接続 が固有プロトコルのモデム通信からイーサネット,TCP/IP に変更されると、他のニーズで インターネットに接続している情報系システム経由で、結果として、インターネットに外 部接続したのと同じ状態になり、脅威が発生する場合もある。一方、逆の視点に立ち、 (6) インターネットのインフラを企業活動に積極的に取り入れて活用する方式で外部接続を考 える場合もありうる。インターネットの活用範囲は確立されておらず、無限の可能性を秘 めているので、当初は具体的な接続目的は無くとも、活用しながら使用範囲を拡大する考 えである。これら(5)、 (6)は、プラント側からのニーズの視点で考えると、当初は外 部接続するメリットに見合うセキュリティ対策を検討することは困難ではあるが、結果と して(1)∼(4)のいづれかと同じ状態になるので、その一形態と考えた方が分かりや すい。 「表 1 外部接続ニーズの目的による分類」にカテゴリー分類として整理する。 表1 外部接続ニーズの目的による分類 分類の名称 意味 カテゴリー1 制御系システムの維持管理費用の低減 カテゴリー2 制御系システムの導入費用の低減 カテゴリー3 生産管理の効率向上 カテゴリー4 生産計画の精度向上 外部接続する方式をニーズ別に考えると、ニーズの特徴から形態がある程度決まってく る。「表 2 外部接続方式の形態による分類」に、ニーズの実現方法ごとに想定される外部 接続の形態とその実現の一例を示している。 表2 外部接続方式の形態による分類 分類 名称 実現の一例 タイプⅠ ダイヤルアップ接続 リモートメンテナンス端末から制御系情報 LAN に、リモート アクセスサーバを経由して、ダイヤルアップによって接続す る形態。 タイプⅡ 情報系 LAN 接続 リモートメンテナンス端末から情報系 LAN に、社内 LAN を 経由して接続する形態。 タイプⅢ 制御系情報 LAN とのインタ ーネット接続 リモートメンテナンス端末から制御系情報 LAN に、インター ネットを経由して接続する形態。 タイプⅣ 無線 LAN 携帯端末から制御系情報 LAN、または情報系 LAN、設備 管理 LAN などに、無線 LAN を経由して接続する形態。 カテゴリー1は、保守担当者、リモートメンテナンス者と特定制御システムとの個々の 接続であるため、通常はタイプⅠが使用される。ただし、リモート制御を念頭において高 11 応答かつ大量データの送受信を必要とする場合には、タイプⅠでは性能不足になるので、 投資価格は高額にはなるが、インターネットに直接に接続する方式、タイプⅢが採用され ることが考えられる。(表3のニーズ16を参照) カテゴリー2の場合も、個々の接続であるため、タイプⅠが採用されることが多い。 カテゴリー3および4の場合は、制御プラントと情報管理系システム、または、全社の 管理システムとをより密接に接続することが目的であるため、タイプⅡが中心になる。無 線 LAN は接続方式が、ダイヤルアップ、LAN 方式とは異なり、侵入方式も大きく異なる ので、形態分類では分離し、タイプⅣとした。外部接続に使用されるタイプⅠ∼Ⅲについ ての解説を後述の「2.2.1(4)外部接続方式の特徴」に示しているので、参照されたい。 以上の整理から、表 3 は、外部接続するプラント側のニーズを明確にするために、外部 接続ニーズとその実現方法を目的別に分類し、その分類結果を示したものである。表には、 左側から、ニーズの分類、具体例、実現方法の例、想定外部接続方式を記載してある。 表では、カテゴリーとそれに関連するニーズの実現方法との対応がわかりやすいように、 各実現方法には、番号を付けている。カテゴリー1に関連する実現方法には、10 番台の整 理番号を付けている。例えば、表中の整理 No が「ニーズ 16」と記載されている実現方法 は、カテゴリー1に分類された外部接続ニーズから派生していることを示す。 12 表3 外部接続ニーズとその実現方法 13 ニーズの分類 具体例 整理No. 実現方法(例) カテゴリー1: *ダイヤルアップ接続でプラントのコンピュータ装置と接続し、遠隔でシステム保守できるよう * 複数プロセスのメンテナンス要員を、要員プール化 ニーズ11 システムの維持 により削減したい。 にする。リモートアクセスサーバ使用、モデム直接接続共に可能 費用の低減 *プラントのコンピュータ装置とリモートアクセスサーバ経由で接続し、遠隔でトラブル情報を *応用ソフトウェアの維持・改善を必要な時、必要な分 ニーズ12 収集して、早期にシステム立ち上げできるようにする[メンテナンス契約] だけ受けるようにして、メンテナンス費用を削減した *プラントの開発・テスト用コンピュータ装置とリモートアクセスサーバ経由で接続し、遠隔で応 い。 ニーズ13 用ソフトウェアの開発・テスト・ソフト入替ができるようにする[一件契約] *ダイヤルアップ接続でプラントのコンピュータ装置のRASボードとモデム接続し、主メモリダ ニーズ14 ンプ・故障情報を遠隔でメーカが収集できるようにする。[ハードウェア保守] * メーカ・サポートデスクを活用して、トラブル復旧時間 *ダイヤルアップ接続でプラントのコンピュータ装置とモデム直接接続かリモートアクセスサー を短縮したい、またはトラブルを予防したい。 ニーズ15 バ経由でログインし、確定したパッチ当て(サービスパック実行)を行い、トラブルを予防する [OSやユーティリティのバージョンアップ] *海外工場のトラブル状況を把握したい、また、その処 *LAN接続、またはリモートアクセスサーバ経由でプロコンに接続し、プロコンとDCS、PLCの ニーズ16 置をとりたい。 制御データ、パラメータを変更できるようにする カテゴリー2 制御系システム * 現地調整時に現地に出張する期間を短縮して建設 *ダイヤルアップ接続でプラントのコンピュータ装置とリモートアクセスサーバ経由で接続し、 ニーズ21 の導入費用の低 コストを削減したい。 遠隔でトラブル情報を収集し、対策後応用ソフトウェアの修正、入替ができるようにする 減 外部接続方式 タイプⅠ タイプⅠまたは タイプⅢ タイプⅠ ニーズ22 *立ち上げトラブル時、ソフト製作担当者と遠隔で共同調査することにより、早期に解決する *設計時に、設計情報をメーカ・ユーザ間で共有して設 計効率を上げたい。 *設備管理情報を現場から入力したい。 カテゴリー3 生産管理の効率 *生産品質管理情報を詳細に収集し、実績値管理をし 向上 たい。 ニーズ23 *設計時に、メーカ・ユーザ間で市販ソフトを共有し、メール活用で設計情報を電子データで 交換して設計効率を上げる ニーズ31 *プロコンがプラント内の設備管理情報を収集し、イントラネット経由で設備管理システムに情 報を送信する ニーズ32 *プロコンが品質管理情報を収集し、イントラネット経由で品質管理システムに情報を送信す る *社内のプロセスの稼働状況を本社スタッフが随時監 視し、異常発生時にはその状況を把握したい。 ニーズ33 *プロコンが現場に表示している画面、または、同等の内容をイントラネット経由で送信する *携帯端末により、入力データ精度を向上させたい ニーズ34 *無線端末を使って、現品確認する作業の中で入力または、照合確認する カテゴリー4 *顧客の注文納期に間に合うか、リアルタイムに把握 生産計画の精度 できるようにしたい。 向上 ニーズ41 *イントラネット/エクストラネット経由で、生産実績情報を一品単位、またはロット単位に生産 管理ビジコンに送信する *ERPパッケージとの結合を図り、正確な情報に基づ く、迅速な処置を行える経営基盤を構築したい。 ニーズ42 *イントラネット/エクストラネット経由で、生産実績情報を一品単位、またはロット単位に生産 管理ビジコンに送信する タイプⅡ タイプⅣ タイプⅡ (4) 外部接続方式の特徴 本節では、リモートメンテナンスとして利用されるダイヤルアップ接続と情報系 LAN 接続、インターネット接続について特徴を整理する。 (i) タイプⅠ: タイプⅠ:ダイヤルアップ接続 各コンピュータは、シリアル伝送の端子を有するので、それにモデムを接続するダイヤ ルアップ接続がリモートメンテナンスに用いられる。その場合、当然、制御システムにロ グインする時の認証、通信情報の暗号化などのセキュリティ対策を考慮する必要がある。 DCS や PLC がメーカー独自の OS を採用している場合は、侵入されても実害が発生する 危険度は低いが、ソーシャル・エンジニアリングなどを併用して危害を加える可能性もあ るため、セキュリティ対策を施した方がよい。各コンピュータのシリアル伝送の端子にモ デムを接続する、直接モデム接続を行うことが最も安価だが、他の本来機能との干渉や制 御応答性などの点での十分な検討が必要であり、ローカルとリモートを意識したユーザの 権限やユーザの追加・削除などの管理で、セキュリティ・ホールが生じやすい。そこで、 この機能を実現しやすい専用のリモート・アクセス・サーバ方式が望ましい。これは、外 部からリモート・アクセス・サーバにログインし、さらに目的のコンピュータに再ログイ ンする方式で煩雑な操作にはなるが、リモート・アクセス・サーバに、認証・暗号化・コ ールバック(又はワンタイム・パスワード)機能などを装備することが市販品で容易に調 達することができ、運用方法を細かくカスタマイズできる点が望ましい。 リモートメンテナンス端末 PC 本番系 M M プロコン 制御系情報 LAN M リモート アクセス サーバ Gate Way PLC PBX DCS コ ントローラ PIO PC 図3 タイプⅠ:ダイヤルアップ接続 (ii) タイプⅡ:情報系 タイプⅡ:情報系 LAN 接続 第2世代コンピュータまでの大規模プラント制御システムと上位情報系システムとの接 続はモデム接続が主流であったが、高速・大容量・汎用ソフト活用・低価格化などから LAN 接続が採用されるようになった。 このオープン化技術の採用により、通信経路の接続設定によっては、以下の 3 種類の接 続形態が考えられる。 14 ① イントラネット接続 社内の OA ネットワークの端末パソコンからプラントの制御コンピュータにアクセス ② エクストラネット接続 イントラネット接続に加えて、エクストラネットにより限定された社外の端末パソコ ンからプラントの制御コンピュータにアクセス ③ インターネット接続 インターネットに接続し、社外の端末パソコンからプラントの制御コンピュータにア クセス セキュリティを考慮しなければ、遠隔地の社内からプラントの制御実績情報や品質情報 をリアルタイムに生データのまま収集したり、制御ロジック・プログラムの変更や製造標 準テーブルの変更などのリモート・メンテナンスを行うことが技術的に可能になった。リ モートメンテナンスを行う上で、telnet や ftp のサービス機能は最も有効な手段であるが、 最もセキュリティ上危険な機能でもある。①、②の場合、社内または限定された社外から のアクセスのみを想定しているが、侵入される箇所が無数にあるため、セキュリティ上制 御システムにログインする時の認証、通信情報の暗号化などのセキュリティ対策を厳重に 施す必要がある。制御システム側の保護を主体に考えれば、情報系 LAN の出口に Firewall を設置する方案が一般的と思われる。Firewall の設置位置は、セキュリティ・ポリシーに 依って決定されるべきものである。③の場合については、タイプⅢで後述する。 社内情報系バックボーン OA LAN リモートメンテナンス端末 ルータ PC Firewall 情報系 LAN 本番系プロコン (プロセスコンピュータ) 図4 タイプⅡ:情報系 LAN 接続(社内からの接続の場合) (iii) タイプⅢ:制御系情報 タイプⅢ:制御系情報 LAN とのインターネット接続 インターネットに接続する方法としては、以下の2種類の接続形態が考えられる。 ① 既にある情報系 LAN 経由でインターネット接続する方法(タイプⅡの③) ② 制御システムから直接インターネットに接続する方法 ①の場合、社内 LAN のセキュリティ・ポリシーが、最も危険な telnet, ftp のサービス 機能の使用を禁止していることが多いので、通常、リモートメンテナンスに使用すること 15 は困難である。そこで、②の方式が実現の可能性があると考えられるが、まだ、一般的で はない。イーサネットのセグメントを他と分離した機器構成を採用して制御プラントから 直接インターネットに接続する方式が必要と思われる。これは、インターネットとのパケ ット送受信の IP アドレスをルータで限定された伝文のみ通し、Firewall にて、内部 IP ア ドレスに変換する方式で、一般的に用いられている方式であるが、専用の追加機器を必要 とするので、最もコストがかかる。 インターネット/公衆回線 本番系プロコン ルータ (プロセスコンピュータ) Firewall PC DNS サーバ、認証サーバ、ftp サーバ等 リモートメンテナンス 端末 制御系情報 LAN Gate Way PLC DCS コ ントローラ PIO 図5 タイプⅢ:制御系情報 LAN とのインターネット接続 (5) ニーズと脅威・対策の関連性 ニーズと脅威・対策の関連性 前節までに、外部接続ニーズとその実現方法を列挙し、外部接続の形態の違いによって、 実現方法が4つのタイプに分類できることを説明してきた。 本節では、まず、これら4種類の実現方法を実現したときに伴う不正アクセスの脅威と その対策について、外部接続方式の視点から検討する。次に、これまで議論の対象に挙げ てこなかった、プラントのライフサイクルの視点、およびコンピュータ・ウイルスの視点 からも、その対策について検討を加える。なぜなら、不正アクセスの脅威の要因は、外部 接続するという直接的な要因のほかに、プラントの建設・保守フェーズに携わる人々自身 が要因になったり、プラント内部に潜むウイルスが要因になったりする場合も考えられる ためである。 したがって、本節では、以下の3つの視点から、脅威と対策を分類し、その関連性を明 確にする。 (i) 外部接続方式による分類 (ii) 脅威を高める要素 (iii) コンピュータ・ウイルス 16 (i) 外部接続方式による分類 表4 外部接続方式による、脅威と対策の分類 分類 タイプⅠ: ダイヤルアッ プ接続方式 脅威 【脅威 100】 100】 セキュリティの最も弱い箇所か ら侵入される恐れがある。 【脅威 101】 101】 プラント側のダイヤルアップ回 線用の電話番号が知られると、侵入される 恐れがある。 【脅威 102】 】 102】 ダイヤルアップ回線用の電話 番号は未公開であっても、電話番号の漏 洩、総当たりによる電話番号の露見などの 恐れがある。 【脅威 103】 】 103】 コールバックを使用している場 合でもコールバックの無効化による接続の 恐れがある。 【脅威 104】 】 104】 モデム転送機能を悪用した偽 ホストへの情報転送が行われるとアカウン ト名やパスワード等の重要機密情報が外 部に漏れる恐れがある。 【脅威 105】 】 105】 専用回線を使用する場合はサ ービス提供者側とサービス利用者側の回 線に対する タッピングの恐れがある。 【脅威 106】 】 106】 モデムや通信回線に対する盗 聴機の設置によるアカウント名、パスワー ド、コマンド、ファイル名などが盗聴される と、保守作業者用のアクセス権限の悪用に よる重要データやレシピデータの漏洩や破 壊などが行われる恐れがある。 対策 【対策 100】 100】 セキュリティ・ポリシーを設定 】 し、セキュリティが弱い箇所が残らないよう 統一的な対策を取る。 【対策 101】 】 101】 リモート側の発信電話番号を 確認する。 ・発信電話番号通知機能が利用出来ない場 合はコールバックする。 ・発信電話番号通知機能が利用出来る場合 はそれを用いる。 【対策 102】 】 102】 構内電話で接続が可能な場合 は、構内専用電話を使用する。 【対策 103】 】 103】 リプレイ攻撃を困難にするため 認証失敗時には適当な遅延時間を設定す る。 (アカウントのロックアウト時間設定) 【対策 104】 】 104】 モデム接続を自動検出されな いように、応答開始までに3コール分待つ ようにする。 【対策 105】 】 105】 未使用時は、モデムの電源や 接続を切るなど、こまめな運用管理を徹底 する。 【対策 106】 などのパスワード 】 106】 CHAP/PAP 認証を行う。 【対策 107】 】 107】 ダイアルアップ用通信機器(モ デム等)のパスワード認証機能を使用す る。 【対策 108】 】 108】 より強固なアクセス制御を行う ためには、リモート・アクセス・サーバと認証 サーバを設置する。 【対策 109】 】 109】 リモート側の発信電話番号を 確認する。 ・発信電話番号通知機能が利用出来ない場 合はコールバックする。 ・発信電話番号通知機能が利用出来る場 合はそれを用いる。 【対策 110】 】 110】 物理的管理では、サービス提 供機器が設置されている建物や部屋への 入退室管理が徹底されていなければなら ない。 【対策 111】 】 111】 セキュアコマンド(暗号化コマ ンド)を使用する。 【対策 112】 112】 物理的管理では、サービス提 】 供機器が設置されている建物や部屋への 入退室管理が徹底されていなければなら ない。 17 分類 脅威 【脅威 107】 】 107】 回線接続が完了すると、通常 の LAN 接続と同様に、モデムが直接接続 されたコンピュータに対して、リモートログイ ンやファイル転送など行われる恐れがあ る。 【脅威 108】 】 108】 ログインしたコンピュータの設 定によっては、モデムが直接接続されたコ ンピュータを TCP/IP のルータとして経由 し 、LAN 側の任意のコンピュータに侵入さ れる恐れがある。 【脅威 109】 やユーティリティのバージョ 109】 OS 】 ンアップ、制御モデル、パラメータ等正規の 変更であっても、ウイルス感染やバージョ ン不一致、データの設定ミス等プラントの 正常動作を妨げる恐れがある。改ざんされ ている可能性がある。 - タイプⅡ,Ⅲ: 【脅威 200】 200】 セキュリティの最も弱い箇所か 情報系 LAN ら侵入される恐れがある。 接続方式 インターネット 接続方式 【脅威 201】 】 201】 外部インターネットから侵入さ れ、情報系の機器が踏み台にされる恐れ がある。 【脅威 202】 からドメイン 】 202】 InterNIC、JPNIC 情報,IP アドレスの情報が入手でき、侵入 の糸口になる。 対策 【対策 113】 】 113】 PPTP(Point-to-Point Tunneling Protocol)を採用する。 【対策 114】 などのパスワード 】 114】 CHAP/PAP 認証を行う。 【対策 115】 上で使用しているアカウ 】 115】 LAN ント名やパスワードとは異なるものを使用 する。 【対策 116】 】 116】 自動ログインされないよう、一 般のプロンプト(あるいは LAN 側のログイ ンリクエストに対して出すプロンプト)とは異 なるプロンプトを用いる。 【対策 117】 】 117】 プロンプト文字列には、マシン 名など情報を不用意に与えるような文字 列を含まない。 【対策 118】 やユーティリティのバージョ 118】 OS 】 ンアップ等は、直接プラント用実機では実 施しないで、開発機等オフライン機でウイ ルスチェックや動作確認を行った後で使用 する。 【対策 119】 】 119】 許可/拒否した接続要求の記 録を含めログ収集を行い、定期的に解析す る。 (監視と記録) ログは、アクセスした者 を特定可能なものであること。(ユーザ ID、 ログイン時刻、発信側アドレスまたは発信 番号等) 【対策 200】 】 200】 セキュリティ・ポリシーを設定 し、セキュリティが弱い箇所が残らないよう 統一的な対策を取る。 【対策 201】 】 201】 セキュリティ・ポリシーを設定し (ユーザ企業が防御すべき項目の明確化 や重要度のランク付けを行い)、厳守する 環境を作る。 【対策 202】 LAN の 】 202】 インターネットと情報系 間にファイアウォールを設置し、セキュリテ ィ・ポリシーに基づいた機能を設定する。 【対策 203】 】 203】 非武装地帯(DMZ)を作り、外 部サーバの一次攻撃から守る。 【対策 204】 サーバには、必要最小 】 204】 DNS 限以外の情報を含まないようにする。 【対策 205】 】 205】 プラントやシステム名が特定さ れやすいサブドメイン/ホスト名称を用い ないこと。 【対策 206】 】 206】 外部に公開するホストは必要 最小限とし、これら以外のホストはファイア ウォール下でプライベートアドレスを使うよ うにする。 18 分類 脅威 【脅威 203】 】 203】 winipcfg(Windows95/98)、 ipconfig(WindowsNT)のコマンドで IP アド レスを入手できる。ping でも有効 IP アドレ スを見つけることができ、侵入の可能性が ある。 【脅威 204】 ページ(掲示板など)のソ 】 204】 Web ースに知らないうちに重要な内部情報が書 かれていることがあり、アタックの餌食にな ることがある。(例えば REMOTE_ADDR や REMOTE_HOST などの情報) 【脅威 205】 】 205】 IPspoofing(なりすまし)による 侵入の恐れがある。 【脅威 206】 】 206】 多数のコンピュータからの同 時、大量のメール送信や大容量の ping な どでネットワーク負荷を急増させて、システ ムダウンに至る恐れがある。 【脅威 207】 】 207】 内部者が内部インターネットか ら侵入する恐れがある。 【脅威 208】 の空き回線、会議室・応接 】 208】 HUB 室の情報コンセントに不正にパソコンを接 続して侵入する恐れがある。 【脅威 209】 LAN 接続されている設 209】 正規に 】 備診断用(オフィス)のワークステーション から侵入する恐れがある。 【脅威 210】 へプロトコル・アナライザ 】 210】 LAN などの機器を取り付け、LAN 上の情報が 盗聴される恐れがある。 対策 【対策 207】 】 207】 インターネットに繋がるファイア ウオールのポート番号設定で、ping を無効 にする。 【対策 208】 ページの作成は、そのプ 】 208】 Web ログラミングルールや手法、セキュリティ問 題点等を熟知した上で行ない、公開は Web コンテンツのチェックの他に、ソースチ ェックを行いセキュリティ上重要な情報が 書かれていないかシステム管理者等専門 家のチェックを受けてから行う。 【対策 209】 】 209】 内部ネットワークのアドレスに なっている送信元パケットが外部ネットワ ークから入って来ないようにするフィルタリ ングルータを設けること。 【対策 210】 などのパケット監視ツー 】 210】 Netlog ルを用いて異常侵入がないか常時監視す る。 【対策 211】 】 211】 内部ネットワーク上にあるシス テム間のプロセスアカウントログを比較し、 異常がないかチェックする。 【対策 212】 】 212】 ネットワーク負荷監視ソフトを 導入して、警報により検知する。 外部か らの攻撃内容をログなどで分析してファイ アウォールの機能を強化する。 【対策 213】 】 213】 セキュリティ・ポリシーを設定し (ユーザ企業が防御すべき項目の明確化 や重要度のランク付けを行い)、厳守する 環境を作る。 【対策 214】 LAN 】 214】 制御系システムと情報系 との間にファイアウォールを設置する。 【対策 215】 】 215】 アクセス管理ログをとっている ことを全員に通知する。(内部者の不正ア クセス抑止効果にもなる) 【対策 216】 】 216】 不要なネットワーク・サービス を削除する。 【対策 217】 LAN に接続するコ 】 217】 制御系情報 ンピュータ及び機器を限定する。 【対策 218】 】 218】 会議室・応接室など部外者が 入室できる箇所の情報コンセントは、使用 管理できるように空ポートを塞ぐ対策をと るようにする。 【対策 219】 219】 設備診断用(オフィス)のワー 】 クステーションのログイン管理も同じ管理 レベルで行う。 【対策 220】 識 】 220】 識別システム(生体識別,ID 別)や認証システムを導入する。 【対策 221】 (カ 】 221】 入退室管理を強化する。 ード、入退室記録) 【対策 222】 】 222】 ファイルや通信データ等の重 要情報に対して暗号化を実施する。 19 分類 脅威 【脅威 211】 】 211】 物理的回線から漏洩電磁波を (IDF、MDF、通信回線へのクリッピングなど) を受信され、盗聴される恐れがある。 【脅威 212】 などによりファイル 】 212】 FTP、RCP にアクセスされ、改ざん・削除される恐れが ある。 リモート・ログイン(telnet、rLogin)されて、 侵入される可能性がある。 NFS などによりネットワーク共有ファイルに アクセスされ、改ざん・削除される恐れがあ る。 汎用通信(DDE/OPC/ODBC/Remote SQL) により制御データにアクセスされ、データ改 ざん・削除される恐れがある。 【脅威 213】 】 213】 通信データ内に不当なプログ ラムやコマンドを挿入して、ファイア ウォー ルのファイル・システムやネットワーク・オブ ジェクトを改ざんして、侵入される恐れがあ る。ログを改ざんして侵入の記録を消去さ れる恐れがある。 【脅威 214】 】 214】 外部から大量のパケットを送り 込み、ファイアウォールの処理能力を著しく 低下させることにより、業務を妨害する恐れ がある。 20 対策 【対策 223】 】 223】 ファイルや通信データ等の重 要情報に対して暗号化を実施する。 【対策 224】 LAN 】 224】 制御系システムと情報系 との間に、ファイアウォールとプロキシサー バを設け、必要なサービスのポート番号を 標準から変更する。 【対策 225】 】 225】 不要なネットワーク・サービス を削除する。上位ネットワークとの間で必要 とするサービス(FTP,TELNET 等)を調査検 討し、最小限のサービスのみを許可する。 (例えば、RCP・rLogin を禁止し、匿名 FTP、暗号化コマンドを許可する。) 【対策 226】 LAN 】 226】 制御系システムと情報系 との間で、アドレス情報の漏洩を防ぐ措置 をとる。 【対策 227】 】 227】 定期的にパスワードを変更す る。(制御系情報 LAN の運用管理強化) 【対策 228】 LAN に接続するコ 】 228】 制御系情報 ンピュータ及び機器を限定する。 【対策 229】 Private Network) 】 229】 VPN(Virtual を採用する。 【対策 230】 】 230】 不正侵入検知ツールを実装す る。 【対策 231】 】 231】 通信経路上で情報の改ざんを 検出しシステム管理者に通知する機能を 設ける。 【対策 232】 】 232】 ファイアウォールが接続を許可 した/拒否したすべての通信を記録し 、異 常の有無を定期的に検査する。 【対策 233】 233】 ファイアウォール障害時には、 】 プロセス・コンピュータの OS のパケット ・ ルーティング機能を無効にし、フェール・セ ーフ対策を実施する。 【対策 234】 】 234】 ファイルや通信データ等の重 要情報に対して暗号化を実施する。 【対策 235】 】 235】 不正侵入者による収集ログの 改ざんを防止するため、ログの保全措置を 講ずる。リモートの場合ログを追加書込み のみ許可する設定をする。 【対策 236】 】 236】 ファイアウォール自体の異常を 監視するために、ファイアウォールのファイ ルシステムを監視し、異常の検出を行う。 分類 脅威 【脅威 215】 】 215】 CGIスクリプトやJava、Active Xを利用して侵入される恐れがある。 タイプⅣ: 無線 LAN 接 続方式 【脅威 300】 300】 セキュリティの最も弱い箇所か ら侵入される恐れがある。 【脅威 301】 】 301】 無線応用ネットワークは傍受さ れるとタッピングされた状態と同様になり、 ネットワーク上情報が漏洩する恐れがあ る。ネットワークの負荷攻撃、ファイルの破 壊・削除をされる恐れがある。 対策 【対策 237】 】 237】 ルータにルーティングを防止す る対策を講じる。 【対策 239】 】 239】 セキュリティ・ホールを最小限 にする為、常に最新ブラウザに更新する。 【対策 240】 Java や 】 240】 ファイアウォールで ActiveX を通過させないようにする。 【対策 241】 】 241】 デフォルト設定のままではセキ ュリティ・ホールになるので、ブラウザ等の アクセス権限の設定を変更すること。(読 込み、書込み、実行) 【対策 242】 】 242】 制御系システム内からインター ネット上の Web を見ることを禁止する。 【対策 243】 】 243】 制御系システム内でWebブラ ウザを必要としない場合は、ブラウザをイ ンストールしない。(削除しておく) 【対策 244】 】 244】 制御系システムでHTTPを使 用しないならばファイアウォールでHTTPを 通さないようにする。 【対策 300】 】 300】 セキュリティ・ポリシーを設定 し、セキュリティが弱い箇所が残らないよう 統一的な対策を取る。 【対策 301】 】 301】 無線応用ネットワークと制御 LAN との接続形態は必ず別セグメントとし、 無線応用ネットワークに不要なデータが流 れるのを防止する。 【対策 302】 】 302】 暗号化パケットオプションを持 つハードウェアあるいは OS 機能があれば、 それを利用する。 【対策 303】 】 303】 携帯端末側のアドレス情報を ある期間毎に動的に変更するような設定機 能を追加する。 【対策 304】 】 304】 ルータあるいは専用コンピュー タでのファイアウォール機能により、携帯端 末の用途に限定した通信のみ許可する。 【対策 305】 】 305】 パトロールで移動中のように無 線応用ネットワークを使用していない場合 には、こまめに無線装置の電源を切るな ど、運用管理を徹底する。 【対策 306】 】 306】 傍受されにくい電波型式の機 器を使用する。 21 (ii) 脅威を高める要素 表5 脅威を高める要素と対策 分類 ソーシャル・ エンジニアリ ング 脅威 【脅威 401】 401】 システム管理者,オペレータ,シ 】 ステムの正規のユーザ,広報担当者,システ ムの保守員(ソフト/ハード)システム開発要 員,これらの退職者等からアクセス情報等 のシステムに関する情報(パスワード、パ スワード等を推測するために有用な氏名、 ニックネーム、電話番号、誕生日、社員番 号等の個人情報)を聞き出す。 また、この ような人々の妻、恋人、友人などから情報 を聞き出す。 【脅威 402】 402】 初心者のふりをして、システム 】 担当者に電話してアクセス情報等のシステ ムに関する情報を聞出す。 【脅威 403】 】 403】 上司、同僚の名をかたったり、 サービスセンターの担当の緊急代理だとい って巧妙にパスワード等重要情報を聞き出 す。 【脅威 404】 】 404】 賄賂,脅迫等によりシステム関 連情報を聞き出す。 【脅威 405】 】 405】 退職者によるシステムに関連 する機密情報の意図的な漏洩の恐れがあ る。 【脅威 406】 】 は消去したつもりでも容易 406】 FD にその内容を読み取ることができる。 【脅威 407】 】 407】 システム関連のプリントアウト、 パスワードのメモやその他何気なく書いた メモは貴重な情報源になる。 22 対策 【対策 401】 401】 氏名、ニックネーム、電話番 】 号、誕生日、社員番号、住所等の推測が容 易な簡単なパスワードを許可しない。 妻子、 親類、 友人、 知人の氏名等同上 の類、辞書にある単語、キーボードで並ん でいる数字や文字列、簡単な文字や数値、 著名人・有名人名やニックネーム、良く知ら れた商品名等もパスワードに使用しない。 本人にとって意味ありの英文等を作成し、 その頭文字などを組合せたものをパスワー ドに用いると良い。これは本人には意味あ りで覚え易いが、本人以外の人には単なる 文字の連なりにしか見えない。(最低限英 字と数字混在で 8 文字以上要) 【対策 402】 】 402】 ユーザ同士といえどもパスワ ードを相互に分からないようにする。 【対策 403】 403】 従業員に徹底したセキュリティ 】 教育を行う。 【対策 404】 】 404】 セキュリティ管理規定におい て、機密漏洩時の処罰を明確にする。 【対策 405】 】 405】 必ず本人に確認をとる教育を 行なう。 また、そのような職場風土を徹底 させる。 【対策 406】 】 406】 本人以外には情報を伝えない よう教育を行なう。 (たとえその結果対応が 遅れるようなことがあっても) 【対策 407】 】 407】 賄賂に応じることは犯罪である こと、軽微な内容でもセキュリティ上危険な 情報を信頼できる関係者以外に教えないよ う、ユーザ全員を教育する。 【対策 408】 】 408】 特にシステム管理者は金銭的 に困ってないとか、その他の要素も含め信 頼できる人を任命する。 【対策 409】 】 409】 賄賂,脅迫を受けた本人がすぐ に相談できるような体制、職場風土を作る。 【対策 410】 】 410】 退職、移転等によるアクセス権 の変更、パスワードの抹消等を適時遅滞な く行う。 【対策 412】 】 412】 切り刻んだりして読み取れな いようにしてから破棄する。 【対策 413】 】 413】 切り刻んだり、焼却したりして 読み取れないようにしてから破棄する。特 に重要な情報は焼却処分する。 分類 脅威 【脅威 408】 】 408】 旧バージョンの操作マニュア ル、教育マニュアルなどからメーカ独自 OS の操作法を覚えられ、侵入される恐れがあ る。 【脅威 409】 】 409】 ディスプレイが発生する電磁波 の受信、古いディスプレイの焼け跡等も情 報源になる。 【脅威 410】 】 410】 パスワード等の入力操作の観 察も貴重な情報源になる。 【脅威 411】 】 411】 システム管理者等本人へのな りすまして侵入する恐れがある。 【脅威 412】 】 412】 システム管理者等本人の誤操 作、故意によるデータの不正取得、改ざ ん、破壊の恐れがある。 【脅威 413】 】 413】 興味本位での機器へのタッチ、 無意識タッチによる異常動作(操作)の恐 れがある。 【脅威 414】 】 414】 パソコン特にノートパソコン等 が盗難に合うとその中に入っている情報が 利用される可能性がある。 保守・リモー トメンテナン ス 【脅威 501】 】 501】 リモートメンテナンスの対象外 へのアクセス及びサービス範囲外への ア クセスの脅威がある。(セキュリティ上核心 部分が直接操作対象になるため、脅威の 危険性は高い。) 【補足説明】 ・サービスの範囲(a)予防保 守、(b)故障機器の修復、(c)稼動監視、 (d)障害管理、(e)資源配布、(f)構成情報 管理、(g)性能情報管理、(h)バックアップ /リカバリ、(I)ヘルプディスク がある。 対策 【対策 414】 (マ 】 414】 原則として焼却処分する。 ニュアル類は、基本的に重要情報になる) 【対策 415】 (信 】 415】 必ず破壊して廃棄する。 頼できる業者に依頼するなど) 【対策 416】 】 416】 機器室への入退室管を強化す る。 【対策 417】 】 417】 パスワードの入力時は周囲を 確認して見られないようにする。 【対策 418】 】 418】 システム管理者等システム・セ キュリティ上で重要な部門の担当者には、I Dカード、指紋等の認証技術を採用する。 【対策 419】 】 419】 システム管理者の使用端末を 物理的に規定する。 【対策 420】 】 420】 ログを取る。定期的に監査を 行う。 【対策 421】 】 421】 清掃作業員等の外部サービス 業者(部外者)には制御系システムへの物 理的な接近を禁止する。 【対策 422】 】 422】 パソコン特にノートパソコン等 が盗難に合わない様入退室管理をキチンと し、容易に盗まれないように取付けを行うな どの設置対策を行っておく。 【対策 423】 】 423】 企業機密に関わるような重要 情報は盗難され易いパソコン内には入れて おかない。 【対策 501】 】 501】 リモートメンテナンス・サービス を利用する場合には、利便性と脆弱性を認 識する必要がある。(セキュリティ・ポリシー) その上で、既存のセキュリティ・ポリシーを 改訂して整合性をとるか、あるいは整合性 のあるセキュリティ・ポリシーを新たに立案 する必要がある。 【対策 502】 】 502】 リモートメンテナンス・サービス の利便性とセキュリティ面の脆弱性を認識 し、利用するサービスの選択、保守対象の 選定、回線接続方式の選択をしなければな らない。 【対策 503】 】 503】 選定に当り、セキュリティの脅 威と想定されるリスクについて充分な分析 を実施し対策を講じなければならない。サ ービス提供者と利用者との間で、セキュリテ ィ対策について充分協議し一致協力して万 全を期さなければならない。 【対策 504】 】 504】 選択したサービスを有効活用 しサービスを安全に受けるために、協議し 一致協力して万全を期さなければならな い。 23 分類 脅威 【脅威 502】 】 502】 リモートメンテナンス・サービス を実施する保守作業員が侵入する恐れが ある。 【脅威 503】 】 503】 リモートメンテナンス・サービス の正規の保守作業員になりすまし侵入し、 重要データの削除、改ざんによる異常動作 や、制御不能に陥る可能性がある。 対策 【対策 505】 】 505】 許可された範囲以外のコマン ドの使用やファイルへのアクセスができな い仕組みを設けなければならない。 【対策 506】 】 506】 サービス提供方式には、サー ビス提供会社の側に収集した各種情報を 蓄積する方式と、サービスを受ける企業の 側に蓄積する方式等がある。故障の予兆 情報、稼動履歴情報、各種エラーログ情報 などの保守情報を外部に蓄積するか、企業 内に保守サーバを設置し蓄積するかなどに ついて、セキュリティ・ポリシーに合致した方 式を選択しなければならない。 【対策 507】 】 507】 リモートメンテナンス・サービス の入口が正規の目的以外に使用されてい ないかログで監査する。 【対策 508】 508】 識別と認証は正しく実施されて 】 いるかログで監査する。 【対策 509】 】 509】 不正に使用された形跡はない かログで監査する。 【対策 510】 】 510】 サービスの提供に際して取り 決めたルールが守られているかログで監査 する。 【対策 511】 】 511】 未使用時等、こまめに電源や 接続を切るなど運用管理を徹底させる。 【対策 512】 】 512】 サービスの提供組織、提供者 は信頼出来る組織でなければならない。 【対策 513】 】 513】 サービスの提供に係る保守作 業員は信頼できる要員でなければならな い。 【対策 514】 】 514】 保守作業員のセキュリティ面で の管理と監視について、組織的な体制が確 立されていなければならない。 【対策 515】 】 515】 セキュリティに対する教育が施 された要員でなければならない。 【対策 516】 】 516】 これらの監視と監査はリモート メンテナンス・サービスの実施に直接係る 者が担当してはならない。 【対策 517】 】 517】 サービス提供者の設備への技 術者の入退室管理が行われていることを監 査する。 【対策 518】 】 518】 サービス提供者が用いる機器 などへのアクセス管理が充分に行われてい ることをログで監査する。 【対策 519】 】 519】 サービスに使用するシステム 上のアカウント名やパスワードの管理体制 を確立し、安全性の高い方式を採用する。 【対策 520】 520】 ①サービス提供者側での識別 】 と認証、②サービス利用者側での識別と認 証、③対象システムへの接続時の識別と認 証等が、確実に実施されなければならな い。 【対策 521】 】 521】 指紋認証など生体識別を用い て本人かどうか厳重にチェックする。 24 分類 脅威 【脅威 504】 】 504】 保守作業員による保守作業用 ドキュメントの漏洩はセキュリティ上重大な 結果を招く恐れがある。 メンテナンス関連ドキュメントの管理が確立 されていないとドキュメントの無断複写や盗 難の恐れがある。 【脅威 505】 】 505】 リモートメンテナンス・サービス を実施する保守作業員による保守作業時 の単純作業ミスによるデータの削除,作業 員の誤解による作業間違いの恐れがある。 【脅威 506】 】 506】 保守作業員による保守作業員 のアカウント名、パスワードの紛失はセキュ リティ上重大な結果を招く恐れがある。 【脅威 507】 】 507】 悪意を持った組織や人によっ て、保守作業員に対する買収や脅迫による アカウント名、パスワードなどの漏洩といっ た危険性がある。 【脅威 508】 】 508】 サービス提供者側に於いては、 リモートメンテナンス・サービス端末や通信 機器等を悪用したアクセスの恐れが高い。 プラント計画・ 【脅威 601】 】 601】 当該プラントのインターロック, 設計・建設時 ダイヤグラム,DCS 構成図,ネットワーク構 成図等が外部に 漏洩する恐れがある。 (従来の紙ベース) 対策 【対策 522】 】 522】 保管と管理では、顧客システ ムに関する保守ドキュメントの保管管理とア クセス管理が徹底されていることを監査す る。 【対策 523】 】 523】 リモートメンテナンス対象機器 やシステムのアドレス情報は秘匿されてい ることを監査する。 【対策 524】 】 524】 サービス提供者の設備への技 術者の入退室管理が行われていることを監 査する。 【対策 525】 】 525】 保守用ドキュメントの保管管理 が行われていることを監査する。 【対策 526】 】 526】 提供サービスの実施のために 収集した、性能データ、トラフィックデータ、ロ ギングデータ等の保管、廃棄の監視と管理 が徹底されていることを監査する。 【対策 527】 527】 開発管理では、リモートメンテ 】 ナンス・サービスの結果発生する開発作業 の管理のほか、開発ドキュメント、開発時の 調査資料等 の利用、保管、廃棄などが管理 されていることを監査する。 【対策 528】 】 528】 セキュリティに対する教育が施 された要員であることを監査する。 【対策 529】 】 529】 リモートメンテナンスは不正や 操作ミスの防止のために監視と検知が実 施されなければならないので、ログ監視体 制を監査する。 【対策 530】 】 530】 保守作業員のセキュリティ面で の管理と監視について、組織的な体制が確 立されていることを監査する。 【対策 531】 】 531】 要員管理では、開発技術者や 保守作業員に発行したアカウント名とパス ワードの提供管理と技術者や作業員に対 するメンタルヘルスケアが適切に実施され ていることを監査する。 【対策 533】 】 533】 保守作業員のセキュリティ面で の管理と監視について、組織的な体制が確 立されていることを監査する。 【対策 534】 】 534】 サービス提供側がとるべき対 策が確実に実施され、有効に機能している か否かが監視され、定期的又は抜打ち的に 監査が実施されなければならない。 【対策 535】 】 535】 サービス提供者に用いる機器 などへのアクセス管理が充分に行われてい ることをログで監査する。。 【対策 601】 】 601】 設計設備への入退室管理を徹 底する。 【対策 602】 】 602】 設計図書等の一般的文書管 理を徹底する。 25 分類 脅威 【脅威 602】 】 602】 当該プラントのインターロック, ダイヤグラム,DCS 構成図,ネットワーク構 成図等情報のネットワーク上でのやりとり 中で漏洩の恐れがある。(盗聴) 【脅威 603】 】 603】 ネットワークからの侵入による 図面等重要電子設計情報の不正取得、改 ざん、破壊の恐れがある。 【脅威 604】 】 604】 運転時にはオペレータが変更 しない DCS パラメータ(PID のチューニング パラメータ、 アルゴリズム変更のパラメータ 等)の変更が行われる。 このため、エンジ ニアリング・モードでの調整が行われてい る。 これらのパラメータをアクセス可能な 状況のままにしておくとセキュリティ・ホー ルとなる。 【脅威 605】 】 605】 運転時には使用しないデバッ グツールがインストールされていると、その ツールによってシステムの根幹まで不正操 作可能となる恐れがある。 【脅威 606】 】 606】 パスワードがデフォルトで設定 されたまま、作業が行われている場合が侵 入されやすい。 【脅威 607】 】 607】 緊急に追加されるソフトに、ウ ィルス混入の危険性もある。(FD のケース 多し、再フォーマッティングしてないなど他) 【脅威 608】 】 608】 いろいろな業者が出入りする が、この時に後で侵入するための仕掛け がなされないとも限らない。(タッピング、ト ロイの木馬等) 【脅威 609】 】 609】 遠隔地からのソフトウェアロー ディング時に、同じルートで侵入されやす い。 26 対策 【対策 603】 】 603】 財産的情報の管理に関する基 準を整備し実践する。(財産的情報の同定、 社内外への開示基準、保管管理など) 【対策 604】 】 604】 重要な電子情報の授受につい ては、認証の確実化と暗号化を徹底する。 【対策 605】 】 605】 財産的電子情報の管理に関 する基準を整備し実践する。 (財産的電子 情報の同定、不正アクセス対策、ウィルス対 策、システム監査など) 【対策 606】 】 606】 各調整パラメータのデフォルト 設定をユーザ対応に変更する。 【対策 607】 】 607】 調整後はアクセスできないよう にした上で、アクセスできないことを確認す る。 【対策 608】 】 608】 不要、不正なプログラム(デバ ッグツール、特殊なドライバー等)がインスト ールされていないかチェックする。 (特に、 導入時の調整完了後は不要なデバッグツ ールを削除する) 【対策 609】 DCS のソフ 】 609】 インストールされる トウェアの正当性をチェックする。(Version など) 【対策 610】 】 610】 パスワード等を建設段階と運 用時点で変更する。 運用マニュアルに従っ て確実に変更する。 【対策 611】 】 611】 提供者自身へのウイルス感染 防止のために徹底した感染防止策が必要 である。 【対策 612】 】 612】 業者組織、従業者は信頼出来 る組織、人でなければならない。 【対策 613】 613】 機器が設置されている建物や 】 部屋への入退室管理が徹底されていなけ ればならない。 【対策 614】 】 614】 端末や端子箱付近での業者 の行動は良く監視し、単独行動させない。 【対策 615】 】 615】 部外者が簡単に持参ソフトをイ ンストールできないようにする。 【対策 616】 】 616】 リモートメンテナンスに関する 対策と同様の対策が必要。 (iii) コンピュータ・ウイルス コンピュータ・ウイルス 表6 コンピュータ・ウイルスの脅威と対策 分類 コンピュータ・ ウイルス 脅威 【脅威 701】 ページ(マクロ型ウィルス)、 】 701】 Web 掲示板(トロイの木馬)などの侵入恐れがあ る。 【脅威 702】 】 702】 ワームはネットワークに接続さ れているコンピュータのセキュリティホール から自動的に侵入してくる。 【脅威 703】 型ウィルスは、ネットサー 】 703】 Java フィン中にたまたま参照した Web ページ か ら知らないうちに侵入してくる。 【脅威 704】 】 704】 電子メールや電子メールの添 付ファイルからの感染する。 【脅威 705】 】 705】 個人的にモデム等により勝手 にネットワークに接続すると、それがセキュ リティホールになってしまい、ウイルスなど の侵入を許してしまう恐れがある。 【脅威 706】 】 706】 保守・リモートメンテナンス(R /M)時使用する FD、CDーROM、MO 等に ウイルスが侵入している可能性がある。 27 対策 【対策 701】 LAN の 】 701】 インターネットと情報系 間にファイアウォールを設置する。 【対策 702】 からの FTP によるダウン 】 702】 Web ロードなどはファイアウォールで使用でき ないようにしておく。 【対策 703】 なども使用で 】 703】 Active-X、Java きないようにしておく。( ファイアウォールで 通過させない) 【対策 704】 】 704】 相手先がハッキリしていないメ ールの添付ファイルなどは開かない。 【対策 705】 】 705】 添付ファイルは一度セーブし、 ウイルスチェックしてから開く。 【対策 706】 】 706】 具体的なウイルス対策を策定 しユーザに徹底させると共に、 定期的に 監査を行う。より厳格には、第三者による 監査が必要である。 【対策 707】 】 707】 誰がウイルスに対する責任者 か明確にするために、管理部門にウイルス 担当部門を設置又は担当者を指名して周 知徹底する。 【対策 708】 】 708】 管理部門、管理担当者は、最新 のウイルス・ワクチンを入手しユーザへ配 布する。また、国内 IPA セキュリティセンタ ー、海外のウイルス関連の公的 、私的機 関の最新情報を収集して随時新しい対策 を立てる。 【対策 709】 】 709】 被害にあった場合には、侵入プ ロセスを明確にし、個人レベルの処置では なく、組織的な対応を行う。 【対策 710】 】 710】 ウイルス検査ツールは常に最 新のウイルスの発見と駆除ができるように 維持されていなければならない。 【対策 711】 】 711】 データのバックアップを定期的 に行う。 【対策 712】 】 712】 個人的に勝手にネットワークに 接続しない。どうしても必要な時はシステ ム管理者に依頼して実施してもらう。 【対策 713】 】 713】 提供者自身へのウイルス感染 防止のために徹底した感染防止策が必要 である。 【対策 714】 】 714】 顧客に提供するソフトウェア等 の記録媒体に対するウイルス検査の実施 と実施体制の確立が必要である。 【対策 715】 】 715】 特に、保守作業員が使用する 作業用、情報収集用、情報提供用等の磁 気媒体は厳重なウイルス検査を実施し合 格したものを使用しなければならない。 分類 脅威 【脅威 707】 】 707】 ゲームソフトやアプリケーション ソフトを FD、CDーROM、MO 等を用いて個 人的にインストールする際、にウイルスが 侵入している可能性がある。 自宅で Web からダウンロードしたゲーム ソフトやアプリケーションソフトをインストー ルしたりする場合など、特に感染の危険性 が高い。 対策 【対策 716】 】 716】 ウイルス検査ツールは常に最 新のウイルスの発見と駆除ができるように 維持されていなければならない。 【対策 717】 】 717】 個人的なソフト(ゲームソフトな ど)をシステム機器に入れない。 【対策 718】 】 718】 必要なソフトは、システム管理 者の許可を得て入れる。 【対策 719】 】 719】 システム管理者以外の機器に は FD や CD 等の入力装置を付けないか、 または使用できないようにする。 28 2.2.2 (1) 運用ガイドラインと脅威の関連性 概要 本章では「2.2.1外部接続ニーズと脅威・対策の関連性」で整理された脅威およびそれに 対する対策と運用ガイドライン各条文との対応関係を明らかにし、ある脅威に対処するた めにはどの運用基準を遵守すべきであるかを明示するとともに、運用ガイドラインに記述 されていない対策項目の有無に関しての評価を行なう。 まず関連性を調査する上での基本的な考え方について説明し((2)基本的な考え方)、次 に、「(3)運用ガイドラインと脅威の関連性」にて、前章で整理された脅威/対策と運用ガイ ドライン各条文との関連性を分析する。 (2) 基本的な考え方 ます2.2.1の結果をベースとし、そこで記述されている脅威及びその対策項目と運用ガイ ドライン各条文の対応関係を明らかにする。すなわち、運用ガイドライン各条文が意味す る対策とそれにまつわる脅威が明示できるようにまとめる。 運用ガイドライン各条文も同様に「条文 2.1.1」のようなユニークなインデックスを付与 し、前項2.2.1の「脅威」までたどることができるようにしておく。ここで後述のように運 用ガイドライン条文と対策項目とは N 対 N の関係になると予想されるため、この場合 2 種類の表で表現したものが適切であると思われる。すなわち、 1. 運用ガイドライン条文を主キーとし、対応する対策項目インデックスを記述したも の。 2. 対策項目を主キーとし、対応する運用ガイドライン条文インデックスを記述したも の。 この時以下の 4 ケースが想定される。 ケース 1 1 個の対策項目に対して、複数の運用ガイドライン条文が対応している場 合。 運用ガイドライン 条文 ケース 2 1個 N個 1個 対策項目 脅威 1 個の運用ガイドライン条文に対して、複数個の対策項目が関係している 場合。 運用ガイドライン 条文 ケース 3 N個 1個 N個 N個 1個 対策項目 脅威 運用ガイドラインには記述されているが、対策項目には挙げられていな い場合。 運用ガイドライン 条文 1個 無し N個 対策項目 29 1個 脅威 ケース 4 対策項目には挙げられているが、運用ガイドラインには記述されていな い場合。 運用ガイドライン 条文 無し 1個 N個 1個 対策項目 脅威 また、運用ガイドラインは基準であるがゆえにその表現が抽象的なものもあり、明確に 対応関係を示すことが難しいケースも考えられるが、その源流の思想が同一であると考え られれば対応関係にあると考える。 ここで、 (ケース 3) (ケース 4)の運用ガイドライン条文が問題となるが、(ケース 3) の場合、すなわち、運用ガイドライン条文に関連する前節「2.2.1外部接続ニーズと脅威・ 対策の関連性」の対策項目が存在しない場合は、その運用ガイドライン条文は、 外部接続ニーズに起因する脅威に関する対策基準でない、または、 明示せずとも明らかに必要な対策基準である、あるいは、 制御系特有のものでなく、不正アクセスに関する広く一般的な対策基準である、 と考えることができる。このような場合、本節においては冗長な記述を避けるため、運用 ガイドラインの条文そのものも記述していないので留意されたい。尚、後述の「2.3運用マ ニュアルテンプレート」においては、外部接続ニーズに依らず必要な対策を網羅的に検討 し記述している。 他方、(ケース 4)の場合、すなわち、前節「2.2.1外部接続ニーズと脅威・対策の関連 性」には必要な対策項目として挙げられているが、それに関連する運用ガイドライン条文 が存在しない場合、これは外部接続ニーズという視点から見た際の運用ガイドラインを拡 充する1つの候補であると考えることができる。 (3) 運用ガイドラインと脅威の関連性 本節では、 「2.2.1外部接続ニーズと脅威・対策の関連性」で整理された脅威/対策と、運 用ガイドラインの関連性について解説する。すなわち、前章で記述された対策項目が運用 ガイドラインのどの条文に該当しているかをまず示し、次いで、その対策項目がどの脅威 に対応するものであるかを、運用ガイドラインの各条文ごとに記述する。これにより運用 ガイドライン各条文が意味する、より具体的な脅威とその対策を理解することが可能とな る。 但し前述のように、運用ガイドライン条文に関連する前節「2.2.1外部接続ニーズと脅威・ 対策の関連性」の対策項目が存在しない場合は、冗長な記述を避けるため、運用ガイドラ インの条文そのものも記述していないので留意されたい。 30 尚、関連性の記述に関しては、以下の形式で表現している。 制御系システムユーザ基準 (**1) (i) (**2) ①パスワード及びユーザID管理 (**3) 条文1101] ユーザIDの発行]ユーザIDは、複数の制御系システムユーザで [条文 [ユーザIDの発行 条文 ユーザIDの発行 ユーザIDは、複数の制御系システムユーザで 利用しないこと。 (**4) [対策115] LAN上で使用しているアカウント名やパスワードとは異なるものを使用 する。 (**5) (**1) (**2) (**3) (**4) (**5) [脅威107] [ダイヤルアップ接続方式]回線接続が完了すると、通常のLAN接 続と同様に、モデムが直接接続されたコンピュータに対して、リモー トログインやファイル転送など行われる恐れがある。 基準名称:運用ガイドラインの各規準名称。 (i)制御系システムユーザ基準 (ii)制御系システム管理者基準 (iii)ハードウェア・ソフトウェア供給者基準 (iv)リモートメンテナンス事業者基準 からなる。尚、ネットワークサービス事業者基準は関連する対策項目がないた め省略した。 サブタイトル:運用ガイドラインのサブタイトルをそのまま記述。 運用ガイドライン条文:運用ガイドライン条文に、条文 ID、条文見出しを付与 して記述。運用ガイドラインの各条文には〔条文 n1n2n3n4〕の形式でユニーク な ID を付与する。ここで、n1:基準の番号、n2:サブタイトルの番号、n3n4: 条文番号を意味する。例えば、〔条文 1101〕は、「1.制御系システムユーザ基準」 「(1)パスワード及びユーザID管理」「①ユーザIDは、複数の制御系システム ユーザで利用しないこと」を指す。この運用ガイドラインに付与する ID は本節 以降も使用するので留意して頂きたい。尚、〔条文 2200〕のように条文番号が 00 に関連しているものは対応する対策項目が運用ガイドライン上に存在しない ことを意味する。 対策:前節「2.2.1外部接続ニーズと脅威・対策の関連性」で整理された対策項 目で、当該運用ガイドライン条文に関連するものを記述する。尚[対策 115] のように付与した番号は前節と一致する。 脅威:前節「2.2.1外部接続ニーズと脅威・対策の関連性」で整理された脅威で、 上記の対策項目に関連するものを記述する。尚[脅威 107]のように付与した 番号は前節と一致する。 31 (i) 制御系システムユーザ基準 ①パスワード及びユーザID管理 条文1101] ユーザIDの発行]ユーザIDは、複数の制御系システムユーザで利用しないこと。 [条文 [ユーザIDの発行 条文 ユーザIDの発行 ユーザIDは、複数の制御系システムユーザで利用しないこと。 [対策115] LAN上で使用しているアカウント名やパスワードとは異なるものを使用する。 [脅威107] [ダイヤルアップ接続方式]回線接続が完了すると、通常のLAN接続と同様に、モデム が直接接続されたコンピュータに対して、リモートログインやファイル転送など行われる 恐れがある。 条文1102] パスワードの設定]ユーザIDは、パスワードを必ず設定すること。 [条文 [パスワードの設定 条文 パスワードの設定 ユーザIDは、パスワードを必ず設定すること。 [対策401] 氏名、ニックネーム、電話番号、誕生日、社員番号、住所等の推測が容易な簡単なパスワー ドを許可しない。 妻子、親類、 友人、知人の氏名等同上の類、辞書にある単語、キーボード で並んでいる数字や文字列、簡単な文字や数値、著名人・有名人名やニックネーム、良く知 られた商品名等もパスワードに使用しない。本人にとって意味ありの英文等を作成し、その頭 文字などを組合せたものをパスワードに用いると良い。これは本人には意味ありで覚え易い が、本人以外の人には単なる文字の連なりにしか見えない。(最低限英字と数字混在で8文 字以上要) [脅威401] [ソーシャル・エンジニアリング]システム管理者,オペレータ,システムの正規のユーザ, 広報担当者,システムの保守員(ソフト/ハード)システム開発要員,これらの退職者等か らアクセス情報等のシステムに関する情報(パスワード、パスワード等を推測するため に有用な氏名、ニックネーム、電話番号、誕生日、社員番号等の個人情報)を聞き出 す。 また、このような人々の妻、恋人、友人などから情報を聞き出す。 条文1107] パスワードの漏洩]パスワードを入力する場合は、他人に見られないようにすること。 [条文 [パスワードの漏洩 条文 パスワードの漏洩 パスワードを入力する場合は、他人に見られないようにすること。 [対策402] ユーザ同士といえどもパスワードを相互に分からないようにする。 [脅威401] [ソーシャル・エンジニアリング]システム管理者,オペレータ,システムの正規のユーザ, 広報担当者,システムの保守員(ソフト/ハード)システム開発要員,これらの退職者等か らアクセス情報等のシステムに関する情報(パスワード、パスワード等を推測するため に有用な氏名、ニックネーム、電話番号、誕生日、社員番号等の個人情報)を聞き出 す。 また、このような人々の妻、恋人、友人などから情報を聞き出す。 [対策417] パスワードの入力時は周囲を確認して見られないようにする。 [脅威410] [ソーシャル・エンジニアリング]パスワード等の入力操作の観察も貴重な情報源にな る。 ②情報管理 条文1201] 情報の暗号化]重要な情報は、パスワード、暗号化等の対策を図ること。 [条文 [情報の暗号化 条文 情報の暗号化 重要な情報は、パスワード、暗号化等の対策を図ること。 [対策111] セキュアコマンド(暗号化コマンド)を使用する。 [脅威106] [ダイヤルアップ接続方式]モデムや通信回線に対する盗聴機の設置によるアカウント 名、パスワード、コマンド、ファイル名などが盗聴されると、保守作業者用のアクセス権限 の悪用による重要データやレシピデータの漏洩や破壊などが行われる恐れがある。 [対策113] PPTP(Point-to-Point Tunneling Protocol)を採用する。 [脅威106] [ダイヤルアップ接続方式]モデムや通信回線に対する盗聴機の設置によるアカウント 名、パスワード、コマンド、ファイル名などが盗聴されると、保守作業者用のアクセス権限 の悪用による重要データやレシピデータの漏洩や破壊などが行われる恐れがある。 [対策222] ファイルや通信データ等の重要情報に対して暗号化を実施する。 [脅威210] [情報系LAN接続方式・インターネット接続方式]LANへプロトコル・アナライザなどの機 器を取り付け、LAN上の情報が盗聴される恐れがある。 [対策223] ファイルや通信データ等の重要情報に対して暗号化を実施する。 [脅威211] [情報系LAN接続方式・インターネット接続方式]物理的回線から漏洩電磁波を(IDF、 MDF、通信回線へのクリッピングなど)を受信され、盗聴される恐れがある。 [対策229] VPNを採用する。 32 [脅威212] [情報系LAN接続方式・インターネット接続方式]FTP、RCPなどによりファイルにアクセ スされ、改ざん・削除される恐れがある。リモート・ログイン(telnet、rLogin)されて、侵入 される可能性がある。NFSなどによりネットワーク共有ファイルにアクセスされ、改ざん・ 削除される恐れがある。汎用通信(DDE/OPC/ODBC/RemoteSQL)により制御データ にアクセスされ、データ改ざん・削除される恐れがある。 [対策234] ファイルや通信データ等の重要情報に対して暗号化を実施する。 [脅威213] [情報系LAN接続方式・インターネット接続方式]通信データ内に不当なプログラムやコ マンドを挿入して、ファイアウォールのファイル・システムやネットワーク・オブジェクトを 改ざんして、侵入される恐れがある。ログを改ざんして侵入の記録を消去される恐れが ある。 [対策302] 暗号化パケットオプションを持つハードウェアあるいはOS機能があれば、それを利用する。 [脅威301] [無線LAN接続方式]無線応用ネットワークは傍受されるとタッピングされた状態と同様 になり、ネットワーク上情報が漏洩する恐れがある。ネットワークの負荷攻撃、ファイル の破壊・削除をされる恐れがある。 条文1202] 情報の送信]重要な情報を送信する場合は相手先を限定し、宛先を十分に確認するこ [条文 [情報の送信 条文 情報の送信 重要な情報を送信する場合は相手先を限定し、宛先を十分に確認するこ と。 [対策101] リモート側の発信電話番号を確認する。 発信電話番号通知機能が利用出来ない場合はコー ルバックする。発信電話番号通知機能が利用出来る場合はそれを用いる。 [脅威101] [ダイヤルアップ接続方式]プラント側のダイヤルアップ回線用の電話番号が知られる と、侵入される恐れがある。 [対策102] 構内電話で接続が可能な場合は、構内専用電話を使用する。 [脅威101] [ダイヤルアップ接続方式]プラント側のダイヤルアップ回線用の電話番号が知られる と、侵入される恐れがある。 [対策106] CHAP/PAPなどのパスワード認証を行う。 [脅威103] [ダイヤルアップ接続方式]コールバックを使用している場合でもコールバックの無効化 による接続の恐れがある。 [対策109] リモート側の発信電話番号を確認する。 発信電話番号通知機能が利用出来ない場合はコー ルバックする。発信電話番号通知機能が利用出来る場合はそれを用いる。 [脅威104] [ダイヤルアップ接続方式]モデム転送機能を悪用した偽ホストへの情報転送が行われ るとアカウント名やパスワード等の重要機密情報が外部に漏れる恐れがある。 [対策114] CHAP/PAPなどのパスワード認証を行う。 [脅威107] [ダイヤルアップ接続方式]回線接続が完了すると、通常のLAN接続と同様に、モデム が直接接続されたコンピュータに対して、リモートログインやファイル転送など行われる 恐れがある。 [対策604] 重要な電子情報の授受については、認証の確実化と暗号化を徹底する。 [脅威602] [プラント計画・設計・建設時]当該プラントのインターロック,ダイヤグラム,DCS構成図, ネットワーク構成図等情報のネットワーク上でのやりとり中で漏洩の恐れがある。(盗 聴) [対策607] 調整後はアクセスできないようにした上でアクセスできないことを確認する。 [脅威604] [プラント計画・設計・建設時]運転時にはオペレータが変更しないDCSパラメータ(PID のチューニングパラメータ、 アルゴリズム変更のパラメータ等)の変更が行われる。こ のため、エンジニアリング・モードでの調整が行われている。 これらのパラメータをアク セス可能な状況のままにしておくとセキュリティ・ホールとなる。 条文1204] 情報へのアクセス]コンピュータ及び通信機器を維持、保守するために必要なファイル [条文 [情報へのアクセス 条文 情報へのアクセス コンピュータ及び通信機器を維持、保守するために必要なファイル は、盗用、改ざん、削除等されないように厳重に管理すること。 [対策208] Webページの作成は、そのプログラミングルールや手法、セキュリティ問題点等を熟知した上 で行ない、公開はWebコンテンツのチェックの他に、ソースチェックを行いセキュリティ上重要 な情報が書かれていないかシステム管理者等専門家のチェックを受けてから行う。 [脅威204] [情報系LAN接続方式・インターネット接続方式]Webページ(掲示板など)のソースに 知らないうちに重要な内部情報が書かれていることがあり、アタックの餌食になること がある。(例えばREMOTE_ADDRやREMOTE_HOSTなどの情報) [対策242] 制御系システム内からインターネット上のWebを見ることを禁止する。 [脅威215] [情報系LAN接続方式・インターネット接続方式]CGIスクリプトやJava、ActiveXを利用 して侵入される恐れがある。 [対策243] 制御系システム内でWebブラウザを必要しない場合は、ブラウザをインストールしない。 33 [脅威215] [情報系LAN接続方式・インターネット接続方式]CGIスクリプトやJava、ActiveXを利用 して侵入される恐れがある。 [対策244] 制御系システムでHTTPを使わないならばファイアウォールでHTTPを通さないようにする。 [脅威215] [情報系LAN接続方式・インターネット接続方式]CGIスクリプトやJava、ActiveXを利用 して侵入される恐れがある。 [対策423] 企業機密に関わるような重要情報は盗難され易いパソコン内には入れておかない。 [脅威414] [ソーシャル・エンジニアリング]パソコン特にノートパソコン等が盗難に合うとその中に 入っている情報が利用される可能性がある。 [対策523] リモートメンテナンス対象機器やシステムのアドレス情報は秘匿されなければならない。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策525] 保守用ドキュメントの保管管理を行う。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策526] 提供サービスの実施のために収集した、性能データ、トラフィックデータ、ロギングデータ等の 保管、廃棄の監視と管理が徹底されなければならない。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策527] 開発管理では、リモートメンテナンス・サービスの結果発生する開発作業の管理のほか、開発 ドキュメント、開発時の調査資料等 の利用、保管、廃棄などが管理されなければならない。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策532] リモートメンテナンス対象機器やシステムのアドレス情報は秘匿されなければならない。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 [対策602] 設計図書等の一般的文書管理を徹底する。 [脅威601] [プラント計画・設計・建設時]当該プラントのインターロック,ダイヤグラム,DCS構成図, ネットワーク構成図等が外部に 漏洩する恐れがある。(従来の紙ベース) 条文1206] 情報の廃棄]重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏えい [条文 [情報の廃棄 条文 情報の廃棄 重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏えい しない方法で行うこと。 [対策412] 切り刻んだりして読み取れないようにしてから破棄する。 [脅威406] [ソーシャル・エンジニアリング]FDは消去したつもりでも容易にその内容を読み取るこ とができる。 [対策413] 切り刻んだり、焼却したりして読み取れないようにしてから破棄する。特に重要な情報は焼却 処分する。 [脅威407] [ソーシャル・エンジニアリング]システム関連のプリントアウト、パスワードのメモやその 他何気なく書いたメモは貴重な情報源になる。 [対策414] 原則として焼却処分する。 (マニュアル類は、基本的に重要情報になる) [脅威408] [ソーシャル・エンジニアリング]旧バージョンの操作マニュアル、教育マニュアルなどか らメーカ独自OSの操作法を覚えられ、侵入される恐れがある。 [対策415] 必ず破壊して廃棄する。 (信頼できる業者に依頼するなど) [脅威409] [ソーシャル・エンジニアリング]ディスプレイが発生する電磁波の受信、古いディスプレ イの焼け跡等も情報源になる。 ③コンピュータ管理 条文1301] 導入/更新 [条文 [導入 条文 導入 更新/撤去 更新 撤去]コンピュータ、通信機器及びソフトウェアの導入、更新、撤去等を行う 撤去 コンピュータ、通信機器及びソフトウェアの導入、更新、撤去等を行う 場合は、制御系システム管理者の指導の下で行うこと。 [対策712] 個人的に勝手にネットワークに接続しない。どうしても必要な時はシステム管理者に依頼して 実施してもらう。 34 [脅威705] [コンピュータ・ウイルス]個人的にモデム等により勝手にネットワークに接続すると、そ れがセキュリティホールになってしまい、ウイルスなどの侵入を許してしまう恐れがあ る。 [対策717] 個人的なソフト(ゲームソフトなど)をシステム機器に入れない。 [脅威707] [コンピュータ・ウイルス]ゲームソフトやアプリケーションソフトをFD、CDーROM、MO等 を用いて個人的にインストールする際、にウイルスが侵入している可能性がある。自宅 でWebからダウンロードしたゲームソフトやアプリケーションソフトをインストールしたり する場合など、特に感染の危険性が高い。 [対策718] 必要なソフトは、システム管理者の許可を得て入れる。 [脅威707] (ii) [コンピュータ・ウイルス]ゲームソフトやアプリケーションソフトをFD、CDーROM、MO等 を用いて個人的にインストールする際、にウイルスが侵入している可能性がある。自宅 でWebからダウンロードしたゲームソフトやアプリケーションソフトをインストールしたり する場合など、特に感染の危険性が高い。 制御系システム管理者基準 ①管理体制の整備 条文2101] セキュリティ・ポリシー]システムのセキュリティ・ポリシーを確立し、周知・徹底すること。 [条文 [セキュリティ・ポリシー 条文 セキュリティ・ポリシー システムのセキュリティ・ポリシーを確立し、周知・徹底すること。 [対策100,200,300] セキュリティ・ポリシーを設定し、セキュリティが弱い箇所が残らないよう統一的な対 策を取る。 [脅威100,200,300] [ダイヤルアップ接続方式, 情報系LAN接続方式・インターネット接続方式, 無線接続方式] セキュリティの最も弱い箇所から侵入される恐れがある。 [対策201] セキュリティ・ポリシーを設定し(ユーザ企業が防御すべき項目の明確化や重要度のランク付 けを行い)、厳守する環境を作る。 [脅威201] [情報系LAN接続方式・インターネット接続方式]外部インターネットから侵入され、情報 系の機器が踏み台にされる恐れがある。 [対策213] セキュリティ・ポリシーを設定し(ユーザ企業が防御すべき項目の明確化や重要度のランク付 けを行い)、厳守する環境を作る。 [脅威207] [情報系LAN接続方式・インターネット接続方式]内部者が内部インターネットから侵入 する恐れがある。 [対策501] リモートメンテナンス・サービスを利用する場合には、利便性と脆弱性を認識する必要がある。 (セキュリティ・ポリシー)その上で、既存のセキュリティ・ポリシーを改訂して整合性をとるか、あ るいは整合性のあるセキュリティ・ポリシーを新たに立案する必要がある。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策502] リモートメンテナンス・サービスの利便性とセキュリティ面の脆弱性を認識し、利用するサービ スの選択、保守対象の選定、回線接続方式の選択をしなければならない。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 条文2102] 管理体制/管理手順 [条文 [管理体制 条文 管理体制 管理手順]システムの管理体制、管理手順を確立し、周知・徹底すること。 管理手順 システムの管理体制、管理手順を確立し、周知・徹底すること。 [対策503] 選定に当り、セキュリティの脅威と想定されるリスクについて充分な分析を実施し対策を講じ なければならない。サービス提供者と利用者との間で、セキュリティ対策について充分協議し 一致協力して万全を期さなければならない。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策504] 選択したサービスを有効活用しサービスを安全に受けるために、協議し一致協力して万全を 期さなければならない。 35 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策506] サービス提供方式には、サービス提供会社の側に収集した各種情報を蓄積する方式と、サ ービスを受ける企業の側に蓄積する方式等がある。故障の予兆情報、稼動履歴情報、各種 エラーログ情報などの保守情報を外部に蓄積するか、企業内に保守サーバを設置し蓄積す るかなどについて、セキュリティ・ポリシーに合致した方式を選択しなければならない。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策514] 保守作業員のセキュリティ面での管理と監視について、組織的な体制が確立されていなけれ ばならない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策516] これらの監視と監査はリモートメンテナンス・サービスの実施に直接係る者が担当してはなら ない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策530] 保守作業員のセキュリティ面での管理と監視について、組織的な体制が確立されていなけれ ばならない。 [脅威506] [保守・リモートメンテナンス]保守作業員による保守作業員のアカウント名、パスワード の紛失はセキュリティ上重大な結果を招く恐れがある。 [対策533] 保守作業員のセキュリティ面での管理と監視について、組織的な体制が確立されていなけれ ばならない。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 [対策603] 財産的情報の管理に関する基準を整備し実践する。(財産的情報の同定、社内外への開示 基準、保管管理など) [脅威600] [プラント計画・設計・建設時] [対策605] 財産的電子情報の管理に関する基準を整備し実践する。 (財産的電子情報の同定、不正ア クセス対策、ウィルス対策、システム監査など) [脅威603] [プラント計画・設計・建設時]ネットワークからの侵入による図面等重要電子設計情報 の不正取得、改ざん、破壊の恐れがある。 条文2105] 特権]制御系システム管理者の権限は、業務を遂行する上で必要最小限にすること。 [条文 [特権 条文 特権 制御系システム管理者の権限は、業務を遂行する上で必要最小限にすること。 [対策419] システム管理者の使用端末を物理的に規定する。 [脅威412] [ソーシャル・エンジニアリング]システム管理者等本人の誤操作、故意によるデータの 不正取得、改ざん、破壊の恐れがある。 ②制御系システムユーザ管理 条文2200] 関連する運用ガイドライン条文なし] [条文 [関連する運用ガイドライン条文なし 条文 関連する運用ガイドライン条文なし [対策103] リプレイ攻撃を困難にするため認証失敗時には適当な遅延時間を設定する。 (アカウントの ロックアウト時間設定) [脅威102] [ダイヤルアップ接続方式]ダイヤルアップ回線用の電話番号は未公開であっても、電話 番号の漏洩、総当たりによる電話番号の露見などの恐れがある。 [対策116] 自動ログインされないよう、一般のプロンプト(あるいはLAN側のログインリクエストに対して出 すプロンプト)とは異なるプロンプトを用いる。 [脅威108] [ダイヤルアップ接続方式]ログインしたコンピュータの設定によっては、モデムが直接接 続されたコンピュータをTCP/IPのルータとして経由し 、LAN側の任意のコンピュータに 侵入される恐れがある。 [対策117] プロンプト文字列には、マシン名など情報を不用意に与えるような文字列を含まない。 36 [脅威108] [ダイヤルアップ接続方式]ログインしたコンピュータの設定によっては、モデムが直接接 続されたコンピュータをTCP/IPのルータとして経由し 、LAN側の任意のコンピュータに 侵入される恐れがある。 条文2202] ユーザの登録]ネットワークを介して制御系システムの外部からアクセスできるユーザI [条文 [ユーザの登録 条文 ユーザの登録 ネットワークを介して制御系システムの外部からアクセスできるユーザI Dは、必要最小限にすること。(以下「外部」とは、制御系システムの外部を指す) [対策505] 許可された範囲以外のコマンドの使用やファイルへのアクセスができない仕組みを設けなけ ればならない。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策510] サービスの提供に際して取り決めたルールが守られているか。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策535] サービス提供者に用いる機器などへのアクセス管理を充分に行う。 [脅威508] [保守・リモートメンテナンス]サービス提供者側に於いては、リモートメンテナンス・サー ビス端末や通信機器等を悪用したアクセスの恐れが高い。 条文2203] ユーザの登録]ユーザIDは、個人単位に割り当て、パスワードを必ず設定すること。 [条文 [ユーザの登録 条文 ユーザの登録 ユーザIDは、個人単位に割り当て、パスワードを必ず設定すること。 [対策219] 設備診断用(オフィス)のワークステーションのログイン管理も同じ管理レベルで行う。 [脅威209] [情報系LAN接続方式・インターネット接続方式]正規にLAN接続されている設備診断 用(オフィス)のワークステーションから侵入する恐れがある。 [対策220] 識別システム(生体識別,ID識別)や認証システムを導入する。 [脅威209] [情報系LAN接続方式・インターネット接続方式]正規にLAN接続されている設備診断 用(オフィス)のワークステーションから侵入する恐れがある。 [対策519] サービスに使用するシステム上のアカウント名やパスワードの管理体制を確立し、安全性の 高い方式を採用する。 [脅威503] [保守・リモートメンテナンス]リモートメンテナンス・サービスの正規の保守作業員になり すまし侵入し、重要データの削除、改ざんによる異常動作や、制御不能に陥る可能性 がある。 [対策520] サービス提供者側での識別と認証、サービス利用者側での識別と認証、対象システムへの 接続時の識別と認証等が、確実に実施されなければならない。 [脅威503] [保守・リモートメンテナンス]リモートメンテナンス・サービスの正規の保守作業員になり すまし侵入し、重要データの削除、改ざんによる異常動作や、制御不能に陥る可能性 がある。 [対策531] 要員管理では、開発技術者や保守作業員に発行したアカウント名とパスワードの提供管理と 技術者や作業員に対するメンタルヘルスケアが適切に実施されなければならない。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 [対策606] 各調整パラメータのデフォルト設定をユーザ対応に変更する。 [脅威604] [プラント計画・設計・建設時]運転時にはオペレータが変更しないDCSパラメータ(PID のチューニングパラメータ、 アルゴリズム変更のパラメータ等)の変更が行われる。こ のため、エンジニアリング・モードでの調整が行われている。 これらのパラメータをアク セス可能な状況のままにしておくとセキュリティ・ホールとなる。 条文2207] パスワードの設定]パスワードのチェックを随時行い、安易なパスワードは、速やかに変 [条文 [パスワードの設定 条文 パスワードの設定 パスワードのチェックを随時行い、安易なパスワードは、速やかに変 更させること。 [対策227] 定期的にパスワードを変更する。(制御系情報LANの運用管理強化) [脅威212] [情報系LAN接続方式・インターネット接続方式]FTP、RCPなどによりファイルにアクセ スされ、改ざん・削除される恐れがある。リモート・ログイン(telnet、rLogin)されて、侵入 される可能性がある。NFSなどによりネットワーク共有ファイルにアクセスされ、改ざん・ 削除される恐れがある。汎用通信(DDE/OPC/ODBC/RemoteSQL)により制御データ にアクセスされ、データ改ざん・削除される恐れがある。 [対策610] パスワード等を建設段階と運用時点で変更する。運用マニュアルに従って確実に変更する。 37 [脅威606] [プラント計画・設計・建設時]パスワードがデフォルトで設定されたまま、作業が行われ ている場合が侵入されやすい。 条文2210] 特権]必要としなくなった制御系システムユーザの特権は、速やかに停止すること。 [条文 [特権 条文 特権 必要としなくなった制御系システムユーザの特権は、速やかに停止すること。 [対策410] 退職、移転等によるアクセス権の変更、パスワードの抹消等を適時遅滞なく行う。 [脅威405] [ソーシャル・エンジニアリング]退職者によるシステムに関連する機密情報の意図的な 漏洩の恐れがある。 ③情報管理 条文2301] 情報の保護]制御系システムと外部を繋ぐ通信経路上の情報は、漏えいを防止する仕 [条文 [情報の保護 条文 情報の保護 制御系システムと外部を繋ぐ通信経路上の情報は、漏えいを防止する仕 組みを確立すること。(以下「通信経路」とは、制御系システムと外部を繋ぐ通信経路を 指す) [対策218] 会議室・応接室など部外者が入室できる箇所の情報コンセントは、使用管理できるように空 きポートを塞ぐ対策をとるようにする。 [脅威208] [情報系LAN接続方式・インターネット接続方式]HUBの空き回線、会議室・応接室の情 報コンセントに不正にパソコンを接続して侵入する恐れがある。 条文2303] 不正アクセスの検出]通信経路上で情報の改ざんが行われても、検出できるような改ざ [条文 [不正アクセスの検出 条文 不正アクセスの検出 通信経路上で情報の改ざんが行われても、検出できるような改ざ ん検知機能を用いること。 [対策231] 通信経路上で情報の改ざんを検出しシステム管理者に通知する機能を設ける。 [脅威212] [情報系LAN接続方式・インターネット接続方式]FTP、RCPなどによりファイルにアクセ スされ、改ざん・削除される恐れがある。リモート・ログイン(telnet、rLogin)されて、侵入 される可能性がある。NFSなどによりネットワーク共有ファイルにアクセスされ、改ざん・ 削除される恐れがある。汎用通信(DDE/OPC/ODBC/RemoteSQL)により制御データ にアクセスされ、データ改ざん・削除される恐れがある。 条文2305] アクセス情報]ネットワークを介した外部からのアクセス情報を管理する機能を設けるこ [条文 [アクセス情報 条文 アクセス情報 ネットワークを介した外部からのアクセス情報を管理する機能を設けるこ と。 [対策237] ルータにルーティングを防止する対策を講じる。 [脅威214] [情報系LAN接続方式・インターネット接続方式]外部から大量のパケットを送り込み、フ ァイアウォールの処理能力を著しく低下させることにより、業務を妨害する恐れがある。 条文2306] アクセス制御]システム関連のファイルは、制御系システムユーザがアクセスできないよ [条文 [アクセス制御 条文 アクセス制御 システム関連のファイルは、制御系システムユーザがアクセスできないよ うに管理すること。 [対策204] DNSサーバには、必要最小限以外の情報を含まないようにする。 [脅威202] [情報系LAN接続方式・インターネット接続方式]InterNIC、JPNICからドメイン情報,IP アドレスの情報が入手でき、侵入の糸口になる。 [対策205] プラントやシステム名が特定されやすいサブドメイン名、ホスト名称を用いないこと。 [脅威202] [情報系LAN接続方式・インターネット接続方式]InterNIC、JPNICからドメイン情報,IP アドレスの情報が入手でき、侵入の糸口になる。 [対策206] 外部に公開するホストは必要最小限とし、これら以外のホストはファイアーウォール下でプラ イベートアドレスを使うようにする。 [脅威202] [情報系LAN接続方式・インターネット接続方式]InterNIC、JPNICからドメイン情報,IP アドレスの情報が入手でき、侵入の糸口になる。 条文2310] バックアップ]ファイルのバックアップを随時行い、その磁気媒体等を安全な方法で保管 [条文 [バックアップ 条文 バックアップ ファイルのバックアップを随時行い、その磁気媒体等を安全な方法で保管 すること [対策711] データのバックアップを定期的に行う。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 ④設備管理 条文2402] 機器の設置]重要な情報が格納されているか又は重要な処理を行う機器は、許可を与 [条文 [機器の設置 条文 機器の設置 重要な情報が格納されているか又は重要な処理を行う機器は、許可を与 えられた者以外立ち入れない場所に設置し、厳重に管理すること。 [対策110] 物理的管理では、サービス提供機器が設置されている建物や部屋への入退室管理が徹底さ れていなければならない。 [脅威105] [ダイヤルアップ接続方式]専用回線を使用する場合はサービス提供者側とサービス利 用者側の回線に対するタッピングの恐れがある。 38 [対策112] 物理的管理では、サービス提供機器が設置されている建物や部屋への入退室管理が徹底さ れていなければならない。 [脅威106] [ダイヤルアップ接続方式]モデムや通信回線に対する盗聴機の設置によるアカウント 名、パスワード、コマンド、ファイル名などが盗聴されると、保守作業者用のアクセス権限 の悪用による重要データやレシピデータの漏洩や破壊などが行われる恐れがある。 [対策221] 入退室管理を強化する。 (カード、入退室記録) [脅威210] [情報系LAN接続方式・インターネット接続方式]LANへプロトコル・アナライザなどの機 器を取り付け、LAN上の情報が盗聴される恐れがある。 [対策416] 機器室への入退室管理を強化する。 [脅威410] [ソーシャル・エンジニアリング]パスワード等の入力操作の観察も貴重な情報源にな る。 [対策421] 清掃作業員等の外部サービス業者、部外者には制御系システムへの物理的な接近を禁止 する。 [脅威413] [ソーシャル・エンジニアリング]興味本位での機器へのタッチ、無意識タッチによる異常 動作(操作)の恐れがある。 [対策517] サービス提供者の設備への技術者の入退室管理を行う。 [脅威503] [保守・リモートメンテナンス]リモートメンテナンス・サービスの正規の保守作業員になり すまし侵入し、重要データの削除、改ざんによる異常動作や、制御不能に陥る可能性 がある。 [対策518] サービス提供者が用いる機器などへのアクセス管理を充分に行う。 [脅威503] [保守・リモートメンテナンス]リモートメンテナンス・サービスの正規の保守作業員になり すまし侵入し、重要データの削除、改ざんによる異常動作や、制御不能に陥る可能性 がある。 [対策522] 保管と管理では、顧客システムに関する保守ドキュメントの保管管理とアクセス管理が徹底さ れていなければならない。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策524] サービス提供者の設備への技術者の入退室管理を行う。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策601] 設計設備への入退室管理を徹底する。 [脅威601] [プラント計画・設計・建設時]当該プラントのインターロック,ダイヤグラム,DCS構成図, ネットワーク構成図等が外部に 漏洩する恐れがある。(従来の紙ベース) [対策613] 機器が設置されている建物や部屋への入退室管理が徹底されていなければならない。 [脅威608] [プラント計画・設計・建設時]いろいろな業者が出入りするが、この時に後で侵入するた めの仕掛けがなされないとも限らない。(タッピング、トロイの木馬等) 条文2403] 機器の設置]移動可能な機器は、盗難防止策を行うこと。 [条文 [機器の設置 条文 機器の設置 移動可能な機器は、盗難防止策を行うこと。 [対策422] パソコン特にノートパソコン等が盗難に合わない様入退室管理をキチンとし、容易に盗まれな いように取付けを行うなどの設置対策を行っておく。 [脅威414] [ソーシャル・エンジニアリング]パソコン特にノートパソコン等が盗難に合うとその中に 入っている情報が利用される可能性がある。 条文2407] 導入/更新 [条文 [導入 条文 導入 更新/撤去 更新 撤去]機器及びソフトウェアは、供給者の連絡先及び更新情報が明確なもの 撤去 機器及びソフトウェアは、供給者の連絡先及び更新情報が明確なもの を利用すること。 [対策512] サービスの提供組織、提供者は信頼出来る組織でなければならない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策513] サービスの提供に係る保守作業員は信頼できる要員でなければならない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策612] 業者組織、従業者は信頼出来る組織、人でなければならない。 [脅威608] [プラント計画・設計・建設時]いろいろな業者が出入りするが、この時に後で侵入するた めの仕掛けがなされないとも限らない。(タッピング、トロイの木馬等) 39 [対策704] 相手先がハッキリしていないメールの添付ファイルなどは開かない。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 条文2408] 導入/更新 [条文 [導入 条文 導入 更新/撤去 更新 撤去]セキュリティ上の問題点が解決済みの機器及びソフトウェアを利用す 撤去 セキュリティ上の問題点が解決済みの機器及びソフトウェアを利用す ること。 [対策118] OSやユーティリティのバージョンアップ等は、直接プラント用実機では実施しないで、開発機 等オフライン機でウイルスチェックや動作確認を行った後で使用する。 [脅威109] [ダイヤルアップ接続方式]OSやユーティリティのバージョンアップ、制御モデル、パラメ ータ等正規の変更であっても、ウイルス感染やバージョン不一致、データの設定ミス等 プラントの正常動作を妨げる恐れがある。改ざんされている可能性がある。 [対策239] セキュリティ・ホールを最小限にする為、常に最新ブラウザに更新する。 [脅威215] [情報系LAN接続方式・インターネット接続方式]CGIスクリプトを利用して侵入される恐 れがある。 [対策241] デフォルト設定のままではセキュリティ・ホールになるので、ブラウザ等のアクセス権限の設 定を変更すること。(読込み、書込み、実行) [脅威215] [情報系LAN接続方式・インターネット接続方式]CGIスクリプトを利用して侵入される恐 れがある。 [対策608] 不要、不正なプログラム(デバッグツール、特殊なドライバー等)がインストールされていないか チェックする。 [脅威605] [プラント計画・設計・建設時]運転時には使用しないデバッグツールがインストールされ ていると、そのツールによってシステムの根幹まで不正操作可能となる恐れがある。 [対策609] インストールされるDCSのソフトウェアの正当性をチェックする。(Versionなど) [脅威605] [プラント計画・設計・建設時]運転時には使用しないデバッグツールがインストールされ ていると、そのツールによってシステムの根幹まで不正操作可能となる恐れがある。 [対策611] 提供者自身へのウイルス感染防止のために徹底した感染防止策が必要である。 [脅威607] [プラント計画・設計・建設時]緊急に追加されるソフトに、ウィルス混入の危険性もあ る。(FDのケース多し、再フォーマッティングしてないなど他) [対策705] 添付ファイルは一度セーブし、ウイルスチェックしてから開く。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 [対策706] 具体的なウイルス対策を策定しユーザに徹底させると共に、定期的に監査を行う。より厳格 には、第三者による監査が必要である。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 [対策707] 誰がウイルスに対する責任者か明確にするために、管理部門にウイルス担当部門を設置又 は担当者を指名して周知徹底する。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 [対策710] ウイルス検査ツールは常に最新のウイルスの発見と駆除ができるように維持されていなけれ ばならない。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 [対策713] 提供者自身へのウイルス感染防止のために徹底した感染防止策が必要である。 [脅威706] [コンピュータ・ウイルス]保守・リモートメンテナンス(R/M)時使用するFD、CDー ROM、MO等にウイルスが侵入している可能性がある。 [対策714] 顧客に提供するソフトウェア等の記録媒体に対するウイルス検査の実施と実施体制の確立 が必要である。 [脅威706] [コンピュータ・ウイルス]保守・リモートメンテナンス(R/M)時使用するFD、CDー ROM、MO等にウイルスが侵入している可能性がある。 [対策715] 特に、保守作業員が使用する作業用、情報収集用、情報提供用等の磁気媒体は厳重なウイ ルス検査を実施し合格したものを使用しなければならない。 [脅威706] [コンピュータ・ウイルス]保守・リモートメンテナンス(R/M)時使用するFD、CDー ROM、MO等にウイルスが侵入している可能性がある。 [対策716] ウイルス検査ツールは常に最新のウイルスの発見と駆除ができるように維持されていなけれ ばならない。 [脅威706] [コンピュータ・ウイルス]保守・リモートメンテナンス(R/M)時使用するFD、CDー ROM、MO等にウイルスが侵入している可能性がある。 [対策719] システム管理者以外の機器にはFDやCD等の入力装置を付けないか、または使用できない ようにする。 40 [脅威707] [コンピュータ・ウイルス]ゲームソフトやアプリケーションソフトをFD、CDーROM、MO等 を用いて個人的にインストールする際、にウイルスが侵入している可能性がある。自宅 でWebからダウンロードしたゲームソフトやアプリケーションソフトをインストールしたり する場合など、特に感染の危険性が高い。 条文2409] 導入/更新 [条文 [導入 条文 導入 更新/撤去 更新 撤去]外部と接続する機器はファイアーウォール機能を持たせる等、十分な 撤去 外部と接続する機器はファイアーウォール機能を持たせる等、十分な アクセス制御機能を有したものを利用すること。 [対策104] モデム接続を自動検出されないように、応答開始までに3コール分待つようにする。 [脅威102] [ダイヤルアップ接続方式]ダイヤルアップ回線用の電話番号は未公開であっても、電話 番号の漏洩、総当たりによる電話番号の露見などの恐れがある。 [対策105] 未使用時は、モデムの電源や接続を切るなど、こまめな運用管理を徹底する。 [脅威102] [ダイヤルアップ接続方式]ダイヤルアップ回線用の電話番号は未公開であっても、電話 番号の漏洩、総当たりによる電話番号の露見などの恐れがある。 [対策107] ダイアルアップ用通信機器(モデム等)のパスワード認証機能を使用する。 [脅威103] [ダイヤルアップ接続方式]コールバックを使用している場合でもコールバックの無効化 による接続の恐れがある。 [対策108] より強固なアクセス制御を行うためには、リモート・アクセス・サーバと認証サーバを設置する。 [脅威103] [ダイヤルアップ接続方式]コールバックを使用している場合でもコールバックの無効化 による接続の恐れがある。 [対策202] インターネットと情報系LANの間にファイアウォールを設置し、セキュリティ・ポリシーに基づい た機能を設定する。 [脅威201] [情報系LAN接続方式・インターネット接続方式]外部インターネットから侵入され、情報 系の機器が踏み台にされる恐れがある。 [対策203] 非武装地帯(DMZ)を作り、外部サーバの一次攻撃から守る。 [脅威201] [情報系LAN接続方式・インターネット接続方式]外部インターネットから侵入され、情報 系の機器が踏み台にされる恐れがある。 [対策209] 内部ネットワークのアドレスになっている送信元パケットが外部ネットワークから入って来ない ようにするフィルタリングルータを設けること。 [脅威205] [情報系LAN接続方式・インターネット接続方式]IPspoofing(なりすまし)による侵入の 恐れがある。 [対策214] 制御系システムと情報系LANとの間に、ファイアウォールを設置する。 [脅威207] [情報系LAN接続方式・インターネット接続方式]内部者が内部インターネットから侵入 する恐れがある。 [対策224] 制御系システムと情報系LANとの間に、ファイアウォールとプロキシサーバーを設け、必要な サービスのポート番号を標準から変更する。 [脅威212] [情報系LAN接続方式・インターネット接続方式]FTP、RCPなどによりファイルにアクセ スされ、改ざん・削除される恐れがある。リモート・ログイン(telnet、rLogin)されて、侵入 される可能性がある。NFSなどによりネットワーク共有ファイルにアクセスされ、改ざん・ 削除される恐れがある。汎用通信(DDE/OPC/ODBC/RemoteSQL)により制御データ にアクセスされ、データ改ざん・削除される恐れがある。 [対策226] 制御系システムと情報系LANとの間で、アドレス情報の漏洩を防ぐ措置をとる。 [脅威212] [情報系LAN接続方式・インターネット接続方式]FTP、RCPなどによりファイルにアクセ スされ、改ざん・削除される恐れがある。リモート・ログイン(telnet、rLogin)されて、侵入 される可能性がある。NFSなどによりネットワーク共有ファイルにアクセスされ、改ざん・ 削除される恐れがある。汎用通信(DDE/OPC/ODBC/RemoteSQL)により制御データ にアクセスされ、データ改ざん・削除される恐れがある。 [対策240] ファイアウォールでJavaやActiveXを通過させないようにする。 [脅威215] [情報系LAN接続方式・インターネット接続方式]CGIスクリプトを利用して侵入される恐 れがある。 [対策303] 携帯端末側のアドレス情報をある期間毎に動的に変更するような設定機能を追加する。 [脅威301] [無線LAN接続方式]無線応用ネットワークは傍受されるとタッピングされた状態と同様 になり、ネットワーク上情報が漏洩する恐れがある。ネットワークの負荷攻撃、ファイル の破壊・削除をされる恐れがある。 [対策304] ルータあるいは専用コンピュータでのファイアウォール機能により、携帯端末の用途に限定し た通信のみ許可する。 41 [脅威301] [無線LAN接続方式]無線応用ネットワークは傍受されるとタッピングされた状態と同様 になり、ネットワーク上情報が漏洩する恐れがある。ネットワークの負荷攻撃、ファイル の破壊・削除をされる恐れがある。 [対策305] パトロールで移動中のように無線応用ネットワークを使用していない場合には、こまめに無線 装置の電源を切るなど、運用管理を徹底する。 [脅威301] [無線LAN接続方式]無線応用ネットワークは傍受されるとタッピングされた状態と同様 になり、ネットワーク上情報が漏洩する恐れがある。ネットワークの負荷攻撃、ファイル の破壊・削除をされる恐れがある。 [対策511] 未使用時等、こまめに電源や接続を切るなど運用管理を徹底させる。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策701] インターネットと情報系LANの間にファイアウォールを設置する。 [脅威701] [コンピュータ・ウイルス]Webページ(マクロ型ウィルス)、 掲示板(トロイの木馬)などの 侵入恐れがある。 [対策702] WebからのFTPによるダウンロードなどはファイアウォールで使用できないようにしておく。 [脅威702] [コンピュータ・ウイルス]ワームはネットワークに接続されているコンピュータのセキュリ ティホールから自動的に侵入してくる。 [対策703] Active-X、Javaなども使用できないようにしておく。( ファイアウォールで通過させない) [脅威703] [コンピュータ・ウイルス]Java型ウィルスは、ネットサーフィン中にたまたま参照したWeb ページから知らないうちに侵入してくる。 条文2410] フェール・セーフ対策]アクセス制御機能に障害が起きた時には、外部との通信を制限 [条文 [フェール・セーフ対策 条文 フェール・セーフ対策 アクセス制御機能に障害が起きた時には、外部との通信を制限 する等フェール・セーフ対策を行なうこと。 [対策233] ファイアウォール障害時には、プロセス・コンピュータのOSのパケット・ルーティング機能を無 効にし、フェール・セーフ対策を実施する。 [脅威213] [情報系LAN接続方式・インターネット接続方式]通信データ内に不当なプログラムやコ マンドを挿入して、ファイアウォールのファイル・システムやネットワーク・オブジェクトを 改ざんして、侵入される恐れがある。ログを改ざんして侵入の記録を消去される恐れが ある。 条文2412] ネットワーク構成]ネットワークを介して外部からアクセスできる通信経路、コンピュータ [条文 [ネットワーク構成 条文 ネットワーク構成 ネットワークを介して外部からアクセスできる通信経路、コンピュータ 及び使用できるプロトコルは、必要最小限にすること。 [対策207] インターネットに繋がるファイアウオールのポート番号設定で、pingを無効にする。 [脅威203] [情報系LAN接続方式・インターネット接続方式]winipcfg(Windows95/98)、ipconfig (WindowsNT)のコマンドでIPアドレスを入手できる。pingでも有効IPアドレスを見つけ ることができ、侵入の可能性がある。 [対策216] 不要なネットワーク・サービスを削除する。 [脅威207] [情報系LAN接続方式・インターネット接続方式]内部者が内部インターネットから侵入 する恐れがある。 [対策217] 制御系情報LANに接続するコンピュータ及び機器を限定する。 [脅威207] [情報系LAN接続方式・インターネット接続方式]内部者が内部インターネットから侵入 する恐れがある。 [対策225] 不要なネットワーク・サービスを削除する。上位ネットワークとの間で必要とするサービス(FT P,TELNET等)を調査検討し、最小限のサービスのみを許可する。(例えばRcp、rloginを禁止 し、匿名FTP、暗号化コマンドを許可する。) [脅威212] [情報系LAN接続方式・インターネット接続方式]FTP、RCPなどによりファイルにアクセ スされ、改ざん・削除される恐れがある。リモート・ログイン(telnet、rLogin)されて、侵入 される可能性がある。NFSなどによりネットワーク共有ファイルにアクセスされ、改ざん・ 削除される恐れがある。汎用通信(DDE/OPC/ODBC/RemoteSQL)により制御データ にアクセスされ、データ改ざん・削除される恐れがある。 [対策228] 制御系情報LANに接続するコンピュータ及び機器を限定する。 [脅威212] [情報系LAN接続方式・インターネット接続方式]FTP、RCPなどによりファイルにアクセ スされ、改ざん・削除される恐れがある。リモート・ログイン(telnet、rLogin)されて、侵入 される可能性がある。NFSなどによりネットワーク共有ファイルにアクセスされ、改ざん・ 削除される恐れがある。汎用通信(DDE/OPC/ODBC/RemoteSQL)により制御データ にアクセスされ、データ改ざん・削除される恐れがある。 42 条文2416] 不正アクセスの発見]ソフトウェア及びシステムファイルの改ざんが生じていないことを [条文 [不正アクセスの発見 条文 不正アクセスの発見 ソフトウェア及びシステムファイルの改ざんが生じていないことを 随時確認すること。 [対策210] Netlogなどのパケット監視ツールを用いて異常侵入がないか常時監視する。 [脅威205] [情報系LAN接続方式・インターネット接続方式]IPspoofing(なりすまし)による侵入の 恐れがある。 [対策211] 内部ネットワーク上にあるシステム間のプロセスアカウントログを比較し、異常がないかチェッ クする。 [脅威205] [情報系LAN接続方式・インターネット接続方式]IPspoofing(なりすまし)による侵入の 恐れがある。 [対策230] 不正侵入検知ツールを実装する。 [脅威212] [情報系LAN接続方式・インターネット接続方式]FTP、RCPなどによりファイルにアクセ スされ、改ざん・削除される恐れがある。リモート・ログイン(telnet、rLogin)されて、侵入 される可能性がある。NFSなどによりネットワーク共有ファイルにアクセスされ、改ざん・ 削除される恐れがある。汎用通信(DDE/OPC/ODBC/RemoteSQL)により制御データ にアクセスされ、データ改ざん・削除される恐れがある。 [対策507] リモートメンテナンス・サービスの入口が正規の目的以外に使用されていないかログで監査 する。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策508] 識別と認証は正しく実施されているかログで監査する。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策509] 不正に使用された形跡はないかログで監査する。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策529] リモートメンテナンスは不正や操作ミスの防止のために監視と検知が実施されなければなら ない。 [脅威505] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員によ る保守作業時の単純作業ミスによるデータの削除,作業員の誤解による作業間違いの 恐れがある。 条文2417] パスワード強化機能]システムが提供するパスワード強化機能は最大限に活用するこ [条文 [パスワード強化機能 条文 パスワード強化機能 システムが提供するパスワード強化機能は最大限に活用するこ と。 [対策418] システム管理者等システム・セキュリティ上で重要な部門の担当者には、IDカード、指紋等の 認証技術を採用する。 [脅威411] [ソーシャル・エンジニアリング]システム管理者等本人へのなりすまして侵入する恐れ がある。 条文2418] ネットワーク監視]ネットワークの負荷状況を監視すること。 [条文 [ネットワーク監視 条文 ネットワーク監視 ネットワークの負荷状況を監視すること。 [対策212] ネットワーク負荷監視ソフトを導入して、警報により検知する。 外部からの攻撃内容をログなどで分析してファイアウォールの機能を強化する。 [脅威206] 多数のコンピュータからの同時・大量のmail送信や大容量のpingなどでネットワーク 負荷を急増させてシステムダウンに至る恐れがある。 条文2419] ネットワーク構成]システムの利用形態等に応じて、ネットワークを分離すること。 [条文 [ネットワーク構成 条文 ネットワーク構成 システムの利用形態等に応じて、ネットワークを分離すること。 [対策301] 無線応用ネットワークと制御LANとの接続形態は必ず別セグメントとし、無線応用ネットワー クに不要なデータが流れるのを防止する。 [脅威301] [無線LAN接続方式]無線応用ネットワークは傍受されるとタッピングされた状態と同様 になり、ネットワーク上情報が漏洩する恐れがある。ネットワークの負荷攻撃、ファイル の破壊・削除をされる恐れがある。 43 ⑤履歴管理 条文2501] 履歴の記録]システムのセキュリティ・ポリシーに基づいたシステムの動作履歴、使用記 [条文 [履歴の記録 条文 履歴の記録 システムのセキュリティ・ポリシーに基づいたシステムの動作履歴、使用記 録等を記録すること。 [対策119] 許可/拒否した接続要求の記録を含めログ収集を行い、定期的に解析する。 (監視と記録)ロ グは、アクセスした者を特定可能なものであること。(ユーザID、ログイン時刻、発信側アドレ スまたは発信番 [脅威100] [ダイヤルアップ接続方式] [対策215] アクセス管理ログをとっていることを全員に通知する。(内部者の不正アクセス抑止効果にも なる) [脅威207] [情報系LAN接続方式・インターネット接続方式]内部者が内部インターネットから侵入 する恐れがある。 [対策232] ファイアウォールが接続を許可した/拒否したすべての通信を記録し 、異常の有無を定期的 に検査する。 [脅威213] [情報系LAN接続方式・インターネット接続方式]通信データ内に不当なプログラムやコ マンドを挿入して、ファイアウォールのファイル・システムやネットワーク・オブジェクトを 改ざんして、侵入される恐れがある。ログを改ざんして侵入の記録を消去される恐れが ある。 条文2502] 履歴の記録]システムの動作履歴、使用記録等を記録する場合は、改ざん、削除、破壊 [条文 [履歴の記録 条文 履歴の記録 システムの動作履歴、使用記録等を記録する場合は、改ざん、削除、破壊 及び漏えいの防止措置を施すこと。 [対策235] 不正侵入者による収集ログの改ざんを防止するため、ログの保全措置を講ずる。リモートの場 合ログを追加書込みのみ許可する設定をする。 [脅威213] [情報系LAN接続方式・インターネット接続方式]通信データ内に不当なプログラムやコ マンドを挿入して、ファイアウォールのファイル・システムやネットワーク・オブジェクトを 改ざんして、侵入される恐れがある。ログを改ざんして侵入の記録を消去される恐れが ある。 [対策236] ファイアウォール自体の異常を監視するために、ファイアウォールのファイルシステムを監視 し、異常の検出を行う。 [脅威214] [情報系LAN接続方式・インターネット接続方式]外部から大量のパケットを送り込み、フ ァイアウォールの処理能力を著しく低下させることにより、業務を妨害する恐れがある。 ⑥事後対応 条文2601] 異常の発見]異常の連絡を受けた場合又は異常を発見した場合は、速やかに原因を追 [条文 [異常の発見 条文 異常の発見 異常の連絡を受けた場合又は異常を発見した場合は、速やかに原因を追 究すること。 [対策709] 被害にあった場合には、侵入プロセスを明確にし、個人レベルの処置ではなく、組織的な対応 を行う。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 ⑦情報収集及び教育 条文2702] 情報収集]収集した情報を分析し、重要な情報については速やかに対応すること。 [条文 [情報収集 条文 情報収集 収集した情報を分析し、重要な情報については速やかに対応すること。 [対策708] 管理部門、管理担当者は、最新のウイルス・ワクチンを入手しユーザへ配布する。また、国内 IPAセキュリティセンター、海外のウイルス関連の公的 、私的機関の最新情報を収集して随 時新しい対策を立てる。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 条文2703] 情報提供]制御系システムユーザがセキュリティ対策を行う場合に必要な情報を提供す [条文 [情報提供 条文 情報提供 制御系システムユーザがセキュリティ対策を行う場合に必要な情報を提供す ること。 [対策708] 管理部門、管理担当者は、最新のウイルス・ワクチンを入手しユーザへ配布する。また、国内 IPAセキュリティセンター、海外のウイルス関連の公的 、私的機関の最新情報を収集して随 時新しい対策を立てる。 [脅威704] [コンピュータ・ウイルス]電子メールや電子メールの添付ファイルからの感染する。 条文2704] 教育]制御系システムユーザに、セキュリティ教育を随時実施すること。 [条文 [教育 条文 教育 制御系システムユーザに、セキュリティ教育を随時実施すること。 [対策403] 従業員に徹底したセキュリティ教育を行う。 44 [脅威402] [ソーシャル・エンジニアリング]初心者のふりをして、システム担当者に電話してアクセ ス情報等のシステムに関する情報を聞出す。 [対策405] 必ず本人に確認をとる教育を行なう。 また、そのような職場風土を徹底させる。 [脅威403] [ソーシャル・エンジニアリング]上司、同僚の名をかたったり、サービスセンターの担当 の緊急代理だといって巧妙にパスワード等重要情報を聞き出す。 [対策406] 本人以外には情報を伝えないよう教育を行なう。 (たとえその結果対応が遅れるようなことが あっても) [脅威403] [ソーシャル・エンジニアリング]上司、同僚の名をかたったり、サービスセンターの担当 の緊急代理だといって巧妙にパスワード等重要情報を聞き出す。 [対策515] セキュリティに対する教育が施された要員でなければならない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策528] セキュリティに対する教育が施された要員でなければならない。 [脅威505] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員によ る保守作業時の単純作業ミスによるデータの削除,作業員の誤解による作業間違いの 恐れがある。 [対策531] 要員管理では、開発技術者や保守作業員に発行したアカウント名とパスワードの提供管理と 技術者や作業員に対するメンタルヘルスケアが適切に実施されなければならない。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 ⑧監査 条文2801] システム監査]制御系システム管理者が行う不正アクセス対策の実効性を高めるため、 [条文 [システム監査 条文 システム監査 制御系システム管理者が行う不正アクセス対策の実効性を高めるため、 システム監査の報告を受け、必要な措置を講ずること。 [対策404] セキュリティ管理規定において、機密漏洩時の処罰を明確にする。 [脅威402] [ソーシャル・エンジニアリング]初心者のふりをして、システム担当者に電話してアクセ ス情報等のシステムに関する情報を聞出す。 [対策407] 賄賂に応じることは犯罪であること、軽微な内容でもセキュリティ上危険な情報を信頼できる 関係者以外に教えないよう、ユーザ全員を教育する。 [脅威404] [ソーシャル・エンジニアリング]賄賂,脅迫等によりシステム関連情報を聞き出す。 [対策408] 特にシステム管理者は金銭的に困ってないとか、その他の要素も含め信頼できる人を任命 する。 [脅威404] [ソーシャル・エンジニアリング]賄賂,脅迫等によりシステム関連情報を聞き出す。 [対策409] 賄賂,脅迫を受けた本人がすぐに相談できるような体制、職場風土を作る。 [脅威404] [ソーシャル・エンジニアリング]賄賂,脅迫等によりシステム関連情報を聞き出す。 [対策420] ログを取る。定期的に監査を行う。 [脅威412] [ソーシャル・エンジニアリング]システム管理者等本人の誤操作、故意によるデータの 不正取得、改ざん、破壊の恐れがある。 [対策534] サービス提供側がとるべき対策が確実に実施され、有効に機能しているか否かが監視され、 定期的又は抜打ち的に監査が実施されなければならない。 [脅威507] (iii) [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 ハードウェア・ソフトウェア供給者基準 ハードウェア・ソフトウェア供給者基準 ①管理体制の整備 条文3102] 管理体制/管理手順 [条文 [管理体制 条文 管理体制 管理手順]設計文書等の管理体制、管理基準を確立し、周知・徹底すること。 管理手順 設計文書等の管理体制、管理基準を確立し、周知・徹底すること。 [対策602] 設計図書等の一般的文書管理を徹底する。 [脅威601] [プラント計画・設計・建設時]当該プラントのインターロック,ダイヤグラム,DCS構成図, ネットワーク構成図等が外部に 漏洩する恐れがある。(従来の紙ベース) 45 [対策603] 財産的情報の管理に関する基準を整備し実践する。(財産的情報の同定、社内外への開示 基準、保管管理など) [脅威600] [プラント計画・設計・建設時] [対策605] 財産的電子情報の管理に関する基準を整備し実践する。 (財産的電子情報の同定、不正ア クセス対策、ウィルス対策、システム監査など) [脅威603] [プラント計画・設計・建設時]ネットワークからの侵入による図面等重要電子設計情報 の不正取得、改ざん、破壊の恐れがある。 ②設備管理 条文3201] 機器の設置]開発業務に係る機器は、許可を与えられた者以外立ち入れない場所に設 [条文 [機器の設置 条文 機器の設置 開発業務に係る機器は、許可を与えられた者以外立ち入れない場所に設 置し、厳重に管理すること。 [対策601] 設計設備への入退室管理を徹底する。 [脅威601] [プラント計画・設計・建設時]当該プラントのインターロック,ダイヤグラム,DCS構成図, ネットワーク構成図等が外部に 漏洩する恐れがある。(従来の紙ベース) [対策613] 機器が設置されている建物や部屋への入退室管理が徹底されていなければならない。 [脅威608] [プラント計画・設計・建設時]いろいろな業者が出入りするが、この時に後で侵入するた めの仕掛けがなされないとも限らない。(タッピング、トロイの木馬等) ③開発管理 条文3302] セキュリティ機能]製品は、機密保持機能、認証機能、改ざん検知機能等のセキュリティ [条文 [セキュリティ機能 条文 セキュリティ機能 製品は、機密保持機能、認証機能、改ざん検知機能等のセキュリティ 機能を設けること。 [対策604] 重要な電子情報の授受については、認証の確実化と暗号化を徹底する。 [脅威602] [プラント計画・設計・建設時]当該プラントのインターロック,ダイヤグラム,DCS構成図, ネットワーク構成図等情報のネットワーク上でのやりとり中で漏洩の恐れがある。(盗 聴) 条文3306] セキュリティ機能]製品の開発に使用したデバッグ機能等は、出荷前に削除しておくこ [条文 [セキュリティ機能 条文 セキュリティ機能 製品の開発に使用したデバッグ機能等は、出荷前に削除しておくこ と。 [対策606] 各調整パラメータのデフォルト設定をユーザ対応に変更する。 [脅威604] [プラント計画・設計・建設時]運転時にはオペレータが変更しないDCSパラメータ(PID のチューニングパラメータ、 アルゴリズム変更のパラメータ等)の変更が行われる。こ のため、エンジニアリング・モードでの調整が行われている。 これらのパラメータをアク セス可能な状況のままにしておくとセキュリティ・ホールとなる。 [対策610] パスワード等を建設段階と運用時点で変更する。 [脅威606] [プラント計画・設計・建設時]パスワードがデフォルトで設定されたまま、作業が行われ ている場合が侵入されやすい。 条文3307] セキュリティ機能]製品のセキュリティ機能が仕様どおり動作するか検査すること。 [条文 [セキュリティ機能 条文 セキュリティ機能 製品のセキュリティ機能が仕様どおり動作するか検査すること。 [対策607] ダイヤルアップ接続用の機器にコールバック・セキュリティが設定されていることを確認する。 [脅威604] [プラント計画・設計・建設時]運転時にはオペレータが変更しないDCSパラメータ(PID のチューニングパラメータ、 アルゴリズム変更のパラメータ等)の変更が行われる。こ のため、エンジニアリング・モードでの調整が行われている。 これらのパラメータをアク セス可能な状況のままにしておくとセキュリティ・ホールとなる。 [対策608] 不要、不正なプログラム(デバッグツール、特殊なドライバー等)がインストールされていないか チェックする。 [脅威605] [プラント計画・設計・建設時]運転時には使用しないデバッグツールがインストールされ ていると、そのツールによってシステムの根幹まで不正操作可能となる恐れがある。 [対策609] インストールされるDCSのソフトウェアの正当性をチェックする。(Versionなど) [脅威605] [プラント計画・設計・建設時]運転時には使用しないデバッグツールがインストールされ ていると、そのツールによってシステムの根幹まで不正操作可能となる恐れがある。 [対策611] 提供者自身へのウイルス感染防止のために徹底した感染防止策が必要である。 [脅威607] [プラント計画・設計・建設時]緊急に追加されるソフトに、ウィルス混入の危険性もあ る。(FDのケース多し、再フォーマッティングしてないなど他) 46 ④販売管理 条文3403] 連絡先の明示]製品は、供給者の連絡先を明示しておくこと。 [条文 [連絡先の明示 条文 連絡先の明示 製品は、供給者の連絡先を明示しておくこと。 [対策612] 業者組織、従業者は信頼出来る組織、人でなければならない。 [脅威608] (iv) [プラント計画・設計・建設時]いろいろな業者が出入りするが、この時に後で侵入するた めの仕掛けがなされないとも限らない。(タッピング、トロイの木馬等) リモートメンテナンス事業者基準 ①管理体制の整備 条文4101] 業務範囲]リモートメンテナンス事業者の要員の業務範囲を明確にすること。 [条文 [業務範囲 条文 業務範囲 リモートメンテナンス事業者の要員の業務範囲を明確にすること。 [対策516] これらの監視と監査はリモートメンテナンス・サービスの実施に直接係る者が担当してはなら ない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策525] 保守用ドキュメントの保管管理が行われていることを監査する。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 条文4102] 管理体制/管理手順 [条文 [管理体制 条文 管理体制 管理手順]保守・開発用ドキュメント等の管理体制、管理基準を確立し、周 管理手順 保守・開発用ドキュメント等の管理体制、管理基準を確立し、周 知・徹底すること。 [対策501] リモートメンテナンス・サービスを利用する場合には、利便性と脆弱性を認識する必要がある。 (セキュリティ・ポリシー)その上で、既存のセキュリティ・ポリシーを改訂して整合性をとるか、あ るいは整合性のあるセキュリティ・ポリシーを新たに立案する必要がある。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策502] リモートメンテナンス・サービスの利便性とセキュリティ面の脆弱性を認識し、利用するサービ スの選択、保守対象の選定、回線接続方式の選択をしなければならない。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策503] 選定に当り、セキュリティの脅威と想定されるリスクについて充分な分析を実施し対策を講じ なければならない。サービス提供者と利用者との間で、セキュリティ対策について充分協議し 一致協力して万全を期さなければならない。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策504] 選択したサービスを有効活用しサービスを安全に受けるために、協議し一致協力して万全を 期さなければならない。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策506] サービス提供方式には、サービス提供会社の側に収集した各種情報を蓄積する方式と、サ ービスを受ける企業の側に蓄積する方式等がある。故障の予兆情報、稼動履歴情報、各種 エラーログ情報などの保守情報を外部に蓄積するか、企業内に保守サーバを設置し蓄積す るかなどについて、セキュリティ・ポリシーに合致した方式を選択しなければならない。 47 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策514] 保守作業員のセキュリティ面での管理と監視について、組織的な体制が確立されていなけれ ばならない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策521] 保管と管理では、顧客システムに関する保守ドキュメントの保管管理とアクセス管理が徹底さ れていることを監査する。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策527] 開発管理では、リモートメンテナンス・サービスの結果発生する開発作業の管理のほか、開発 ドキュメント、開発時の調査資料等 の利用、保管、廃棄などが管理されていることを監査する。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策530] 保守作業員のセキュリティ面での管理と監視について、組織的な体制が確立されていること を監査する。 [脅威506] [保守・リモートメンテナンス]保守作業員による保守作業員のアカウント名、パスワード の紛失はセキュリティ上重大な結果を招く恐れがある。 [対策533] 保守作業員のセキュリティ面での管理と監視について、組織的な体制が確立されていること を監査する。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 ②リモートメンテナンスユーザ管理 条文4201] セキュリティ・ポリシー]リモートメンテナンス事業者及びリモートメンテナンスユーザの責 [条文 [セキュリティ・ポリシー 条文 セキュリティ・ポリシー リモートメンテナンス事業者及びリモートメンテナンスユーザの責 任範囲を明確にすること。 [対策510] サービスの提供に際して取り決めたルールが守られているかログで監査する。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 条文4202] サービス内容の明示]リモートメンテナンス事業者が提供できるセキュリティサービスを [条文 [サービス内容の明示 条文 サービス内容の明示 リモートメンテナンス事業者が提供できるセキュリティサービスを 明示すること。 [対策512] サービスの提供組織、提供者は信頼出来る組織でなければならない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策513] サービスの提供に係る保守作業員は信頼できる要員でなければならない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 条文4204] 不正アクセスの監視]リモートメンテナンスユーザへの不正アクセスを監視できる仕組 [条文 [不正アクセスの監視 条文 不正アクセスの監視 リモートメンテナンスユーザへの不正アクセスを監視できる仕組 みを確立すること。 [対策507] リモートメンテナンス・サービスの入口が正規の目的以外に使用 されていないか。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策508] 識別と認証は正しく実施されているか。 48 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策509] 不正に使用された形跡はないか。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策529] リモートメンテナンスは不正や操作ミスの防止のために監視と検知が実施されなければなら ないので、ログ監視体制を監査する。 [脅威505] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員によ る保守作業時の単純作業ミスによるデータの削除,作業員の誤解による作業間違いの 恐れがある。 ③情報管理 条文4301] 情報の保護]リモートメンテナンスユーザの情報は、厳重に管理すること。 [条文 [情報の保護 条文 情報の保護 リモートメンテナンスユーザの情報は、厳重に管理すること。 [対策526] 提供サービスの実施のために収集した、性能データ、トラフィックデータ、ロギングデータ等の 保管、廃棄の監視と管理が徹底されていることを監査する。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 条文4302] 情報の保護]ネットワーク構成等の重要な情報は、公開しないこと。 [条文 [情報の保護 条文 情報の保護 ネットワーク構成等の重要な情報は、公開しないこと。 [対策523] リモートメンテナンス対象機器やシステムのアドレス情報は秘匿されていることを監査する。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 [対策532] リモートメンテナンス対象機器やシステムのアドレス情報は秘匿されなければならない。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 条文4303] アクセス制御]リモートメンテナンスの対象以外の情報にアクセスできないための仕組 [条文 [アクセス制御 条文 アクセス制御 リモートメンテナンスの対象以外の情報にアクセスできないための仕組 みを確立すること。 [対策505] 許可された範囲以外のコマンドの使用やファイルへのアクセスができない仕組みを設けなけ ればならない。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策511] 未使用時等、こまめに電源や接続を切るなど運用管理を徹底させる。 [脅威501] [保守・リモートメンテナンス]リモートメンテナンスの対象外へのアクセス及びサービス 範囲外へのアクセスの脅威がある。セキュリティ上核心部分が直接操作対象になるた め、脅威の危険性は高い。サービスの範囲としては、(a)予防保守、(b)故障機器の修 復、(c)稼動監視、(d)障害管理、 (e)資源配布、(f)構成情報管理、(g)性能情報管 理、(h)バックアップ/リカバリ、(I)ヘルプディスク がある。 [対策535] サービス提供者に用いる機器などへのアクセス管理を充分に行われていることをログで監査 する。 [脅威508] [保守・リモートメンテナンス]サービス提供者側に於いては、リモートメンテナンス・サー ビス端末や通信機器等を悪用したアクセスの恐れが高い。 条文4304] アクセス制御]リモートメンテナンスを実施する者を限定する機能を組み込むこと。 [条文 [アクセス制御 条文 アクセス制御 リモートメンテナンスを実施する者を限定する機能を組み込むこと。 [対策519] サービスに使用するシステム上のアカウント名やパスワードの管理体制を確立し、安全性の 高い方式を採用する。 49 [脅威503] [保守・リモートメンテナンス]リモートメンテナンス・サービスの正規の保守作業員になり すまし侵入し、重要データの削除、改ざんによる異常動作や、制御不能に陥る可能性 がある。 [対策520] ①サービス提供者側での識別と認証 ②サービス利用者側での識別と認証 ③対象システム への接続時の識別と認証等が、確実に実施されなければならない。 [脅威503] [保守・リモートメンテナンス]リモートメンテナンス・サービスの正規の保守作業員になり すまし侵入し、重要データの削除、改ざんによる異常動作や、制御不能に陥る可能性 がある。 [対策531] 要員管理では、開発技術者や保守作業員に発行したアカウント名とパスワードの提供管理と 技術者や作業員に対するメンタルヘルスケアが適切に実施されなければならない。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 ④設備管理 条文4401] 機器の設置]リモートメンテナンスに係る機器は、許可されたもの以外立ち入れない場 [条文 [機器の設置 条文 機器の設置 リモートメンテナンスに係る機器は、許可されたもの以外立ち入れない場 所に設置し、厳重に管理すること。 [対策517] サービス提供者の設備への技術者の入退室管理が行われていることを監査する。 [脅威503] [保守・リモートメンテナンス]リモートメンテナンス・サービスの正規の保守作業員になり すまし侵入し、重要データの削除、改ざんによる異常動作や、制御不能に陥る可能性 がある。 [対策518] サービス提供者が用いる機器などへのアクセス管理を充分に行われていることをログで監査 する。 [脅威503] [保守・リモートメンテナンス]リモートメンテナンス・サービスの正規の保守作業員になり すまし侵入し、重要データの削除、改ざんによる異常動作や、制御不能に陥る可能性 がある。 [対策524] サービス提供者の設備への技術者の入退室管理が行われていることを監査する。 [脅威504] [保守・リモートメンテナンス]保守作業員による保守作業用ドキュメントの漏洩はセキュ リティ上重大な結果を招く恐れがある。メンテナンス関連ドキュメントの管理が確立され ていないとドキュメントの無断複写や盗難の恐れがある。 ⑥情報収集及び教育 条文4603] 情報提供]ネットワークのセキュリティ上の問題点及びその対策に関する十分な情報を [条文 [情報提供 条文 情報提供 ネットワークのセキュリティ上の問題点及びその対策に関する十分な情報を 提供し、必要に応じてその情報を活用するための教育をすること。 [対策515] セキュリティに対する教育が施された要員でなければならない。 [脅威502] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員が侵 入する恐れがある。 [対策528] セキュリティに対する教育が施された要員であることを監査する。 [脅威505] [保守・リモートメンテナンス]リモートメンテナンス・サービスを実施する保守作業員によ る保守作業時の単純作業ミスによるデータの削除,作業員の誤解による作業間違いの 恐れがある。 [対策531] 要員管理では、開発技術者や保守作業員に発行したアカウント名とパスワードの提供管理と 技術者や作業員に対するメンタルヘルスケアが適切に実施されていることを監査する。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 ⑦監査 条文4701] システム監査]リモートメンテナンス事業者が行なう不正アクセス対策の実効性を高め [条文 [システム監査 条文 システム監査 リモートメンテナンス事業者が行なう不正アクセス対策の実効性を高め るため、システム監査の報告を受け、必要な措置を講ずること。 [対策534] サービス提供側がとるべき対策が確実に実施され、有効に機能しているか否かが監視され、 定期的又は抜打ち的に監査が実施されなければならない。 [脅威507] [保守・リモートメンテナンス]悪意を持った組織や人によって、保守作業員に対する買収 や脅迫によるアカウント名、パスワードなどの漏洩といった危険性がある。 50 2.3 運用マニュアルテンプレート 前節「2.2外部接続ニーズとの関連性」では、外部接続ニーズから発生する脅威およびそ の対策を分析・整理し、さらに運用ガイドライン各条文との対応関係を明らかにすること によって、運用ガイドラインを適用するときの具体的な対策、およびその背景にある脅威 やユーザニーズを明示した。 ここでの出発点は外部接続に関するユーザニーズであり、作業においては具体的な局面 をイメージしながら実施した。そのため対策として提示した項目は、抽象度の高い一般的 な対策、具体的な技術名を提示している対策など、その抽象度/具体度にばらつきが生じる 結果となった。また、①外部接続ニーズに起因する脅威に関する対策でないもの、②明示 せずとも明らかに必要な対策、③制御系特有のものでなく不正アクセスに関する広く一般 的な対策、に関しては対策として挙げられていない可能性もある。 前節の結果は、外部接続ニーズという視点から運用ガイドラインの意味、背景を理解す るためには非常に有用であるが、実際に現場の運用マニュアルとして適用するには、その 粒度のばらつきおよび網羅性に関する疑問が残る。 そこで本節では、前節までの分析・整理結果を利用して、運用ガイドラインそのものの 補強を行なう。すなわち先の脅威・対策との関連性分析において、新たに追加した方が望 ましいと思われる対策項目を追加し、運用ガイドラインの拡充および具体化を行なうこと をその目的とする。 またこのとき、実プラントの制御系システムにおける運用マニュアル作成時の雛形とし て利用できる様な形態、すなわち運用マニュアルテンプレートとして利用できるようにす ることに留意して作成する。実際後述のケーススタディにおいては、この運用マニュアル テンプレートを利用して運用マニュアルを作成するという手順を踏んでいるので参考にさ れたい。 2.3.1 作成時のポイント ここでの運用ガイドラインの補強、すなわち運用マニュアルテンプレート作成時のポイ ントは以下のとおりである。 (1) 網羅性 運用マニュアルテンプレートが利用できる対象をできるだけ広くするために、ここでは 特定の実プラントを想定しない。また実現性の難易度および運用コストの大小も特に意識 せず、考えられる対策内容を網羅的に記述することを第 1 の方針とした。したがって、実 際の運用マニュアル作成においては、セキュリティ・ポリシーに照らしての取捨選択、お よび実プラントのシステム構成に合わせた更なる具体化の作業が必要となるので留意され たい(3.2運用マニュアルの策定方法) 。 また前節では、プラントにおける外部接続ニーズおよびその接続形態より出発し、それ による脅威/対策を網羅するというアプローチをとったが、ここでは前節の結果を包含する とともに、現場経験・知識等の他情報を付加することにより、さらにその内容の網羅性を 高めた。 51 (2) リモートメンテナンスユーザ 運用ガイドラインにおいては、リモートメンテナンスユーザがシステムユーザの一形態 として包含されており(2.4.2リモートメンテナンスユーザ参照)、このためリモートメン テナンス時のセキュリティ対策が見えにくくなっている。これを陽に表現するためにリモ ートメンテナンス者向けの運用マニュアルを別構成とした。 (3) ウイルス ウイルス対策に関しては運用ガイドライン中には明記されていず、他基準(コンピュー タウイルス対策基準)への参照が記述されているのみであるが、やはり考慮すべき重要な 項目であるため、運用マニュアルテンプレートでは保守担当者(システム管理者)基準の 設備管理にウイルス対策の条文サブ見出しを追加し、そこに記述した。 (4) 操業者(オペレータ) 操業者(オペレータ) プラントの操業者(オペレータ)はシステムユーザに含まれるものとするが、特に保守 に携わる者との違いを明確にするために、オペレータに関する条文見出しを追加した。 さて、運用マニュアルテンプレートは、対象ユーザごとに以下の 3 種類、 1. システムユーザ向け運用マニュアルテンプレート 2. システム管理者向け運用マニュアルテンプレート 3. リモートメンテナンス者向け運用マニュアルテンプレート のテンプレートを掲載しているが、この運用マニュアルテンプレートが想定している対象 ユーザとその役割は、下表「表 7 運用マニュアルテンプレートのユーザ定義」に示すとお りである。 52 表7 運用マニュアルテンプレートのユーザ定義 ユーザ 役割 主要な業務内容 保守 担 当 者 オペレータ 操業者 制御論理の起動/停止 (制御機能の選択/入切) 設定値の変更 プラント状況の監視 保守担当者 (システムユーザ) プラント内部で保守作業を行なう者 制御論理/ユーザインターフ ェースの修正、開発 診断業務 保守担当者 (システム管理者) プラント内部で運用管理を行なう者 ユーザの登録、削除 運用データのバックアップ ログ情報の監視 プラント外部より保守作業を行なう者 制御論理/ユーザインターフ ェースの修正、開発 診断業務 リモートメンテナンス者 部外者 スタッフ(管理職、技術スタッフ、操業 スタッフ、開発者等)を含む非正規ユ ーザ 各々の運用マニュアルテンプレートは、何れも運用ガイドラインに準ずる構成にしてい る。すなわち、 「システムユーザ向け運用マニュアルテンプレート」と「リモートメンテナ ンス者向け運用マニュアルテンプレート」は運用ガイドラインの「制御系システムユーザ 基準」に、 「システム管理者向け運用マニュアルテンプレート」は「制御系システム管理者 基準」に沿う形式で構成している。これらの関係を図示すると「図 6 運用マニュアルテン プレートの対象ユーザ」のようになる。 53 運用マニュアルテンプレートの 対象ユーザ オペレータ 操業者 保守担当者 運用マニュアルテンプレート 運用ガイドライン システムユーザ向け 運用マニュアル 制御系システムユーザ基準 保守担当者(システムユーザ) プラント内部で 保守作業を行なう者 制御系システム管理者基準 保守担当者(システム管理者) システム管理者向け 運用マニュアル プラント内部で 運用管理を行なう者 ハードウェア・ソフトウェア供給者基準 ハードウェア・ソフトウェア 供給者基準 リモートメンテナンス者向け 運用マニュアル リモートメンテナンス者 リモートメンテナンス事業者基準 ネットワークサービス事業者基準 プラント外部より 保守作業を行なう者 部外者 スタッフ(管理職、技術スタッフ、 操業スタッフ、開発者等)を含む 非正規ユーザ 図6 運用マニュアルテンプレートの対象ユーザ また、運用マニュアルテンプレートにおける各条文は、運用ガイドライン各条文のより 具体的な運用方法を記述することを中心に作成している。このため、運用ガイドライン各 条文との対応関係が分かり易くなるように、対応する運用ガイドライン条文を併記してい る。条文番号併記のないものは、今回新たに追加したものである。 54 ここで、各テンプレートは以下の形式で記述している。 (**1) (1) パスワード及びユーザ ID 管理 (**2) 操業オペレータのコンピュータ端末操作〔追加項目〕 1)操業オペレータのコンピュータ端末操作 操業オペレータのコンピュータ端末操作〔追加項目〕 操業オペレータは、保守担当者(システムユーザ)と異なり、ユーザ ID 管理を行わない。 (**3) (**4) 1. 操業用画面を操作するオペレータは、ユーザ ID とパスワード を入力せずに現場端末の操業用画面を操作してよいこと。 2. …… 3. …… (**2) (**3) (**4) ユーザ ID の共用〔条文 〕 2)ユーザ の共用〔条文 1101〕 保守担当者(システムユーザ)は複数のユーザ間で、ユーザIDを共 用しないこと。 1. …… 2. …… (**1) (**2) (**3) (**4) サブタイトル:運用ガイドラインのサブタイトルをそのまま記述。 条文見出し:以下に続く条文が何について述べているのかが判るように、キー ワードを記述。また、対応する運用ガイドライン条文が存在する場合は、その 条文番号を〔条文 n1n2n3n4〕の形式で併記する。ここで、n1:基準の番号、n2: サブタイトルの番号、n3n4:条文番号を意味する。例えば、 〔条文 1101〕は、 「1. 制御系システム管理者基準」「(1)管理体制の整備」「①システムのセキュリテ ィ・ポリシーを確立し、周知・徹底すること」を指す。また、関連する運用ガ イドライン条文が存在しない場合は新たに追加した項目であり、この場合は〔追 加項目〕と記述している。 概要:以下に続く運用マニュアルの条文の概要を運用ガイドラインの条文に準 ずる形で記述。 運用マニュアル条文:より具体的な運用マニュアル例を、箇条書き形式で記述。 数が多く、さらにカテゴリ分けした方が見やすくなる場合は、〔キーワード〕の 形式でさらに分類している。 55 システムユーザ向け運用マニュアルテンプレート 2.3.2 表8 運用マニュアルテンプレート タイトル一覧(システムユーザ向け) № 条文見出し パスワード及びユーザ ID 管理 1)操業オペレータのコンピュータ端末操作〔追加項目〕 2)ユーザ ID の共用〔条文 1101〕 3)パスワードの設定〔条文 1102-1104〕 4)パスワードの変更〔条文 1105〕 5)パスワードの記憶〔条文 1106〕 6)パスワードの漏洩〔条文 1107-1108〕 7)ユーザ ID の停止〔条文 1109〕 8)部屋の鍵管理〔追加項目〕 情報管理 1)情報の暗号化〔条文 1201〕 2)情報の送信〔条文 1202〕 3)情報へのアクセス〔条文 1203〕 4)情報の保管〔条文 1204-1205〕 5)情報の廃棄〔条文 1206〕 6)バックアップ〔条文 1207〕 (3) コンピュータ管理 1)導入/更新/撤去〔条文 1301〕 2)特権の使用〔条文 1302-1303〕 3)サービス機能〔追加項目〕 4)履歴管理〔条文 1304〕 5)ログアウト〔条文 1305〕 (4) 事後対応 1)異常の発見〔条文 1401〕 2)不正アクセスの発見〔条文 1402〕 (5) 教育及び情報収集 1)教育〔条文 1501〕 2)情報収集〔条文 1502〕 (6) 監査 1)遵守義務〔条文 1601〕 (1) (2) (1) サブタイトル パスワード及びユーザ ID 管理 操業オペレータのコンピュータ端末操作〔追加項目〕 1)操業オペレータのコンピュータ端末操作 操業オペレータのコンピュータ端末操作 〔追加項目〕 操業オペレータは、保守担当者(システムユーザ)と異なり、ユーザ ID 管理を行わな い。 1. 操業用画面を操作するオペレータは、ユーザ ID とパスワードを入力せずに現場端 末の操業用画面を操作してよいこと。 2. 操業用画面を操作するオペレータは、操業用画面以外の画面を開いてはならないこ と。 3. コンピュータの立ち上げ時に、ユーザ ID 入力をしないまま、操業用画面が操作で きるように自動立ち上げプログラムを組み込んでいること。組み込めないコンピュ ータの場合は、オペレータ用共用 ID,共用パスワードを設定し、コンピュータへの 56 アクセス権限を最小限に設定してあるので、許容されている操作以外は行わないこ と。 ユーザ ID の共用〔条文 の共用〔条文 1101〕 〕 2)ユーザ 保守担当者(システムユーザ)は複数のユーザ間で、ユーザIDを共用しないこと。 1. ユーザ ID 及びパスワードは、複数の保守担当者(システムユーザ)で共用しない こと。特別にユーザ ID の共有を許可する場合は、担当保守作業員間以外は共通の ユーザ ID,パスワードを秘匿すること。 2. 他の保守担当者(システムユーザ)のユーザ ID 及びパスワードを使用しないこと。 パスワードの設定〔条文 〕 3)パスワードの設定 パスワードの設定〔条文 1102-1104〕 ユーザ ID には、パスワードを必ず設定すること。 1. 保守担当者(システムユーザ)が複数のユーザIDを持っている場合は、それぞれ 異なるパスワードを設定すること。 2. パスワードは6桁以上とし、数字、特殊文字、英字の小文字、大文字をそれぞれ1 文字以上含むこと。 3. パスワードには、以下を設定しないこと。①ブランク、②ユーザ ID、③社員番号な どの認識番号、④生年月日、⑤電話番号、⑥意味のある単語、略語、⑦”abc”,”123” などの推定容易な文字列 パスワードの変更〔条文 〕 4)パスワードの変更 パスワードの変更 〔条文 1105〕 パスワードは最低でも 1 ヶ月単位で変更すること。 パスワードの記憶〔条文 〕 5)パスワードの記憶 パスワードの記憶 〔条文 1106〕 保守担当者(システムユーザ)はパスワードを紙媒体等に記述しておかないこと。 1. 付箋紙の使用を禁止する。 2. バックアップのため紙に記録する場合は手書きとし、厳重な鍵のかかる強固なロッ カーに保管すること。 3. パスワードをファイル中に保存する場合は、暗号化しておくこと。バッチファイル、 スクリプトファイルなどにパスワードを平文で記述しておかないこと。 4. ログイン画面に「パスワードを保存」の機能がある場合でも保存せずに、毎回入力 すること。 パスワードの漏洩〔条文 〕 6)パスワードの漏洩 パスワードの漏洩〔条文 1107-1108〕 パスワードを他人に知られないようにすること。 1. 保守担当者(システムユーザ)はパスワードを入力する場合は、背後に他人がいる 場合は入力しないなど、他人に見られないようにすること。 2. 自分のユーザIDとパスワードを完全に秘密にしておかなければならないと言う責 任があることを認識すること。 3. 保守担当者(システムユーザ)は他のユーザのパスワードを知った場合は、速やか に保守担当者(システム管理者)に通知すること。 ユーザ ID の停止〔条文 の停止〔条文 1109〕 〕 7)ユーザ 使用しないユーザ ID が登録に残らないようにする義務があることを認識すること。 1. 保守担当者(システムユーザ)はユーザIDを利用しなくなった場合は、速やかに 保守担当者(システム管理者)に届け出ること。 2. 直営社員が退職する場合または、協力会社及び委託社員が解約された場合は、保守 担当者(システム管理者)へ届け出て、ユーザーIDを停止してもらうこと。 57 部屋の鍵管理〔追加項目〕 8)部屋の鍵管理 部屋の鍵管理〔追加項目〕 保守担当者(システムユーザ)はコンピュータの端末のある部屋を施錠できるようにし て、鍵の管理を行うこと。 (2) 情報管理 情報の暗号化〔条文 〕 1)情報の暗号化 情報の暗号化 〔条文 1201〕 保守担当者(システム管理者)より指定された重要な情報は、パスワードで保護された 暗号化ファイルにするなどして漏洩の対策を図ること。 1. パスワード・ファイルは、かならず暗号化ファイルとすること。平文ファイルは作 らないこと。 2. パスワードで保護された暗号化ツールを使用する場合、予め承認されたツールを用 いること。 情報の送信〔条文 〕 2)情報の送信 情報の送信 〔条文 1202〕 情報送信する場合は、アドレス・リストを前もって作成し、相手先をリストから選択す る方式を用い、かつ、宛先を十分確認すること。 情報へのアクセス〔条文 〕 3)情報へのアクセス 情報へのアクセス 〔条文 1203〕 保守担当者(システムユーザ)は、ファイルの属性に、内容の重要度に応じたアクセス 権限を必ず設定すること。また、アクセス権限のない装置、データをアクセスしないこと。 保守担当者(システムユーザ)は、重要な情報をパスワードにより保護すること。 情報の保管〔条文 〕 4)情報の保管 情報の保管 〔条文 1204-1205〕 保守担当者(システムユーザ)は、コンピュータ及び通信機器を維持、保守するために 必要なファイルを、盗用、改ざん、削除等されないように厳重に管理すること。 1. コンピュータ内になければならないファイル以外は、外部に保存すること。 2. 保守担当者(システムユーザ)は重要な情報を記録した紙、磁気媒体等を、金庫ま たは鍵のかかる強固なロッカーに保管すること。 情報の廃棄〔条文 〕 5)情報の廃棄 情報の廃棄 〔条文 1206〕 保守担当者(システムユーザ)は重要な情報を記録した紙、磁気媒体等を廃棄する場合 は、内容が漏えいしないように、紙はシュレッダまたは焼却処分し、磁気媒体は破壊また は物理フォーマットすること。 バックアップ〔条文 〕 6)バックアップ バックアップ 〔条文 1207〕 保守担当者(システムユーザ)はファイルのバックアップを随時行い、その磁気媒体等 を別々の2カ所の金庫、または鍵のかかる強固なロッカーに保管すること。 (3) コンピュータ管理 導入/更新/撤去〔条文 〕 1)導入/更新/撤去 導入/更新/撤去〔条文 1301〕 コンピュータ、通信機器及びソフトウェアの導入、更新、撤去等を行う場合は、保守担 当者(システム管理者)の指導の下で行うこと。 特権の使用〔条文 〕 2)特権の使用 特権の使用 〔条文 1302-1303〕 コンピュータを管理するために与えられた最上位の権限(以下「特権」とする)による コンピュータの利用は、必要最小限とし、使用するコンピュータ、場所、期間等を限定す ること。 58 サービス機能〔追加項目〕 3)サービス機能 サービス機能〔追加項目〕 制御系情報 LAN で使用するポートは、システムで割り付けた socket interface 用と telnet,ftp などの保守担当者(システム管理者)が指定したサービス機能のみとする。他 はデーモンの設定で使用不可になっているので、保守担当者(システムユーザ)はサービ ス機能を追加しないこと。 履歴管理〔条文 〕 4)履歴管理 履歴管理 〔条文 1304〕 保守担当者(システムユーザ)は、コンピュータが無断で利用された形跡がないか、ロ グイン時に最終ログイン時刻を確認すること。 ログアウト〔条文 〕 5)ログアウト ログアウト〔条文 1305〕 コンピュータを入力待ちの状態で放置しないこと。 1. 保守担当者(システムユーザ)は、わずかな時間の用事でも端末を離れるときには、 パスワード付きスクリーンセーバを使用するなど部外者に操作されないようにする こと。未入力設定時間は 15 分程度とすること。 2. 保守担当者(システムユーザ)は、作業完了時に必ずログアウトすること。 (4) 事後対応 異常の発見〔条文 〕 1)異常の発見 異常の発見 〔条文 1401〕 システムの異常を発見した場合は、速やかに保守担当者(システム管理者)に連絡し、 指示に従うこと。 不正アクセスの発見〔条文 〕 2)不正アクセスの発見 不正アクセスの発見 〔条文 1402〕 不正アクセスを発見した場合は、速やかに保守担当者(システム管理者)に連絡し、指示 に従うこと。 (5) 教育及び情報収集 教育〔条文 〕 1)教育 教育 〔条文 1501〕 保守担当者(システム管理者)からセキュリティ対策に関する教育を随時受けること。 情報収集〔条文 〕 2)情報収集 情報収集 〔条文 1502〕 保守担当者(システムユーザ)は、担当するシステムのセキュリティ対策に関する情報 を入手した場合は、保守担当者(システム管理者)に随時提供すること。 (6) 監査 遵守義務〔条文 〕 1)遵守義務 遵守義務 〔条文 1601〕 保守担当者(システムユーザ)は、システム管理者の指示に従うこと。 59 2.3.3 システム管理者向け運用マニュアルテンプレート 表9 運用マニュアルテンプレート タイトル一覧(システム管理者向け) № (1) (2) (3) サブタイトル 条文見出し 管理体制の整備 1)セキュリティ・ポリシーの確立〔条文 2101〕 2)管理体制の確立〔条文 2102〕 3)管理手順の確立〔条文 2102〕 4)緊急時の連絡体制〔条文 2103〕 5)緊急時の復旧手順〔条文 2103〕 6)守秘義務〔条文 2104〕 7)システム管理者特権の制限〔条文 2105〕 8)システム管理者の体制〔条文 2106〕 9)システム管理者資格の停止〔条文 2107〕 制御系システムユーザ管 理 1)ログインの試行回数〔追加項目〕 2)ログインバナーの内容〔追加項目〕 3)オペコンへの自動ログイン〔追加項目〕 4)オペレータによるアプリケーション起動権限の制限〔追加項目〕 5)オペレータによるデータアクセス権限の制限〔追加項目〕 6)一般ユーザ権限の制限〔条文 2201〕 7)リモートメンテナンスユーザ権限の制限〔条文 2202〕 8)ユーザ ID の発行〔条文 2203〕 9)ユーザ ID の命名〔条文 2203〕 10)保守担当者(システムユーザ)のアクセス権限の制限〔条文 2203〕 11)ユーザ ID/パスワードによる認証〔条文 2203〕 12)遊休ユーザ ID の停止〔条文 2204〕 13)ユーザ ID の抹消〔条文 2205〕 14)保守担当者(システム管理者)のパスワードの生成〔追加項目〕 15)パスワードの伝達〔条文 2206〕 16)パスワードの開示〔条文 2206〕 17)パスワードの変更〔条文 2207〕 18)パスワードの漏洩〔条文 2208〕 19)パスワードの記憶〔条文 2208〕 20)一般ユーザ特権の制限〔条文 2209〕 21)一般ユーザ特権の停止〔条文 2210〕 情報管理 1)管理責任の明確化〔追加項目〕 2)情報系LANの物理的保護〔条文 2301〕 3)情報系LANの論理的保護〔条文 2302〕 4)情報系LANへの不正アクセスの検出〔条文 2303〕 5)情報系LANへの不正アクセス経路の遮断〔条文 2304〕 6)情報系LANへのアクセス情報の管理〔条文 2305〕 7)重要な情報へのアクセス制御〔条文 2306〕 8)重要な情報の分散化〔条文 2307〕 9)重要な情報の保管〔条文 2308〕 10)重要な情報の廃棄〔条文 2309〕 11)バックアップ〔条文 2310〕 60 № 条文見出し 設備管理 1)管理責任の明確化〔条文 2401〕 2)機器の管理〔条文 2402〕 3)移動可能な機器の管理〔条文 2403〕 4)システム構成の把握〔条文 2404〕 5)セキュリティ機能のポリシーへの適合〔条文 2405〕 6)セキュリティ設定のポリシーへの適合〔条文 2406〕 7)開発元の信頼度〔条文 2407〕 8)セキュリティ上の欠陥の防止策〔条文 2408〕 9)外部ネットワークからのアクセス制御〔条文 2409〕 10)フェール・セーフ対策〔条文 2410〕 11)システム構成変更時のセキュリティ確認〔条文 2411〕 12)外部ネットワークからのアクセス権限の制限〔条文 2412〕 13)外部ネットワークからのシステム管理〔条文 2413〕 14)遊休機器の切り離し〔条文 2414〕 15)設備処分時の情報管理〔条文 2415〕 16)ファイルへの不正アクセスの監視〔条文 2416〕 17)パスワード強化機能の利用〔条文 2417〕 18)ネットワーク負荷の監視〔条文 2418〕 19)ネットワーク構成の分離〔条文 2419〕 履歴管理 1)履歴の記録〔条文 2501〕 2)履歴の管理〔条文 2502〕 3)履歴の分析〔条文 2503〕 4)履歴の保管〔条文 2504〕 事後対応 1)異常原因の追求〔条文 2601〕 2)不正アクセス状況の把握〔条文 2602〕 3)不正アクセス機器の切り離し〔条文 2603〕 4)不正アクセス被害の拡大防止〔条文 2604〕 5)不正アクセス被害からの復旧〔条文 2605〕 6)不正アクセス再発の防止〔条文 2606〕 7)不正アクセス被害の届出〔条文 2607〕 (7) 情報収集及び教育 1)セキュリティ対策情報の収集〔条文 2701〕 2)セキュリティ対策情報の分析〔条文 2702〕 3)セキュリティ対策情報の提供〔条文 2703〕 4)セキュリティ教育の実施〔条文 2704〕 (8) 監査 1)システム監査〔条文 2801〕 (4) (5) (6) (1) サブタイトル 管理体制の整備 セキュリティ・ポリシーの確立 ・ポリシーの確立〔 〕 1)セキュリティ セキュリティ ・ポリシーの確立 〔条文 2101〕 制御系システムのセキュリティ・ポリシーを確立し、周知・徹底すること。 1. セキュリティ・ポリシーには、対象とする制御系システムの全ての機器および情報 に対する利用制限が詳細に記述されていること。 2. 定期的にセキュリティに関するリスク評価を行ない、設備の追加、更新、撤去の結 果を、セキュリティ・ポリシーに反映すること。 3. セキュリティポリシーは、作業標準より優先して適用されること。作業標準は、セ キュリティ・ポリシーの範囲内に納まったものでなければならない。 61 4. 保守担当者(システム管理者およびシステムユーザ)は、規定されたセキュリティ・ ポリシーを遵守すること。またその旨を書面にて同意すること。 管理体制の確立〔 〕 2)管理体制の確立 管理体制の確立〔条文 2102〕 制御系システムのセキュリティ上の管理体制を確立し、周知・徹底すること。 1. 制御系システムのセキュリティを確保するために十分な人員を確保し、配置するこ と。 2. 保守担当者(システム管理者)は制御系システムにて使用している機器およびソフ トウェアに関する専門的な技術知識を有している者を、各分野ごと最低 2 名は配置 すること。 管理手順の確立〔 〕 3)管理手順の確立 管理手順の確立 〔条文 2102〕 制御系システムの運用マニュアルを確立し、周知・徹底すること。 1. 保守担当者(システム管理者)は、保守担当者(システムユーザ)が実施する業務 が円滑にかつ支障なく行なえるように、運用マニュアルを定めること。 2. 保守担当者(システム管理者およびシステムユーザ)は、規定された運用マニュア ルを遵守すること。またその旨を書面にて同意すること。 緊急時の連絡体制〔 〕 4)緊急時の連絡体制 緊急時の連絡体制 〔条文 2103〕 不正アクセスによる被害復旧のための連絡体制を確立し、周知・徹底すること。 1. 緊急時の連絡体制に関して定期的にテストを実施すること。 2. 休暇等により不在時の緊急連絡先を必ず都度申告しておくこと。また、緊急呼び出 し時は速やかに集結すること。 3. 重要な技術的作業が実施できる保守担当者の要員を、各分野ごとに最低 2 名は用意 しておくこと。要員が不足する場合は、計画的に教育を行なうこと。 緊急時の復旧手順〔 〕 5)緊急時の復旧手順 緊急時の復旧手順〔条文 2103〕 不正アクセスによる被害復旧のための手順を確立し、周知・徹底すること。 1. 制御系システムの情報資源の重要度を評価する基準を策定し、この評価基準に基づ き全ての情報資源の評価を行ない、復旧における優先順位を決定すること。 2. システムを構成している全ての機器およびソフトウェアの一覧表を作成し、変更の 都度改訂すること。 3. 不正アクセスによる被害を想定した復旧のテスト計画を作成し、定期的に実施する こと。また、テスト実施後は報告書を作成し、不備が発見された場合は改善するこ と。 守秘義務〔 〕 6)守秘義務 守秘義務 〔条文 2104〕 保守担当者(システム管理者)は、システム管理の業務上知り得た情報の秘密を守るこ と。 システム管理者特権の制限〔 〕 7)システム管理者特権の制限 システム管理者特権の制限〔条文 2105〕 保守担当者(システム管理者)が所有する特権ユーザ ID の発行数および特権ユーザと しての権限は、業務を遂行する上で必要最小限にすること。 1. 保守担当者(システム管理者)は、システム管理業務用ユーザ ID と一般保守業務 用ユーザ ID の 2 種類のユーザ ID を保有し、作業内容に応じて使い分けること。 2. 保守担当者(システム管理者)が特権ユーザ ID を使用して作業を行なう場合は、 当該作業内容およびそのログを記録し、報告書を作成すること。 62 3. 保守担当者(システム管理者)は、ユーザのアクセス権を任意に変更できる権限を 有するものとし、ユーザの不正行為を発見した場合は、直ちに当該ユーザのアクセ ス権を制限すること。 4. 保守担当者(システム管理者)は、制御系システムにとって有害であると判断され るサービス、データを警告なしで削除できる権利を有するものとし、制御系システ ムのセキュリティ上の安全性に問題がある場合は、直ちに当該サービス、データを 削除すること。 システム管理者の体制〔 〕 8)システム管理者の体制 システム管理者の体制 〔条文 2106〕 保守担当者(システム管理者)は2人以上かつ必要最小限の管理者で、その業務は定期 的に交代すること。 1. 不測の事態に備え、保守担当者(システム管理者)の代替者を任命し、訓練してお くこと。 システム管理者資格の停止〔 〕 9)システム管理者資格の停止 システム管理者資格の停止 〔条文 2107〕 保守担当者(システム管理者)の資格を喪失した者の権限は、速やかに停止すること。 (2) 制御系システムユーザ管理 ログインの試行回数〔追加項目〕 1)ログインの試行回数 ログインの試行回数 〔追加項目〕 ログインの試行回数を制限すること。 1. ユーザ ID またはパスワードの誤入力によるユーザへの再問い合わせは最大 2 回の みとし、ログイン試行回数が 3 回を超えた場合は、再問い合わせを行なわないこと。 2. 保守担当者(システムユーザ)がユーザ ID またはパスワードの誤入力でログイン に失敗した時は、失敗した旨以上の情報は開示しないこと。 3. ダイヤルアップ回線によるリモートアクセスにおいて、ログイン試行回数が 3 回を 超えた場合は、回線の接続を終了すること。また、3分間は次の試みができないよ うにすること。 ログインバナーの内容〔追加項目〕 2)ログインバナーの内容 ログインバナーの内容 〔追加項目〕 ログインバナーの表示を制限すること。 1. ユーザ ID およびパスワードによる識別と認証が確立するまで、ログインバナーを 表示しないこと。 2. ログインバナーには、当該ユーザが最後にログアウトした日時を表示すること。 オペコンへの自動ログイン〔追加項目〕 3)オペコンへの自動ログイン オペコンへの自動ログイン 〔追加項目〕 オペコン(オペレータ用コンソール)は自動ログインとし、オペレータに対してユーザ ID/パスワードの入力を要求しないこと。 オペレータによるアプリケーション起動権限の制限〔追加項目〕 4)オペレータによるアプリケーション起動権限の制限 オペレータによるアプリケーション起動権限の制限 〔追加項目〕 オペレータが操作するアプリケーションプログラムを、基本的には自動起動にすること。 1. オペコン(オペレータ用コンソール)のアプリケーションプログラムの起動は自動 起動とし、オペレータに陽に起動させないこと。 2. 本番系プロコンのアプリケーションプログラムの起動は自動起動とし、オペレータ に陽に起動させないこと。 63 オペレータによるデータアクセス権限の制限〔追加項目〕 5)オペレータによるデータアクセス権限の制限 オペレータによるデータアクセス権限の制限〔追加項目〕 オペレータがデータを更新する場合は、予め定められたアプリケーションを使用する以 外は更新できないように設計すること。 一般ユーザ権限の制限〔 〕 6)一般ユーザ権限の制限 一般ユーザ権限の制限 〔条文 2201〕 保守担当者(システムユーザ)の登録は、必要な機器に限定し、その権限を必要最小限 に設定すること。 リモートメンテナンスユーザ権限の制限〔 〕 7)リモートメンテナンスユーザ権限の制限 リモートメンテナンスユーザ権限の制限〔条文 2202〕 リモートメンテナンス者が所有するユーザ ID の発行数および権限は、業務を遂行する 上で必要最小限にすること。 1. リモートメンテナンス者によるPI/Oへのアクセスは禁止すること。プロセス入 出力(特に出力)に関するコマンドは、リモートからは実行されないようにする。 2. リモートメンテナンス者による保守担当者(システム管理者)権限の利用は禁止す ること。 3. プラント外部から制御系システムにアクセスするリモートメンテナンス者に対する 認証には、コールバック機能、OTP(One Time Password)やRADIUS等に よる認証機構を利用すること。 4. ログインに成功したリモートメンテナンス者は、そのときログインしている端末以 外からはログインできないようにすること。 ユーザ ID の発行〔 〕 8)ユーザ の発行〔条文 2203〕 全ての保守担当者(システムユーザ)に固有のユーザ ID とパスワードを発行すること。 1. ユーザ ID はユーザ個々を識別するものとし、システム管理者、メール管理者等の 役割単位でのユーザ ID、あるいは複数人単位でのグループ ID を設定しないこと。 2. 過去に発行したユーザ ID を再利用しないこと。 ユーザ ID の命名〔 〕 9)ユーザ の命名〔条文 2203〕 制御系システムを構成するサブシステムすべてに対して、ユーザが同一のユーザ ID を 利用できるように命名すること。ユーザ ID の一本化は、管理業務の効率化につながる。 命名方法の詳細については、別途規定する命名規約に従うこと。 保守担当者(システムユーザ)のアクセス権限の制限 (システムユーザ)のアクセス権限の制限〔 〕 10)保守担当者 保守担当者 (システムユーザ)のアクセス権限の制限 〔条文 2203〕 全ての保守担当者(システムユーザ)のアクセス権限を制限すること。 1. 保守担当者(システムユーザ)へのユーザ ID 発行およびアクセス権の付与は、保 守担当者(システム管理者)の権限とし、保守担当者(システム管理者)はその行 為に対して責任を負うこと。 2. 全ての情報に対するアクセス権のデフォルト設定は、参照、更新、削除全て不可に 設定し、各ユーザには運用に必要なデータのみにアクセス権を付与していくこと。 3. 各ユーザに付与したアクセス権は 1 年ごとに見直しを行なうこと。 4. 保守担当者(システムユーザ)に、システム管理用プログラム、システム管理用デ ータに対するアクセス権を付与しないこと。 ユーザ ID/パスワードによる認証 パスワードによる認証〔 〕 11)ユーザ パスワードによる認証〔条文 2203〕 全てのユーザは、システムの資源にアクセスする前に、ユーザ ID/パスワードによる識 別と認証を受けるものとし、識別と認証を受けない特殊ユーザは設けないこと。ただし、 オペコンにログインするオペレータは例外とする。 64 遊休ユーザ ID の停止〔 の停止〔条文 2204〕 〕 12)遊休ユーザ 保守担当者(システム管理者)は、3ヶ月以上利用していないユーザIDを速やかに停 止すること。 ユーザ ID の抹消〔 〕 13)ユーザ の抹消〔条文 2205〕 ユーザ ID の廃止等の届け出があった場合は、速やかに登録を抹消すること。 1. 登録ユーザが異動、退職等でそのユーザ ID を必要としなくなる場合は、直ちに当 該者のユーザ ID を停止し、全てのアクセス権を抹消すること。 保守担当者(システム管理者)のパスワードの生成 (システム管理者)のパスワードの生成〔追 〔追加項目〕 14)保守担当者 保守担当者 (システム管理者)のパスワードの生成 〔追 加項目〕 保守担当者(システム管理者)のパスワードは、複雑にすること。 1. 英字の大文字小文字、数字、特殊文字をそれぞれ1文字以上組み合わせた、8文字 以上の文字列とすること。 パスワードの伝達〔 〕 15)パスワードの伝達 パスワードの伝達 〔条文 2206〕 保守担当者(システム管理者)は、パスワードを当該制御系システムユーザ以外に知ら せないこと。 1. システムで自動生成するパスワードを使用する場合、生成後直ちに当該ユーザに口 頭で伝達するものとし、複数の生成パスワードをいかなる形式でも記録、蓄積、伝 達しないこと。 2. 制御系システムユーザへのパスワードの伝達を電話で行なってはならない、必ずユ ーザと相対して口頭で行なうこと。 パスワードの開示〔 〕 16)パスワードの開示 パスワードの開示 〔条文 2206〕 保守担当者(システムユーザ)がパスワードを忘れた時など、パスワードの開示が必要 な場合は、保守担当者(システム管理者)は、本人であることを識別できる最低 2 つの証 拠の提示を求めること。 パスワードの変更〔 〕 17)パスワードの変更 パスワードの変更 〔条文 2207〕 保守担当者(システム管理者)は、パスワードのチェックを随時行い、安易なパスワー ドは、速やかに変更させること。 1. ハードウェアまたはソフトウェア供給者が供給するデフォルトのパスワードは、使 用する前に必ず変更すること。 2. 初期パスワードとして、保守担当者(システム管理者)が発行したパスワードを使 用する場合、当該ユーザに対して、最初のログイン時にシステム的にパスワード変 更を強制すること。 3. パスワードは最低でも 1 ヶ月単位で変更することとし、これを超える期間パスワー ド変更が無い場合は、システム的にパスワードの変更を強制すること。 パスワードの漏洩〔 〕 18)パスワードの漏洩 パスワードの漏洩 〔条文 2208〕 パスワードが当該制御系システムユーザ以外に知られた場合またはその疑いのある場合 は、保守担当者(システム管理者)はパスワードを速やかに変更させること。 1. 固定パスワードを使用する場合、このパスワードが漏洩した可能性が検出されたと きは、直ちに全てのパスワードを変更し、全ての制御系システムユーザに対し、パ スワードの変更を強要すること。 2. 必要に応じて、セキュリティに関連した全てのソフトウェアを再インストールする こと。 パスワードの記憶〔 〕 19)パスワードの記憶 パスワードの記憶 〔条文 2208〕 パスワードを記憶するときは、漏洩を防ぐための対策を講じること。 65 1. 固定パスワードを使用する場合、判読可能な形式でコンピュータ・システム内部に 保持しないこと。 2. パスワードを記憶媒体に保持する場合、あるいはネットワークで伝送する場合は必 ず暗号化すること。 3. パスワードを紙媒体に保持する場合、施錠できる場所に保管すること。 4. パスワードをプログラム中に固定的にコーディングしないこと。 一般ユーザ特権の制限〔 〕 20)一般ユーザ特権の制限 一般ユーザ特権の制限〔条文 2209〕 保守担当者(システム管理者)は、保守担当者(システムユーザ)に特別のアクセス権 を付与する場合は、業務を遂行する上で必要最小限にすること。 1. 保守担当者(システム管理者)は、特別のアクセス権を付与する場合は、当該保守 担当者(システムユーザ)の技術的能力等を考慮すること。 2. 保守担当者(システムユーザ)に対して特別のアクセス権を付与する場合は、これ より低い権限のユーザ ID も発行すること。 3. 保守担当者(システムユーザ)に対して特別のアクセス権を付与する場合は、書面 にて申請・承認された者以外に対して付与しないこと。 4. 社外のベンダに対して、ダイヤルアップ・メンテナンスに必要なアクセス権を与え る場合は、特定の日時を指定し、作業に必要な時間のみそのアクセス権を付与する こと。 5. 保守担当者(システムユーザ)が重要な情報にアクセスする場合は、事前に作業指 示書を発行すること。また、その作業指示書にセキュリティ上の遵守事項を明記し ておくこと。 一般ユーザ特権の停止〔 〕 21)一般ユーザ特権の停止 一般ユーザ特権の停止 〔条文 2210〕 必要としなくなった保守担当者(システムユーザ)の特権は、速やかに停止すること。 (3) 情報管理 管理責任の明確化〔追加項目〕 1)管理責任の明確化 管理責任の明確化 〔追加項目〕 重要な情報における管理責任を明確にすること。 1. 制御系システムを構成する各サブシステムごとに、必ず管理責任者を割り当てるこ と。管理責任者は、保守担当者(システム管理者)の中から選ばれることとし、そ のシステムのセキュリティ維持のために必要な処置を講じなければいけない。 2. プラントの制御ロジックを実運用に適用する場合は、事前にそのセキュリティ面に おける安全性に対する責任の所在を明記しておくこと。 3. 制御系システムの開発や保守を外部請負業者に委託する場合でも、システムのセキ ュリティ維持のために必要な作業は必ず自社にて行うこと。 情報系LANの物理的保護〔 〕 2)情報系LANの物理的保護 情報系LANの物理的保護 〔条文 2301〕 制御系システムと外部を繋ぐ情報系LAN上の情報は、漏えいを防止する仕組みを確立 すること。 1. ケーブルに対して、光ケーブル化したり、金属パイプによる配管を施すこと。 2. 部外者が、ハブやルータを、直接触れることができないように設置すること。 66 情報系LANの論理的保護〔 〕 3)情報系LANの論理的保護 情報系LANの論理的保護〔条文 2302〕 情報系LAN上で情報の盗聴及び漏えいが行われても、内容が解析できない機密保持機 能を用いること。 1. 情報系LAN上の情報を暗号化すること。 情報系LANへの不正アクセスの検出〔 〕 4)情報系LANへの不正アクセスの検出 情報系LANへの不正アクセスの検出〔条文 2303〕 情報系LAN上で情報の改ざんが行われても、検出できるような改ざん検知機能を用い ること。 1. 情報系LAN上に、暗号化メールによる電子的署名、ファイルの電子的署名などに よる電子的署名技術を用いた改ざん検出機構を構築すること。 情報系LANへの不正アクセス経路の遮断〔 〕 5)情報系LANへの不正アクセス経路の遮断 情報系LANへの不正アクセス経路の遮断 〔条文 2304〕 情報系LAN上で情報の改ざんが検出された場合に、プラント運転に不要なネットワー クと切り離す機能を設けること。 1. 情報系LANに、ルータなどのアクセス制御装置を設置すること。 情報系LANへのアクセス情報の管理〔 〕 6)情報系LANへのアクセス情報の管理 情報系LANへのアクセス情報の管理 〔条文 2305〕 情報系LANを介した外部からのアクセス情報を管理する機能を設けること。 1. 情報系LAN上にルータを設置し、外部からのアクセス状況を検出すること。 重要な情報へのアクセス制御〔 〕 7)重要な情報へのアクセス制御 重要な情報へのアクセス制御〔条文 2306〕 重要な情報(プラントの制御ロジック、ネットワークアドレス、システム構成など)につ いては、削除、改ざん、不正取得等の被害が少なくなるように、アクセス情報を管理する こと。 1. 重要な情報に対して、アクセス制御を行うこと。 2. 重要な情報に対して、不正なアクセスが行われていないかチェックすること。 3. 重要な情報に対して、外部のシステムからアクセスする場合は、必ず管理責任者の 承認を得ること。 4. 特にネットワークに接続されたコンピュータ上に重要な情報を置く場合は、必ずセ キュリティ上のリスク分析を行うこと。 重要な情報の分散化〔 〕 8)重要な情報の分散化 重要な情報の分散化〔条文 2307〕 重要な情報は、削除、改ざん、不正取得等による被害が少なくなるように分散化するこ と。 1. 本番系のデータと同じデータを、バックアップ系に蓄積すること。 重要な情報の保管〔 〕 9)重要な情報の保管 重要な情報の保管〔条文 2308〕 重要な情報を記録した紙、磁気媒体等は、安全な場所に保管すること。 1. 第三者が容易にアクセスできる場所に放置しないこと。 2. 印刷結果を、プリンタに放置しないこと。 3. 重要な印刷結果は、施錠できる場所に保管すること。 4. 不要な印刷結果は、速やかに廃棄すること。 5. 光磁気媒体などは、必要に応じて暗号化すること。 6. 重要な情報は、必ず物理的なセキュリティ対策か暗号化によるセキュリティ対策を 実施して保管すること。 7. 重要な情報を記録した紙、磁気媒体等を保管した場所へのアクセスは、これらの情 報を業務上必要とする者だけに限定すること。 67 8. バックアップメディアをプラント敷地の外に保管する場合は、必ず暗号化を施すこ と。 重要な情報の廃棄〔 〕 10)重要な情報の廃棄 重要な情報の廃棄〔条文 2309〕 重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏えいしない方法で行 うこと。 1. 消磁装置などにより、内容を消去すること。 2. 裁断したり、焼却したりするなど、媒体を物理的に破壊すること。 3. 0 を書き込んだり、フォーマットしたりするなど、媒体を論理的に破壊すること。 4. 光磁気媒体などは、必要に応じて暗号化すること。 バックアップ〔 〕 11)バックアップ バックアップ 〔条文 2310〕 ファイルのバックアップを随時行い、その磁気媒体等を安全な方法で保管すること。 〔バックアップ方針〕 1. 別途定められた方案にしたがって、重要な情報についての定期バックアップを行う こと。この方案には、フルバックアップ、差分バックアップの対象、実施時間、周 期が明記されている。 〔バックアップ対象〕 1. プラント最高責任者は、災害時に制御系システムを復旧させるためにはどのような 情報が必要であるか、常に把握しておくこと。制御系システムの運用に必要不可欠 な情報のリストを作成し、システムの変更に合わせて更新しなければならない。 2. バックアップ媒体には、データ本体だけでなく、データの特徴およびデータの最終 更新日に関する情報も納めておくこと。 〔バックアップ媒体〕 1. 重要な情報のバックアップ媒体には、別途定められた種類、フォーマット形式、容 量のものを使うこと。バックアップ媒体をプラント内で統一しておくことは、デー タ復旧作業の効率化につながる。 2. 長期間、保管されている重要な情報のバックアップ媒体については、バックアップ データが復旧可能かどうか定期的に検査すること。バックアップ媒体の劣化状態の ほかに、バックアップデータを取り出す手順や管理するソフトウェアについても検 査しなければならない。 〔バックアップ周期〕 1. 重要な情報については、必ず定期的(最低月一回)にバックアップを作成すること。 2. 盗難による情報漏洩に備えて、携帯端末上の重要な情報については、定期的に行わ れるバックアップ以外に、バックアップを作成すること。 〔バックアップデータの保管場所〕 1. 重要な情報のバックアップ媒体は、制御系システムから離れた場所に保管すること。 保管場所は、物理的なセキュリティ対策が施されていなければならない。 2. 事故や災害時に備えて、制御系システムの重要な情報は、最低2個以上の複製を用 意し、離れた場所に保管すること。 〔バックアップデータの保管期間〕 1. 重要な情報のバックアップ媒体は、別途定められた方案にしたがって、一定期間保 管されること。保管期間は、情報の性質、法的拘束などによって決められる。 68 2. 重要な情報のバックアップ媒体は、別途定められた方案にしたがって、情報の有効 性を定期的に検証し、不要な情報については破棄すること。バックアップ媒体は必 要最小限に抑えること。 〔バックアップデータの利用〕 1. 重要な情報について保守作業を行う場合は、最低1個以上の最新バックアップを作 成すること。 2. バックアップ媒体からのデータ復旧作業を行う場合は、必ずバックアップ媒体を一 旦コピーしてから利用すること。 (4) 設備管理 管理責任の明確化〔 〕 1)管理責任の明確化 管理責任の明確化 〔条文 2401〕 すべての機器及びソフトウェアの管理者を明確にすること。 1. 全ての共有される情報の所有権および責任者を明確に記述すること。 2. 制御系システムにおける計算機、通信機器を一台一台識別できるように管理するこ と。例えば、バーコードを利用して効率的に管理するとよい。 機器の管理〔 〕 2)機器の管理 機器の管理 〔条文 2402〕 重要な情報が格納されているかまたは重要な処理を行う機器は、許可を与えられた者以 外立ち入れない場所に設置し、厳重に管理すること。 〔アクセス制御〕 1. 重要な情報が保管されている場所に対しては、物理的なアクセス制御(警備員の配 備、施錠、認証システムなど)を施すこと。場所には、運転室、計算機室、管理セン ターなどのあらゆる場所が含まれる。 2. 端末(オペコン、エンコン、EWSなど)や通信機器には、物理的なアクセス制御(警 備員の配備、施錠、認証システムなど)を施すこと。 3. プラント内では、すべての従業員は社員証を着用し、各自の身分を明示すること。 4. 社員証を忘れた従業員は、身分を証明するものを提示して仮入構証を必ず入手する こと。 5. プラント構内へ入ることを許された従業員の一覧表を作成し、常に最新の内容に保 つこと。 6. プラントの訪問者は、必ず記帳し、入構許可証を入手すること。また、必ず入構が 認められた従業員に同伴してもらうこと。 7. 非直営社員が重要な情報が保管されている場所に立ち入る場合は、その行動を監視 すること。 8. 重要な情報が保管されている場所で、従業員に同伴されていない訪問者を見かけた 場合は、訪問者の目的を確認し、訪問者を守衛室まで連れて行くこと。 〔非通知対策〕 1. 制御系システムの計算機室、通信設備、保守部門などの場所を示す標識を、公の場 に設置しないこと。 〔付帯設備〕 1. 制御系システムの計算機室には、必ず防火設備を設置すること。例えば、火災探知 器、消火装置、防火壁などを設ける。 69 移動可能な機器の管理〔 〕 3)移動可能な機器の管理 移動可能な機器の管理〔条文 2403〕 移動可能な機器は、盗難防止策を行うこと。 1. 制御系システムの構成機器を、放置しないこと。 2. 制御系システムの構成機器を、保守部門の許可なしで移動しないこと。 システム構成の把握〔 〕 4)システム構成の把握 システム構成の把握〔条文 2404〕 システム構成を常に把握しておくこと。 1. 制御系システムにおける情報資産について明細を作成し、常に最新の情報を把握し ていること。 2. 新しくソフトウェアを開発したり機器を設置したりする場合は、事前にそのシステ ムを文書化すること。 3. 制御系システム上で動作するプログラムは、開発環境から実運用環境へ移行する前 に、ユーザ教育用資料と操作説明書がきちんと用意されていること。 4. 制御系システム上で動作するプログラムを社外のベンダから調達する場合は、その プログラムの主要機能について記述した報告書を用意すること。 5. 文書化されていない機能を、制御系システムに実装しないこと。 6. 制御系システムに重要な変更が発生した場合は、システムに関する情報を記述した 文書を、必ず1週間以内に修正すること。 セキュリティ機能のポリシーへの適合〔 〕 5)セキュリティ機能のポリシーへの適合 セキュリティ機能のポリシーへの適合 〔条文 2405〕 機器及びソフトウェアを導入する場合は、そのセキュリティ機能がセキュリティ・ポリ シーに適合していることをあらかじめ確認すること。 1. 制御系システムに新しくソフトウェアや機器を導入する場合は、設計・開発段階か ら導入段階に至るまで、そのソフトウェアが制御系システムのセキュリティを脆弱 にしないかどうか調査し、そのセキュリティ要件を考慮すること。また、利便性や 操作性、保守性、費用対効果などセキュリティ以外の指標についても検討する。 2. 制御系システムの構成機器は、本来の目的とは異なった用途で利用された場合に、 自動的に機能しなくなるように設計されていること。例えばコントローラの制御ロ ジックの場合、プロコンから誤った制御指示を受けたときに、異常通知を返して処 理を終了するように設計する。 3. 制御系システムに外部システムを接続する場合、外部システムが制御系システムの セキュリティ要件を満足するか調査すること。 セキュリティ設定のポリシーへの適合〔 〕 6)セキュリティ設定のポリシーへの適合 セキュリティ設定のポリシーへの適合〔条文 2406〕 機器及びソフトウェアの設定情報がシステムに適合していることを随時確認すること。 1. 制御系システムのネットワークに接続される機器(リモートアクセス用端末も含む) は、必ず制御系システムのセキュリティポリシーを遵守するように、機器構成を設 定すること。 開発元の信頼度〔 〕 7)開発元の信頼度 開発元の信頼度 〔条文 2407〕 供給者の連絡先及び更新情報が明確な機器及びソフトウェアを利用すること。 セキュリティ上の欠陥の防止策〔 〕 8)セキュリティ上の欠陥の防止策 セキュリティ上の欠陥の防止策 〔条文 2408〕 セキュリティ上の問題点が解決済みの機器及びソフトウェアを利用すること。 〔外部ソフトにおけるウイルス対策〕 70 1. プラント外部のシステムから、制御系システム内にソフトウェアを直接ダウンロー ドしないこと。ダウンロードしたい場合は、制御系システム外部のマシンに一旦ダ ウンロードして、ウィルス検査を行ってから利用する。 2. 制御系システムのネットワークに接続されたコンピュータに、情報システム部の許 可なしにプラント外部から持ち込んだソフトウェアをインストールしないこと。 3. プラント外部から持ち込んだソフトウェアは、必ずウィルス検査を行うこと。 〔記憶媒体におけるウイルス対策〕 1. 制御系システム上で記憶媒体を利用する場合は、ウィルスなどが含まれていないか どうか検査すること。 2. プラント外部から持ち込んだ情報媒体(フロッピーディスク、テープ、CD-ROM な ど)は、必ずウィルス検査を行うこと。 〔ウイルス検査〕 1. 新しくソフトウェアを導入する場合、そのソフトウェアがウィルスに感染していな いどうか、必ず調査すること。 2. プラント外部から持ち込んだソフトウェアやファイルなどのウィルス検査は、必ず 制御系システムから独立したコンピュータ上で行うこと。 3. 制御系システムのコンピュータは、ウィルスチェック・プログラムを定期的に起動 して、ウィルス検査をすること。 〔購入時の対策〕 1. 実運用システムに利用するセキュリティ製品に、市場に登場してから1年未満の新 製品は採用しないこと。 2. 制御系システムに新しく導入するソフトウェアや機器を購入する場合は、社内で定 められた正規の購買ルートを通じて購入すること。 3. セキュリティ関連機器、ソフトウェアは独自に開発せず、商用品を利用すること、 また、国際的にあるいは国内的に標準化されているセキュリティ標準に準拠したも のを採用すること。 〔設計時の対策〕 1. 制御系システムのソフトウェアは、ユーザからの入力値を受け付けた場合は、必ず ユーザに受け付けた結果が正しかったことを通知するように設計されていること。 2. 制御系システムのソフトウェアは、予期した結果が得られなかった場合に、必ずユ ーザにそのことを通知するように設計されていること。 3. 制御系システムの構成機器は、その動作が作業員に危害を加える可能性がある場合 は、自動的に停止するように設計されていること。 〔実装時の対策〕 1. 制御系システムのソフトウェアを自社開発する場合は、正規に定められたコーディ ング規約に基づいて実装すること。 2. 自社開発したソフトウェアを実運用環境に移す前に、セキュリティ上の欠陥がない かどうか検査すること。例えば、開発時に用意したアクセス経路は取り除いておく 必要がある。 〔移行時の対策〕 1. 制御ロジックを開発環境から実運用環境へ移行する作業は、開発者以外の者が行う こと。開発者と運用者の権限を分離することによって、開発者独自の判断による実 運用環境への移行を防ぐことができる。 71 〔保守時の対策〕 1. 制御系システムにおける正規の改造手順を必ず確立すること。システムの改造は必 ずこの手順に則って行われる。 2. 制御系システムに新しくソフトウェアや機器を導入する場合または大きな変更を加 える場合は、制御系システムのセキュリティへの影響に関する報告書を作成するこ と。 3. 設備診断用およびシステム診断用のツールは、利用者権限をもった者だけが使用す ること。 4. 稼働中システムのデータおよびプログラムを変更する場合は、事前にその旨を申請 し承認を得ること。また承認された人以外の人が変更作業を行なわないこと。 外部ネットワークからのアクセス制御〔 〕 9)外部ネットワークからのアクセス制御 外部ネットワークからのアクセス制御 〔条文 2409〕 保守担当者(システム管理者)は、外部と接続する機器はファイアーウォール機能を持 たせる等、十分なアクセス制御機能を有したものを利用すること。 〔ダイヤルアップ接続〕 1. プラント外部から制御系システムへダイヤルアップ接続する場合は、必ずアクセス 制御機器を経由すること。アクセス制御機器には、リモートアクセスサーバ、ファ イアウォールなどが含まれる。 2. 全てのダイヤルアップ接続は、認証サーバを含むモデムプールを経由することとし、 モデムを直接コンピュータに接続しないこと。 3. 全てのダイヤルアップモデムは、3 回コールされるまで応答しないように設定する こと。 〔インターネット接続〕 1. 制御系システムの端末からインターネットへアクセスする者は、必ず所属部署の監 督者による承認と別に定めるインターネット利用者ポリシーの通知を受けること。 2. 制御系システムの端末からインターネットへアクセスする者は、必ずファイアウォ ールを経由すること。 3. インターネットから制御系システムへアクセスする者は、必ずファイアウォールに よるユーザ認証を行うこと。 4. 制御系システムの端末からインターネットへアクセスする者のユーザ ID は、設定 時より6ヶ月間を有効期間とすること。 5. インターネットから制御系システムへアクセスする者は、固定パスワードではなく、 必ずダイナミック・パスワードを使用すること。 6. インターネットから制御系システムへアクセスする者は、制御系システムの情報を 直接修正しないこと。 フェール・セー ・セーフ対策 フ対策〔 〕 10)フェール フェール ・セー フ対策 〔条文 2410〕 アクセス制御機能に障害が起きた時には、外部との通信を制限する等のフェール・セー フ対策を行なうこと。 1. ルータを利用する場合、ルーティング設定に障害が発生したときに経路を遮断する ように設計されている機器を用いること。 システム構成変更時のセキュリティ確認〔 〕 11)システム構成変更時のセキュリティ確認 システム構成変更時のセキュリティ確認〔条文 2411〕 システム構成の変更を行う前に、セキュリティ上の問題が生じないことを確認すること。 1. 制御系システムにおける正規の構成変更手順を必ず確立すること。システムの構成 変更は必ずこの手順に則って行われる。 72 2. 制御系システムの構成変更を行う場合は、制御系システムのセキュリティへの影響 に関する報告書を作成すること。 外部ネットワークからのアクセス権限の制限〔 〕 12)外部ネットワークからのアクセス権限の制限 外部ネットワークからのアクセス権限の制限〔条文 2412〕 ネットワークを介して外部からアクセスできる通信経路、コンピュータ及び使用できる プロトコルを、必要最小限にすること。 外部ネットワークからのシステム管理〔 〕 13)外部ネットワークからのシステム管理 外部ネットワークからのシステム管理 〔条文 2413〕 ネットワークを介して外部からシステム管理を行う場合は、認証機能、暗号機能及びア クセス制御機能を設定すること。 遊休機器の切り離し〔 〕 14)遊休機器の切り離し 遊休機器の切り離し 〔条文 2414〕 3 ヶ月以上利用しない機器はシステムから切り離すこと。 設備処分時の情報管理〔 〕 15)設備処分時の情報管理 設備処分時の情報管理〔条文 2415〕 機器及びソフトウェアの廃棄、返却、譲渡等を行う場合は、情報の漏えいを防ぐ対策を 行うこと。 1. 別途定められた方案にしたがって、プラント制御に必要なくなった機器、制御ロジ ック、データを処分すること。 ファイルへの不正アクセスの監視〔 〕 16)ファイルへの不正アクセスの監視 ファイルへの不正アクセスの監視 〔条文 2416〕 保守担当者(システム管理者)は、ソフトウェア及びシステムファイルの改ざんが生じ ていないことを随時確認すること。 1. 制御系システム上のファイルは、アクセス・コントロール用のソフトウェアを利用 して管理すること。 2. 制御系システム上のファイルは、侵入検知システムや Tripwire などの不正アクセス を検知するツールを利用して管理すること。 3. 一定時間に大量のデータが制御系システムからプラント外部へ流出した場合に、保 守担当者(システム管理者)に警告を発するような監視システムを利用すること。 パスワード強化機能の利用〔 〕 17)パスワード強化機能の利用 パスワード強化機能の利用〔条文 2417〕 システムが提供するパスワード強化機能を最大限に活用すること。 1. 制御系システム上の重要な情報を納めたファイルは、パスワード機能付きのアクセ ス・コントロール用のソフトウェアを利用して管理すること。 2. 制御系システムの運用環境上で、特に重要なプラント制御を開始する際には、個人 のユーザ ID による認証だけでなくさらに高度な認証機能を利用すること。 ネットワーク負荷の監視〔 〕 18)ネットワーク負荷の監視 ネットワーク負荷の監視〔条文 2418〕 ネットワークの負荷状況を監視すること。 ネットワーク構成の分離〔 〕 19)ネットワーク構成の分離 ネットワーク構成の分離〔条文 2419〕 システムの利用形態等に応じて、ネットワークを分離すること。 1. プラント内の複数の制御系システムを接続する場合は、その接続にセキュリティ上 の問題がないかどうか調査すること。 2. 重要な情報を含むシステムを、他のネットワークやコンピュータと接続しないこと。 他のシステムにデータを移す場合は、フロッピーディスクなどの媒体を利用する。 73 (5) 履歴管理 履歴の記録〔 〕 1)履歴の記録 履歴の記録 〔条文 2501〕 システムのセキュリティ・ポリシーに基づいたシステムの動作履歴、使用記録等を記録 すること。 〔ログ情報の内容〕 1. ユーザによる操作履歴には、制御系システムに対してどのような不正行為が行われ たか解析するのに必要な情報が含まれていること。 2. ログ情報には、制御系システムが一定期間内で復旧できるのに必要な情報が含まれ ていること。 3. ユーザ I/D、ログイン時刻、ログアウト時刻、起動アプリケーション、ファイルの 変化、ポートスキャン状態などに関する情報を収集すること。 4. 特に重要な情報を扱うシステムでは、セキュリティに関するイベントを記録するこ と。記録するイベントとしては、パスワード誤入力回数、保守担当者(システム管 理者)やリモートメンテナンス者の認証失敗、パスワード変更、有効期限切れパス ワード/ユーザIDの利用、ソフトウェアの更新などがある。 5. ユーザによって発効されたコマンドはすべて、ユーザ別に追跡できるようにするこ と。 6. ログ情報は、制御系システム内の統一した時刻で記録されること。 〔ユーザへの通知〕 1. すべてのユーザは、どのような行為が不正であるかということ、またそのような行 為はログ情報として記録されることを知らされていること。 〔外部ネットワークからのアクセス情報〕 1. リモートメンテナンス者の場合、ラストログイン日時とログイン場所(接続電話番 号)を必ず記録すること。 履歴の管理〔 〕 2)履歴の管理 履歴の管理 〔条文 2502〕 システムの動作履歴、使用記録等を記録する場合は、改ざん、削除、破壊及び不正取得 の防止措置を施すこと。 1. ユーザがデータを不正に操作すると、別のユーザにイベントを通知するように設計 すること。 2. ログ生成機能および生成されたログ情報は、不正アクセスから守られていること。 3. ログ情報は、特定の権限をもった者だけが参照できること。 4. 特にパスワード等の機密情報をログ情報として記録する場合は、暗号化して記録す ること。 履歴の分析〔 〕 3)履歴の分析 履歴の分析 〔条文 2503〕 記録したシステムの動作履歴、使用記録等を随時分析すること。 履歴の保管〔 〕 4)履歴の保管 履歴の保管 〔条文 2504〕 記録したシステムの動作履歴、使用記録等は、安全な方法で一定期間保管すること。 1. セキュリティに関するログ情報は、最低3ヶ月間は保管すること。 2. すべてのユーザによる操作履歴を記録し、一定期間保管すること。 3. アクセス・コントロールに関するログ情報は、一定期間保管すること。 74 4. システムへの不正行為が行われた疑いがある場合は、証拠につながる情報はただち に記録され、大切に保管されること。 5. ログ情報は、必要なときに即座に取り出しやすいようにデータベースや専用のアプ リケーションを用いて保管されること。 (6) 事後対応 異常原因の追求〔 〕 1)異常原因の追求 異常原因の追求 〔条文 2601〕 異常の連絡を受けた場合または異常を発見した場合は、速やかに原因を追究すること。 1. 制御系システムユーザよりウイルス発見の連絡を受けた場合は、直ちに指示を行な い、ユーザの独自行動を認めないこと。 不正アクセス状況の把握〔 〕 2)不正アクセス状況の把握 不正アクセス状況の把握 〔条文 2602〕 不正アクセスであることが判明した場合は、関係者と協調して被害の状況を把握するこ と。 不正アクセス機器の切り離し〔 〕 3)不正アクセス機器の切り離し 不正アクセス機器の切り離し 〔条文 2603〕 外部からの不正アクセスが発見された場合は、すみやかに情報系ネットワークとの接続 の切り離しを行なうこと。 1. システムが不正アクセスされていると判断した場合は、関連する機器を制御系シス テムからただちに切り離すこと。 不正アクセス被害の拡大防止〔 〕 4)不正アクセス被害の拡大防止 不正アクセス被害の拡大防止 〔条文 2604〕 関係者と協調して不正アクセス被害の拡大を防止するための処置を行うこと。 不正アクセス被害からの復旧〔 〕 5)不正アクセス被害からの復旧 不正アクセス被害からの復旧 〔条文 2605〕 事前に確立した復旧手順を遂行し、関係者と協調して不正アクセス被害の復旧に努める こと。 不正アクセス再発の防止〔 〕 6)不正アクセス再発の防止 不正アクセス再発の防止 〔条文 2606〕 不正アクセス被害の原因を分析し、関係者と協調して再発防止策を行うこと。 1. 不正アクセスによる被害をうけた場合、再発防止策、効果的なセキュリティ対策を 検討するために必要な調査を行うこと。 2. 不正アクセスが発生する可能性が考えられる場合は、ただちに防止策を検討するこ と。 3. 不正アクセスに関する報告は、最低3年間保管されること。 4. 不正アクセスに関する報告を、1年ごとに分析すること。 不正アクセス被害の届出〔 〕 7)不正アクセス被害の届出 不正アクセス被害の届出 〔条文 2607〕 不正アクセス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が別に指 定する者に届け出ること。 1. 法律や基準のために必要な場合は、不正アクセスを社外に報告すること。 (7) 情報収集及び教育 セキュリティ対策情報の収集〔 〕 1)セキュリティ対策情報の収集 セキュリティ対策情報の収集 〔条文 2701〕 セキュリティ対策に関する情報を随時収集すること。 75 セキュリティ対策情報の分析〔 〕 2)セキュリティ対策情報の分析 セキュリティ対策情報の分析〔条文 2702〕 収集した情報を分析し、重要な情報については速やかに対応すること。 1. 最新 OS が提供された場合は、数ヶ月の遅延後、適用すること。 2. セキュリティ問題に対するパッチが提供された場合は、ただちに適用すること。 セキュリティ対策情報の提供〔 〕 3)セキュリティ対策情報の提供 セキュリティ対策情報の提供〔条文 2703〕 制御系システムユーザがセキュリティ対策を行う場合に必要な情報を提供すること。 1. 制御系システムに関して報告された問題は、基本的にすべてのユーザが利用できる 状態になっていること。 2. 制御系システムのセキュリティ・ポリシーは、マニュアル化され、ユーザに配布さ れること。 セキュリティ教育の実施〔 〕 4)セキュリティ教育の実施 セキュリティ教育の実施〔条文 2704〕 制御系システムユーザに、セキュリティ教育を随時実施すること。 1. すべてのユーザは、制御系システムのセキュリティを保護できるような教育を受け ること。またこれらの教育は就業時間内を利用して行うこと。 2. すべてのユーザは、入社から3ヶ月以内にまた定期的に補充教育を受講するととも に、制御系システムのセキュリティに関する講習に参加すること。 (8) 監査 システム監査〔 〕 1)システム監査 システム監査 〔条文 2801〕 保守担当者(システム管理者)は、不正アクセス対策の実効性を高めるため、システム 監査の報告を受け、必要な措置を講ずること。 1. プラントの主要な部署から派遣された者で構成される、セキュリティ管理委員会を 設けること。 2. 制御系システムにおけるセキュリティ対策は、プラント経営者層やセキュリティ管 理委員会によって定期的にその有効性について検討されること。 3. セキュリティに対する監査を行う場合は、ログ情報を活用すること。 4. ログ情報から違反行為を発見した場合、警告するなど必要な処置を実施すること。 5. 制御系システムのセキュリティホールや不正アクセスを探すには、特殊な技能が必 要とされるため、専門の診断サービス業者による定期的な監査も検討すること。 6. 制御系システムのセキュリティホールに関する評価は、セキュリティホール診断ツ ールを利用して定期的に実施すること。 7. 保守担当者(システム管理者)の指示に従わないユーザに対しては、別途定める社 内規定により罰則を与えること。 76 リモートメンテナンス者向け運用マニュアルテンプレー ト 2.3.4 表10 運用マニュアルテンプレート タイトル一覧(リモートメンテナンス者向け) № 条文見出し パスワード及びユーザID 管理 1)ユーザ ID の共用〔条文 1101〕 2)パスワードの設定〔条文 1102-1104〕 3)パスワードの変更〔条文 1105〕 4)パスワードの記憶〔条文 1106〕 5)パスワードの漏洩〔条文 1107-1108〕 6)ユーザ ID の停止〔条文 1109〕 情報管理 1)情報の暗号化〔条文 1201〕 2)情報の送信〔条文 1202〕 3)情報へのアクセス〔条文 1203〕 4)情報の保管〔条文 1204-1205〕 5)情報の破棄〔条文 1206〕 6)バックアップ〔条文 1207〕 (3) コンピュータ管理 1)導入/更新/撤去〔条文 1301〕 2)特権の使用〔条文 1302-1303〕 3)履歴管理〔条文 1304〕 4)ログアウト〔条文 1305〕 (4) 事後対応 1)異常の発見〔条文 1401〕 不正アクセスの発見〔条文 1402〕 (5) 教育及び情報収集 1)教育〔条文 1501〕 2)情報収集〔条文 1502〕 (6) 監査 1)遵守義務〔条文 1601〕 (1) (2) (1) サブタイトル パスワード及びユーザID管理 ユーザ ID の共用〔 〕 1)ユーザ の共用〔条文 1101〕 リモートメンテナンス者は複数のユーザ間で、ユーザ ID を共用しないこと。 1. ユーザ ID 及びパスワードは、複数のリモートメンテナンス者で共用しないこと。 特別にユーザ ID の共有を許可する場合は、リモートメンテナンス者間以外は共通 のユーザ ID,パスワードを秘匿すること。 2. 他のリモートメンテナンス者のユーザ ID 及びパスワードを使用しないこと。 パスワードの設定〔 〕 2)パスワードの設定 パスワードの設定 〔条文 1102-1104〕 ユーザ ID には、パスワードを必ず設定すること。 1. リモートメンテナンス者が複数のユーザ ID を持っている場合は、それぞれ異なる パスワードを設定すること。 2. パスワードは6桁以上とし、数字、特殊文字、英字の小文字、大文字をそれぞれ1 文字以上含むこと。 77 3. パスワードには、以下を設定しないこと。①ブランク、②ユーザ ID、③社員番号な どの認識番号、④生年月日、⑤電話番号、⑥意味のある単語、略語、⑦”abc”,”123” などの推定容易な文字列 パスワードの変更〔 〕 3)パスワードの変更 パスワードの変更 〔条文 1105〕 パスワードは、随時変更すること。 1. パスワードは、最低でも1ヶ月単位で変更すること。但し、周期的に変化するよう なパスワードは使用しないこと。また、過去に使用したパスワードを再使用しない こと。 2. リモートメンテナンス者が、制御系システムに接続する場合、固定的なパスワード としないこと。ワンタイム・パスワードなど一過性のパスワードとすること。 パスワードの記憶〔 〕 4)パスワードの記憶 パスワードの記憶〔条文 1106〕 リモートメンテナンス者はパスワードを紙媒体等に記述しておかないこと。 1. 付箋紙の使用を禁止すること。 2. バックアップのため紙に記録する場合は手書きとし、厳重な鍵のかかる強固なロッ カーに保管すること。 3. バックアップのため紙に記録する場合は、暗号化しておくこと。バッチファイル、 スクリプトファイルなどにパスワードを平文で記述しておかないこと。 4. ログイン画面に「パスワードを保存」の機能がある場合でも保存せずに、毎回入力 すること。 パスワードの漏洩〔 〕 5)パスワードの漏洩 パスワードの漏洩 〔条文 1107-1108〕 パスワードを他人に知られないようにすること。 1. リモートメンテナンス者はパスワードを入力する場合は、背後に他人がいる場合は 入力しないなど、他人に見られないようにすること。 2. 自分のユーザ ID とパスワードを完全に秘密にしておかなければならないと言う責 任があることを認識すること。 3. リモートメンテナンス者は他のユーザのパスワードを知った場合は、速やかに保守 担当者(システム管理者)に通知すること。 4. リモートメンテナンス者は他人にパスワードを知られた、またはその可能性がある と判断した場合は、速やかにパスワードを変更すること。 ユーザ ID の停止〔 〕 6)ユーザ の停止〔条文 1109〕 使用しないユーザ ID が登録に残らないようにする義務があることを認識すること。 1. リモートメンテナンス者の業務内容に変更があったなどユーザ ID を利用しなくな った場合は、速やかに保守担当者(システム管理者)へ届け出ること。 2. 直営社員が退職する場合または、協力会社社員が解約された場合は、保守担当者(シ ステム管理者)へ届け出て、ユーザ ID を停止してもらうこと。 (2) 情報管理 情報の暗号化〔 〕 1)情報の暗号化 情報の暗号化 〔条文 1201〕 保守担当者(システム管理者)より指定された重要な情報は、パスワードで保護された 暗号化ファイルにするなどして漏洩の対策を図ること。 78 1. リモートメンテナンスで使用する端末の重要情報(接続電話番号や通信設定情報な どを格納するフォルダーまたは、ファイル)は、パスワードで保護された暗号化フ ァイルとし、他人に見られないようにすること。 2. パスワードで保護された暗号化ツールを使用する場合、予め承認されたツールを用 いること。 3. ダイヤルアップ接続用の電話番号は機密情報として取り扱い、電話帳、その他書面 に記載しないこと。 情報の送信〔 〕 2)情報の送信 情報の送信 〔条文 1202〕 リモートメンテナンス者は、保守担当者(システム管理者)より指定された重要な情報 を送信する場合は相手先を限定し、宛先を十分に確認すること。 1. 保守担当者(システムユーザおよびシステム管理者)とのやり取りで電子メール等 インターネットを使用する場合、重要な情報は記載、添付しなこと。インターネッ トを経由する場合は、暗号化するなどセキュリティの高いツールを装備すること。 2. 制御系システムとダイアルアップ接続にて送信する場合、コールバック機能または、 CHAP/PAP 機能等を使用して、接続相手がアクセスを許可されたメンテナンス者で あることを十分確認できる環境で実施すること。また、送信するファイルは暗号化 するなど容易に見られないようにすること。 3. 送信先のフォルダーが誰でも参照可能などセキュリティレベルが低いときは送信し ないこと。 情報へのアクセス〔 〕 3)情報へのアクセス 情報へのアクセス 〔条文 1203〕 リモートメンテナンス者は、ファイルの属性に、内容の重要度に応じたアクセス権限を 必ず設定すること。また、アクセス権限のない装置、データをアクセスしないこと。 1. リモートメンテナンス者が使用する端末の通信情報ファイルやログファイルは、他 ユーザから参照、更新、削除が容易にできないように細かくアクセス権限を設定、 管理すること。 2. リモートメンテナンス者は、制御系システムネットワーク内にあるリモートアクセ ス可能な制御電源監視装置や計測データ収集装置など他システムに対して、決して アクセスを試みないこと。 3. リモートメンテナンス者は、保守担当者(システム管理者)の許可なく、ファイル の参照、更新、削除をしないこと。(接続機器[PLC、DCS]のサービスポート No.やプロトコル等のネットワーク情報参照など) 4. リモートメンテナス者は、リモートでプロセス入出力データをアクセスしないこと。 特にプロセス出力に関するコマンドは、リモートでは実行しないこと。 5. リモートメンテナンス者は、事前に保守担当者(システム管理者)の承認を得た場 合を除き、暗号化された情報の解読を試みないこと。 情報の保管〔 〕 4)情報の保管 情報の保管 〔条文 1204-1205〕 リモートメンテナンス者は、コンピュータ及び通信機器を維持、保守するために必要な ファイルを、盗用、改ざん、削除等されないように厳重に管理すること。 1. 接続機器であるモデム、ルータ等の操作、設定情報は厳重に管理すること。また、 定期的にバックアップした設定情報と比較するなど不正に変更されていないか監視 すること。 2. リモート接続でのログは、必ず接続端末側でも採取すること。正規なリモートアク セスの証ともなるので一定期間は、保管すること。 79 3. 重要な情報を記録した紙、磁気媒体等を、金庫または鍵の掛かる強固なロッカーに 保管すること。 情報の破棄〔 〕 5)情報の破棄 情報の破棄〔条文 1206〕 リモートメンテナンス者は重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内 容が漏洩しないように、紙はシュレッダまたは焼却処分し、磁気媒体は破壊または物理フ ォーマットすること。 バックアップ〔 〕 6)バックアップ バックアップ〔条文 1207〕 リモートメンテナンス者はファイルのバックアップを随時行い、その磁気媒体等を別々 の2ヶ所の金庫、または鍵のかかる強固なロッカーに保管すること。 (3) コンピュータ管理 導入/更新/撤去〔 〕 1)導入/更新/撤去 導入/更新/撤去 〔条文 1301〕 コンピュータ、通信機器及びソフトウェアの導入、更新、撤去等を行う場合は、保守担 当者(システム管理者)の指導の下で行うこと。 1. 保守担当者(システム管理者)の許可なく、他システムとネットワーク接続しない こと。 2. リモートメンテナンスに使用する端末、通信機器、ソフトウェアは、事前に保守担 当者(システム管理者)に申請し、使用許可を得ること。またこの許可された環境 以外でのリモートアクセスは行なわないこと。 3. 保守担当者(システム管理者)の許可なく、モデムに応答するシステムを無断で追 加構築しないこと。 4. インターネットよりダウンロードしたファイルを、ウイルス検査せずに制御系コン ピュータに移さないこと。ダウンロードは、別のコンピュータで実施しウィルス検 査の後、リモート接続端末へ転送するなど被害を拡散しない運用とすること。 特権の使用〔 〕 2)特権の使用 特権の使用 〔条文 1302-1303〕 リモートメンテナンス者が特権により作業する場合は、保守担当者(システム管理者) より許可された作業に限定すること。 1. リモートメンテナンス者は、特権での作業を行わないこと。 2. root や Administrator などのデフォルト特権は、リモートログインで使用しないこ と。 3. 緊急避難的に特権を使用する場合は、必ず保守担当者(システム管理者)より許可 された作業とし、保守担当者(システムユーザおよびシステム管理者)と連絡しな がら作業を実施すること。 履歴管理〔 〕 3)履歴管理 履歴管理 〔条文 1304〕 リモートメンテナンス者は、ログインに成功した場合、最新のログアウト日時や、ユー ザIDの有効期間、前回接続場所等の内容を確認し、不正に使用されていないか確認する こと。 ログアウト〔条文 〕 4)ログアウト ログアウト 〔条文 1305〕 コンピュータを入力待ちの状態で放置しないこと。 1. わずかな時間の用事でも端末を離れるときには、パスワード付きスクリーンセーバ を使用するなど部外者に操作されないようにすること。未入力設定時間は 15 分程度 とすること。 2. 作業を終了した場合、速やかにログアウトすること。 80 3. ログインしたリモートメンテナンス者は、今ログインしている端末以外からログイ ンしないこと。 (4) 事後対応 異常の発見〔条文 〕 1)異常の発見 異常の発見 〔条文 1401〕 システムの異常を発見した場合は、速やかに保守担当者(システム管理者)に連絡し、 指示に従うこと。 1. リモート接続端末等でウイルスの侵入を検出した場合は、直ちに当該コンピュータ の使用を停止し、保守担当者(システム管理者)に連絡すること。制御系システム 内の感染ファイルに関しては、自己判断で削除するなど駆除作業を試みないこと。 不正アクセスの発見〔条文 〕 2)不正アクセスの発見 不正アクセスの発見 〔条文 1402〕 不正アクセスを発見した場合は、速やかに保守担当者(システム管理者)に連絡し、指 示に従うこと。 1. 重要な情報が誰からでも参照可能になっているなどセキュリティ上の問題を発見し たときは、速やかに保守担当者(システム管理者)に報告すること。また、この報 告は外部に漏らさないこと。 2. リモートログイン時の前回アクセスログなどで、不正なアクセスと思われる痕跡を 発見したときは、速やかに保守担当者(システム管理者)に報告すること。また、 この報告は外部に漏らさないこと。また、リモートメンテナンス者は、全員パスワ ードを変更すること。 (5) 教育及び情報収集 教育〔条文 〕 1)教育 教育 〔条文 1501〕 保守担当者(システム管理者)からセキュリティ対策に関する教育を随時受けること。 1. ユーザIDの発行を受ける前に、保守担当者(システム管理者)より対象システム のセキュリティ・ポリシー及び管理手順の教育を受け、書面にて同意すること。 情報収集〔条文 〕 2)情報収集 情報収集〔条文 1502〕 リモートメンテナンス者は、担当するシステムのセキュリティ対策に関する情報を入手 した場合は、保守担当者(システム管理者)に随時提供すること。 1. リモートメンテナンスで使用する端末やサービスソフトのセキュリティに関する情 報は、提供サイトより最新情報を常に入手する等の努力を怠らないこと。 (6) 監査 遵守義務〔条文 〕 1)遵守義務 遵守義務 〔条文 1601〕 1. リモートメンテナンス者は、保守担当者(システム管理者)の指示に従うこと。 81 前節において システムユーザ向け運用マニュアルテンプレート システム管理者向け運用マニュアルテンプレート リモートメンテナンス者向け運用マニュアルテンプレート の 3 種類の運用マニュアルテンプレートを作成したが、それぞれ運用ガイドラインを補強 したものとなっている。すなわち抽象度が高い条文はその具体策を記述し、また運用ガイ ドライン中に該当する条文が存在しないと判断される場合は項目そのものを追加した。 ここで、それぞれにおいて追加した項目のみを抽出し以下に示す。 システムユーザ向け運用マニュアルテンプレート (1)パスワード及びユーザ ID 管理 1)操業オペレータのコンピュータ端末操作〔追加項目〕 8)部屋の鍵管理〔追加項目〕 (3)コンピュータ管理 3)サービス機能〔追加項目〕 システム管理者向け運用マニュアルテンプレート (2)制御系システムユーザ管理 1)ログインの試行回数〔追加項目〕 2)ログインバナーの内容〔追加項目〕 3)オペコンへの自動ログイン〔追加項目〕 4)オペレータによるアプリケーション起動権限の制限〔追加項目〕 5)オペレータによるデータアクセス権限の制限〔追加項目〕 14)保守担当者(システム管理者)のパスワードの生成〔追加項目〕 (3)情報管理 1)管理責任の明確化〔追加項目〕 上記各項目の内容については、テンプレート中に具体的な対策を記述しているのでそち らを参照されたい。以下、特徴的な事項に関して説明を加える。 最も項目追加が望まれるのは、やはりオペレータに関する事項である。基本的にオペレ ータに対しては、使用サービスおよびリソースの限定が必須であり、また 24 時間操業お よび即時起動という要件から、ユーザ ID/パスワードの厳格な管理は高運用コストとなり、 現実的ではない。このため通常のシステムユーザとは異なる運用ルールが必要となる。 このため本テンプレートにおいては、オペレータに関する機能制約、ユーザ ID/パスワ ード管理、自動ログインに関して計 4 項目の追加を行なっている。 82 2.4 考察 「2.2.2運用ガイドラインと脅威の関連性」の結果を振り替えると、運用ガイドラインに は、以下の項目に関する運用上の対策が記述されていないことが判る。 ウイルス リモートメンテナンスユーザ 制御系システム内部から外部へのアクセス 以下に各々についての考察を加える。 2.4.1 ウイルス ウイルス対策に関しては、コンピュータウイルス対策基準に準拠する旨の記述が運用ガ イドライン中にあるが、プラント・ネットワークに適用する場合の注意事項に関しては特 に述べられていない。 コンピュータウイルス対策基準は広くコンピュータ一般を対象とした基準であり、確か に汎用 OS、TCP/IP プロトコルを使用する環境においては、ウイルス対策に関して制御系 システムであることを特に意識する必要はなく、このコンピュータウイルス対策基準を遵 守した運用を行なえばウイルス対策は万全であると思われる。 しかしながら、下位に位置するコンピュータ、すなわち、PLC、DCS コントローラは独 自 OS を使用したものがまだまだ主流である。オープン仕様採用が時流であるとはいえ、 その波は保守用コンソール、オペレータ用コンソール、エンジニア用コンソールまで押し 寄せてはいるが、制御機器本体は、その信頼性、応答性、互換性、保守性等の問題により、 大規模プラントにおいては独自 OS を使用した製品が殆どである。 独自 OS とはいえ、特に PLC においてはリアルタイム性に対する要求が非常に高いため、 アプリケーションのプログラミング言語自体がその CPU のアーキテクチャに大きく依存 している。このため、プログラミング言語仕様から逆にアーキテクチャを類推することが 可能であり、有識者であればウイルスの作成は十分可能であると思われる。また、保守用 コンソール等の周辺の支援機器類は PC 等の汎用品が多く、かつネットワーク接続されて いるためウイルスの侵入ルートも種々存在する。 OS そのものは ROM 化されているため、OS 自体へのウイルス感染は考えられないが、 アプリケーションプログラムは保守の必要性から ROM 化されることはなく、ウイルスの 感染は十分考えられる。ところがこれら独自仕様の OS ではそのアクセス制御機能も貧弱 であり、ウイルス感染時の影響は非常に大きいと思われる。 このように独自 OS を採用しているものほど、ウイルスの存在そのものの可能性が低い がゆえに、逆に無防備であるといえ、検出ツールもワクチンも存在しないため、ウイルス の検出自体がまず不可能である。 すなわち、ウイルス感染が検出できないことを前提とした対策が必要であり、大規模プ ラント運用上の課題の 1 つであると思われる。 2.4.2 リモートメンテナンスユーザ 運用ガイドラインにおいては、リモートメンテナンス事業者に対する基準は記述されて いるが、そのリモートサービスを使用してプラントの保守を行なう、いわばリモートメン テナンスユーザに対する運用基準に関しては、陽には記述されていない。 83 これは、リモートメンテナンスユーザも制御系システムユーザであり、アクセス経路が 異なるだけでアクセス対象およびその操作内容自体は同一であることから、遵守すべき運 用基準は同一であるとの判断ゆえであると思われる。 確かに、リモートメンテナンスユーザが行なうべきセキュリティ対策としては、〔対策 501〕∼〔対策 535〕などがあり、またダイヤルアップ接続時のセキュリティ対策として は、〔対策 101〕∼〔対策 119〕などがあるが(2.2.1外部接続ニーズと脅威・対策の関連 性を参照) 、これらはそれぞれ運用ガイドラインの各条文に内包されている。この両者、す なわち、ダイヤルアップ接続を使用してのリモートメンテナンスという形態を考えるとき、 これらの対策方法は、運用ガイドラインの条文だけから想定することは非常に難しいと思 われる。 このようにダイヤルアップによる非常時接続は、LAN による常時接続とは異なる特筆す べき運用上の注意事項が存在し、この意味において、リモートメンテナンスユーザに特化 した運用ガイドラインの注釈もしくは解説が必要であると思われる。 2.4.3 制御系システム内部から外部へのアクセス 運用ガイドラインには、制御系システム内部から外部、例えば、社内 OA-LAN あるい は社外インターネット等へアクセスする際の運用基準については記述されていない。 運用ガイドラインの目的は、 「大規模プラント・ネットワーク」の制御系システムにおいて、コンピュータ不 正アクセスによる被害の予防、早期発見及び拡大・再発防止のために、企業等の 組織が実施すべき対策を取りまとめたものである。1 であるように、制御系システム外部から内部への不正アクセスに対応することに主眼をお いている。ここで、 「不正アクセス」とは、 システムを利用する者が、その者に与えられた権限によって許された行為以外 の行為をネットワークを介して意図的に行うこと。2 であり、制御系システム内部から外部へアクセスする行為自体は、制御系システムに対す る不正アクセスには該当しない。 また、運用ガイドラインはその対象システムを「図 1 大規模プラント・ネットワークに 於けるシステム構成モデル」のモデル・システムにおいており、このモデル・システムで は、制御系システム内部から外部へのアクセスに関しては何らの条件も設定していない。 もとより、制御系システム内部から外部へのアクセスを認めるか否か、あるいは特定のプ ロトコル、特定のユーザのみ認めるのか等、これらのことは対象とする制御系システム特 有の事項であり、その制御系システムのセキュリティ・ポリシーにおいてこそ定められる べき事である。 以上のように、制御系システム内部から外部へアクセスする行為自体は、それが正当な 行為であるならば不正アクセスではなく、 正当であるか不正であるかは制御系システム個々 に依存する。従って、制御系システム内部から外部へアクセスする際の運用基準まで運用 ガイドラインに記述しないのは当然のことではある。 しかしながら、 「2.2.1(3)外部接続ニーズの分類」でも述べているように、 [ニーズ41,42] 1 2 イントラネット/エクストラネット経由で、生産実績情報を一品単位、またはロット単位に生 産管理ビジコンに送信する。 運用ガイドラインより引用、「付録 A セキュリティ運用ガイドライン」を参照。 通商産業省告示第 362 号、コンピュータ不正アクセス対策基準、August 8,1996。 84 大規模プラントの運用においても、その情報インフラを積極的に活用し、企業あるいは団 体としての継続的な発展を目指すことは当然の方向である。従って、制御系システム内部 から外部へのアクセス行為そのものの運用上のセキュリティ対策に関連する注釈もしくは 解説が望まれる。 85 3 運用ガイドラインの適用方法 本章では、運用ガイドラインの実地適用に先立って、本研究で検討した適用方法につい て説明する。 前半では、セキュリティ・ポリシーの策定方法について、そして後半では、運用マニュ アルの策定方法について説明する。これらの策定方法は、後述のケーススタディにおいて 利用される。 3.1 セキュリティ・ポリシーの策定方法 セキュリティ・ポリシーの策定方法 本節では、制御系システムにおけるセキュリティ・ポリシーの策定方法について説明す る。 セキュリティ・ポリシーは、正規アクセスを定義し、その裏返しである不正アクセスを 検討することによって策定する。ここでは、まずその基本的な考え方について説明し、次 に各手順におけるより詳細な策定要領について説明する。 3.1.1 基本的な考え方 まず管理対象およびその公開範囲を明確にすることにより、正規の業務に必要な行為を 明らかにし、次にこれ以外の不正な行為に対して、防御すべき項目とその重大度のランク 付けを行なうことにより、セキュリティ・ポリシーを策定する。 具体的には、大きく以下の 2 つのステップを経てセキュリティ・ポリシーの策定を実施 する。 step1. 管理対象およびその公開範囲を明確にする。 組織内のコンピュータはどこまでを誰に見せてよいのか、どういう情報は外部 の人に見せるのか見せないのかを明確に決定する。1 すなわち、 1. 管理すべき機器、データ、サービスを明確にする。 2. その管理対象に関して、組織内外の人員の役割を明確にする。 3. 役割を果たす上での必要なアクセス方法(正規アクセス)を明確にする。 ことが必要である。この概念をモデル化すると「図 7 正規アクセスの概念モデル」のよう に表現できる。この図においては、正規アクセスは、 (a)人 (b)役割 (c)アクセス方法(ローカルまたはリモートサービス) (d)管理対象(機器またはデータまたはサービス) 1 参考文献[1]より引用。 86 の関係で定義する事ができる。例えば、 (a)システム管理者が、 (b)アカウント発行/停止するために、 (c)情報系 LAN による rlogin を使用して、 (d)EWS のシステムファイルを変更する。 という行為は業務の 1 つであり、正規アクセスの 1 つである。 役割 人 *アカウント発行/停止 *ログチェック *バックアップ *プラグラム変更 *システム管理者 *運転員 *保守員 *技術スタッフ *ベンダ *上級管理者 アクセス方法 ローカル リモート *コンソール *物理的操作 *情報系LAN *ダイヤルアップ *無線 正規アクセス 正規アクセス リモートサービス *create *read *update *delete *立上げ *立下げ *投入 *遮断 *プロコン *コンソール *コントローラ *ルータ *実行 *停止 対象機器 *rlogin *ftp *ppp 設置環境 *施錠室設置 *施錠盤収納 対象データ 対象サービス *データファイル *可変パラメータ *操作出力 管理対象 図7 正規アクセスの概念モデル この図は正規アクセスを表現したものであるが、正規アクセス以外の行為をすべて不正 なアクセスと考えれば、この図を裏返すことにより不正アクセスを定義することができる。 例えば、 (a)運転員が、 (b)プログラムを開発するために、 (c)情報系 LAN による rlogin を使用して、 (d)EWS のプラグラムを変更する。 という行為は、正規な業務として認められていないならば不正アクセスである。 ここで、正規アクセス以外の行為をすべて不正アクセスとすると、その数はおそらく膨 大なものとなるはずである。従って、この不正アクセス全てに関して何らかの対処を施す ことは現実的ではない。そこで次ステップの作業が必要となる。 87 step2. 何をどこまで守るかを明確にする。 「悪意ある侵入者」による攻撃に対しても保護対象の明確化や重大度のランク付 けが必要である。防御すべき対象や重大度のランク付けが明確でなければ、セキ ュリティ対策への投資は膨大なものとなってしまい、その結果実現可能性のない ものとなってしまう。1 前述の「図 7 正規アクセスの概念モデル」と同様に、不正アクセスの概念をモデル化す ると「図 8 不正アクセスの概念モデル」のように表現できる。 すなわち不正アクセスとは、 (a)人(侵入者) (b)役割(不正取得、改ざん、破壊) (c)アクセス方法(ローカルまたはリモートサービス) (d)管理対象(機器またはデータまたはサービス) (e)重大度ランク の関係で定義する事ができる。例えば、 (a)清掃員が、 (b)不正取得するために、 (c)コンソールを使用して、 (d)プロコンのデータファイルを参照することは、 (e)重大度ランク C の不正アクセスである。 すなわち、正規アクセス以外の行為に対して、 どの管理対象を守るのか。 どの行為を防ぐのか。 その重大度ランクは。 を明確にすることによりセキュリティ・ポリシーを策定する。 尚、重大度ランクとは、不正アクセスから守るべき対象の重大度をランク付けしたもの であり、その方法については「3.1.5不正アクセスと管理対象の重大度ランク」にて後述す る。 1 参考文献[1]より引用。 88 侵入者 役割 *アカウント発行/停止 *ログチェック *バックアップ *プラグラム変更 *不正取得、改ざん、破壊 *システム管理者 *運転員 *保守員 *技術スタッフ *ベンダ *上級管理者 アクセス方法 ローカル リモート *コンソール *物理的操作 *情報系LAN *ダイヤルアップ *無線 不正アクセス 不正アクセス リモートサービス 重大度ランク *create *read *update *delete *立上げ *立下げ *投入 *遮断 *プロコン *コンソール *コントローラ *ルータ *実行 *停止 対象機器 *rlogin *ftp *ppp 設置環境 *施錠室設置 *施錠盤収納 対象データ 対象サービス *データファイル *可変パラメータ *操作出力 管理対象 図8 不正アクセスの概念モデル ここで、防御すべき対象をいかにして抽出し、またその重大度をどのように評価するか がポイントとなるが、当該項目に対して、 情報の機密度・価値、すなわち、セキュリティ侵犯が発生した場合に想定されうる 損害額と、そのセキュリティ対策に必要なコスト。 侵入者が組織内部の者と想定する場合はその教育・技術レベルおよび目的、組織外 部の悪意ある第 3 者を想定する場合はその技術レベルおよび目的。 機器類の物理的な設置環境。 等を考慮して総合的に判断する必要があるが、本策定方法では、 1. 不正アクセスによる被害の大小を決定する。 2. 不正アクセスの発生可能性を決定する。 3. 不正アクセスの重大度ランクを決定する。 の 3 段階の手順にて重大度を評価する。 89 以上のように、セキュリティ・ポリシーの策定は、管理対象およびユーザの役割とアク セス方法を明確にすることにより正規アクセスを定義し、次いで、不正アクセスの重大度 ランクを評価し、最後にこれらの結果を文章化することによりセキュリティ・ポリシーを 作成することにより実施する。すなわち、以下の手順で行なう。 1. 管理対象を定義する。 2. 役割とアクセス方法を定義する。 3. 正規アクセスを定義する。 4. 不正アクセスと管理対象の重大度ランクを評価する。 5. セキュリティ・ポリシー条文を作成する。 次項以降において、上記各手順のより詳細な作業要領について記述する。各手順におい ては、主として表形式で作業を進めて行くことになる。 作成すべき図表等の一覧を、 「表 12 各策定手順において作成する図表等一覧」に示す。 また、一連の策定手順の流れを、 「図 9 セキュリティ・ポリシーと運用方法の策定手順の 流れ」に示す。図 9 における作業順番は、表 12 の作業順番に対応している。 次項以降の策定方法の説明に際しては、実際の制御系プラントを抽象化し、業界横断的 に表現したモデル・プラント「図 1 大規模プラント・ネットワークに於けるシステム構成 モデル」を例として使用する。また、このモデル・システムの対象ユーザを下表のように 仮定する。 表11 モデル・システムにおけるユーザとその役割 ユーザ名称 オペレータ システムユーザ システム管理者 リモートメンテナンス者 部外者 役割 操業者 プラント内部で保守作業を行う者 プラント内部で運用管理を行う者 プラント外部より保守作業を行う者 スタッフ(管理職、技術スタッフ、操業スタッフ、開発者等)を含む非 正規ユーザ 90 表12 各策定手順において作成する図表等一覧 項番号 3.1.2 項見出し 管理対象 役割とアクセス方法 3.1.4 正規アクセス 3.1.5 不正アクセスと管理対象の 重大度ランク (1) 不正アクセスによる被害の 大小を決定する (2) 不正アクセスの発生可能性 を決定する 91 3.1.3 (3) 3.1.6 不正アクセスの重大度ラン クを決定する セキュリティ・ポリシー条文 内容 ・管理対象を明確にする。 ・機能、役割、アクセス経路が同一のものは 1 個の管理単位と してまとめる。 ・さらに管理単位のグルーピングを行ない、サブシステムとして 定義する。 ・管理対象におけるユーザの役割とアクセス経路を明確にす る。 ・サブシステム単位にアクセス経路を定義し、そのアクセス経路 ごとのユーザの役割を業務面から整理する。 ・管理対象、役割、アクセス方法をもとに、正規アクセスを定義 する。 ・不正アクセスの種類を「不正取得」「改ざん」「破壊」の 3 種類 に区分し、プラントの各設備に対する被害の大小(A A ~C C)を決 定する。 ・不正アクセスの発生可能性の大小(1 1~3 3)を決定する。 ・機器の物理的な設置環境や人の教育・技術レベルを考慮す る。 ・不正アクセスの被害と発生可能性から、不正アクセスの重大 度ランクを決定する。 ・重大度ランクは、被害の大小と発生可能性の大小を組み合せ た形で表現する。 ・不正アクセスとして定義した禁止事項を文書形式で表現し直 す。 ・システム上の基本指針、運用上の基本指針を明文化する。 作成する図表等 作業 順番 図 10 セキュリティ・ポリシーの管理対象の策定図 表 13 サブシステムの名称と構成機器の策定表 ① 図 11 DCSサブシステムにおけるアクセス経路の策定図 表 14 DCSサブシステムにおけるユーザの役割の策定 表 表 16 DCSサブシステムにおける正規アクセス ② ③ 表 19 不正アクセスによる被害の大小(DCS の場合) 不正アクセスによる被害の大小( ⑤ 表 22 不正アクセスの発生可能性の大小(DCS の場合) 不正アクセスの発生可能性の大小( ⑥ 表 24 不正アクセスの重大度ランク(DCS の場合) 不正アクセスの重大度ランク( ⑦ セキュリティ・ポリシー条文 ④・⑧ [凡例] ① 管理対象の明確化 管 理 対 象 お よ び 公 開 範 囲 の 明 確 化 プラント仕様 作業順番 作業名称 作成するドキュメント 管理対象 作業に必要な情報 ② 役割とアクセス方法 の明確化 ユーザの役割 ユーザ業務 アクセス経路 ③ 正規アクセスの 定義 ④ 正規アクセスの 条文化 正規アクセス (不正アクセス) ⑤ 被害規模の分析 損害額 被害レベル 重 要 度 の 明 確 化 ⑥ 発生可能性の分析 設置環境 人の技術レベル 発生可能性レベル ⑦ 不正アクセスにおける 重大度の評価 不正アクセスの 重大度 設備性能 操作性 対策費用 ⑧ 不正アクセス重大度の 条文化 セキュリティ・ポリシー 図9 セキュリティ・ポリシーと運用方法の策定手順の流れ 92 3.1.2 管理対象 まず、セキュリティ・ポリシーの管理対象、すなわち「セキュリティ・ポリシーによっ て守られるべき資産」を明確にする。 このとき、システムの構成機器個々をその管理単位とすると、セキュリティ管理上は同 一に取り扱うべきものが多数出現することになり、以降の作業が煩雑になる。このため、 構成機器の機能、システムにおける役割、アクセス経路が同一であれば、同一の機器とし て取り扱うこととし、1 個の管理単位に集約する。 例えば、プロコンに接続される端末を考えた場合、プロコンには複数のコンソールが接 続されるのが普通である。このときコンソールの利用者と利用目的が同じであるのならば、 複数のコンソールを1台にまとめて扱うものとする。 さらに、これらの管理単位をシステムにおける機能面に着目してグルーピングを行ない、 サブシステムとして定義する。 例えば、DCSという機能に着目した場合、DCSを実現するのに必要なコントローラ とユーザ端末によって、ひとつのサブシステムが構成される。これを「DCSサブシステ ム」と呼んで、ひとつのまとまりとして扱うものとする。 「図 10 セキュリティ・ポリシーの管理対象の策定図」および「表 13 サブシステムの名 称と構成機器の策定表」は、モデル・システムに対してこの作業を行なった結果の一例で ある。 図 10は、モデル・システムにおける管理対象を示している。点線で囲まれた部分が、セ キュリティ・ポリシーの管理対象となる。さらに管理対象は、サブシステムごとに太い実 線で囲まれている。また、表 13はここに登場するサブシステムの名称とその構成機器の一 覧を示している。 93 インターネット/公衆回線 工場情報管理システム インターネット/公衆回線 設備診断 OAシステム PC 全社システム ホストコンピュータ Firewall 設備管理LAN OA LAN 情報系LAN Firewall WA 不正アクセスから守る資産 コンソール リモートメンテ ナンス用端末 Firewall プロコン R/M 制御系情報LAN 94 DCS コンソール 別プラントDCS コンソール Gate Way エンコン RAS R/M Gate Way Gate Way EWS PLC コンソール 制御LAN PBX A社製制御LAN コントローラ B社製制御LAN 基地局 公衆回線 保守用コンソール コントローラ 現場 PLC ←フィールドバス 現場 携帯端末 PC 図10 セキュリティ・ポリシーの管理対象の策定図 表13 サブシステムの名称と構成機器の策定表 サブシステム名称 プロコン PLC サブシステム概要 プロ コン を中 心と す るサブシステム PLC を中心とするサ ブシステム プロコン PLC コンソール コンソール リモートメンテナンス 用端末 リモートメンテナンス 用端末 制御系情報 LAN 制御系情報 LAN Gateway 制御機器・サーバ リモートアクセス サーバ リモートアクセスサー バを中心とするサブ システム リモートアクセスサー バ 95 ネットワーク DCS コントローラを 中心とするサブシス テム コントローラ 別プラント DCS DCS コントローラを 中心とするサブシス テム コントローラ コンソール EWS エンコン 保守用コンソール コンソール 携帯端末 PC リモートメンテナンス 用端末 リモートメンテナンス 用端末 制御系情報 LAN A社製制御 LAN Gateway B社製制御 LAN Gateway 監視・操作系 リモート端末 DCS 3.1.3 役割とアクセス方法 本項では、前項で定義した管理対象について、ユーザの役割とユーザがアクセスする方 法を明確にする。 ここでの狙いは、業務上必要な行為は何か、またそのアクセス経路は何か、を明確にし、 次項で行なう正規アクセス定義のための事前整理を行なうことである。すなわち、業務面 から正規アクセスを定義することにより、業務とセキュリティ・ポリシーの乖離を防止す る。 DCSサブシステムに対して、管理対象の役割とアクセス方法を明確にする作業を行な った結果の一例を、 「図 11 DCSサブシステムにおけるアクセス経路の策定図」および「表 14 DCSサブシステムにおけるユーザの役割の策定表」に示す。 図 11では、DCSサブシステムの部分を切り出し、サブシステムに含まれる管理対象へ のアクセス経路を矢印で記している。アクセス経路としては、制御機器に直結されたユー ザ端末だけでなく、モデムやネットワークを介したリモート端末も対象に挙げられる。 また、表 14では、図 11で矢印として明記したアクセス経路について、各ユーザがどの ような目的をもって利用するか、業務上のニーズにもとづいて整理している。同じアクセ ス経路であっても、ユーザごとにその利用方法は異なってくる。ユーザによっては、利用 権限が与えられていないアクセス経路もありうる。 ⑥ 制御系情報LAN ⑤ コンソール R/M EWS ① エンコン ② ③ A社製制御LAN コントローラ ④ 保守用コンソール ←フィールドバス 現場 図11 DCSサブシステムにおけるアクセス経路の策定図 96 表14 DCSサブシステムにおけるユーザの役割の策定表 № アクセス経路 オペレータ ① コンソール経由 ② EWS経由 ・プラント状況の監視 ・設定値の変更 ・制御論理 の起 動/停 止(制御機 能の 選択/ 入切) 等 (利用権限なし) ③ エンコン経由 ④ システムユーザ システム管理者 リモート メンテナンス者 (利用権限なし) (利用権限なし) (利用権限なし) ・ プロセスの状態解析 ・ 運転 パ ラ メ ータ の最 適化 等 ・ ユーザの登録、削除 ・ 運 用 データの バ ッ ク アップ ・ アクセスログ情報 の 監視 等 (利用権限なし) (利用権限なし) ・ 制御論理の開発 ・ 制御論理/ユーザイン タフェースの開発 等 ・ ユーザの登録、削除 ・ 運 用 データの バ ッ ク アップ ・ アクセスログ情報 の 監視 等 (利用権限なし) 保守用コンソール経由 (利用権限なし) ・ 障害情報の収集 ・ LAN 使 用状 況 の 把 握 ・ コンソール稼動状況 の把握 ・ 制御論理/ユーザイン タフェースの修正 等 ・ ユーザの登録、削除 ・ 運 用 データの バ ッ ク アップ ・ アクセスログ情報 の 監視 等 (利用権限なし) ⑤ リモートメンテナンス用端 末経由 (利用権限なし) (利用権限なし) (利用権限なし) ・ 障害情報の収集 ・ LAN 使 用状 況 の 把 握 ・ コンソール稼動状況 の把握 ・ 制御論理/ユーザイン タフェースの修正 等 ⑥ リモートアクセスサーバ経 由 (利用権限なし) (利用権限なし) (利用権限なし) ・ 障害情報の収集 ・ LAN 使 用状 況 の 把 握 ・ コンソール稼動状況 の把握 ・ 制御論理/ユーザイン タフェースの修正 等 3.1.4 正規アクセス 本項では、3.1.2と3.1.3で説明した管理対象、役割、アクセス方法をもとに、正規アクセ スを定義する。DCSサブシステムに対して、この作業を行なった結果の一例を、 「表 16 D CSサブシステムにおける正規アクセス」に示す。この表を正規アクセス一覧表と呼ぶ。 なお、正規アクセス一覧表における各記号が示す意味は、「表 15 アクセス権限を表す記 号とその意味」の通りである。 97 表15 アクセス権限を表す記号とその意味 対象 機器 データ サービス (全て) 記号 P R W E × ―――― 意味 立上げ/立下げ(Power) 読み込み(Read) 書き込み(Write) 実行(Execute) アクセス権限なし 管理対象が存在しない 正規アクセス一覧表では、正規アクセスを、アクセス方法と管理対象と人の組み合せご とに示している。表の各列は、右側から順に、 (a)アクセス方法 (b)管理対象 (c)人 を示している。例えば、表 16-1 の場合、 (a)コンソール経由で、 (b)コントローラのデータに、 (c)オペレータが、 正規にアクセスできるのは、 (d)Read,Write という行為である、ということを表している。 表16 DCSサブシステムにおける正規アクセス 表 16-1 ローカルアクセスの場合 アクセ ス方法 管理対象 コントローラ コンソール ①コンソール経由 EWS エンコン 保守用コンソール A社製制御LAN 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス オペレータ システムユーザ システム管理者 ―――― RW E P RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― E ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × 98 リモート メンテナンス者 ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × 部外者 ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × アクセ ス方法 管理対象 コントローラ コンソール ② EWS経由 EWS エンコン 保守用コンソール A社製制御LAN コントローラ コンソール ③ エンコン経由 EWS エンコン 保守用コンソール A社製制御LAN コントローラ ④ 保守用コンソール経由 コンソール EWS エンコン 保守用コンソール A社製制御LAN 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス オペレータ システムユーザ システム管理者 ―――― × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― × ―――― RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― E ―――― RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― E ―――― RW E ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― E ―――― RW E ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― E ―――― RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― E ―――― RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― E 99 リモート メンテナンス者 ―――― × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― × 部外者 ―――― × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― × 表 16-2 リモートアクセスの場合 アクセ ス方法 管理対象 コントローラ ⑤ リモートメンテナンス用端末経由 コンソール EWS エンコン 保守用コンソール A社製制御LAN コントローラ ⑥リモートアクセスサー バ経由 コンソール EWS エンコン 保守用コンソール A社製制御LAN 3.1.5 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス オペレータ システムユーザ システム管理者 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― × × ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― × × ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― × × ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― × リモート メンテナンス者 ―――― RW × ―――― RW × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― E ―――― RW × ―――― RW × ―――― RW × ―――― RW × ―――― ―――― ―――― ―――― ―――― E 部外者 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― × × ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― × 不正アクセスと管理対象の重大度ランク ユーザがシステムに対して行なう操作において、前項で定義した正規アクセスとして認 められていない操作が不正アクセスに相当する。これら全ての不正アクセスを防ぐために は多大な投資と運用コストを必要とし、現実的ではない。 そこで本項においては、これら不正アクセスに対して重大度のランク付けを行ない、守 るべき対象を明らかにする。 ここで重大度とは、不正アクセスが発生した場合の被害の大小と、不正アクセスが発生 する可能性の2者から決定する。前者は不正アクセス発生後の影響度であり、不正アクセ スのアクセス対象、すなわちそのプラントにおける設備の役割に依存する。後者はいわば 不正アクセスの発生確率であり、侵入者とその侵入方法に関するものである。これは、機 器の設置場所、アクセスルート等の物理的条件と、アクセス者の種類、技術レベル、目的、 倫理観等の人の条件に左右される。 従って本項では以下の手順で管理対象の重大度ランクを決定する。 100 1. 不正アクセスによる被害の大小を決定する。 2. 不正アクセスの発生可能性を決定する。 3. 不正アクセスの重大度ランクを決定する。 (1) 不正アクセスによる被害の大小を決定する 不正アクセスの種類を「不正取得」「改ざん」 「破壊」の 3 種類に区分し、プラントの各 設備に対して、これらによる被害が発生した場合のプラントへの影響度、社会的影響度、 損害額、復旧に要する時間等を考慮して、その被害の大小を決定する。 このとき、被害の大小の決定指針として「表 17 不正アクセスによる被害の大小の決定 指針」を設定する。基本的には、PLC、コントローラ等の下位系の制御系システムに対す る不正アクセスほどその被害が大きいと考える。 表17 不正アクセスによる被害の大小の決定指針 被害のランク付け A B C 意味 このレベルの不正行為は、プラント の操業に即、影響を及ぼし、長期 的な損害を与えるか、ないしは操 業の継続を不可能にする。 不正行為の例 ・ 機器(バルブ、モータ等)を操作する ・ 製造指令や制御プログラムを変更・破壊する ・ 製造仕様や制御用設定値を変更・破壊する ・ 制御 LAN を乱す ・ DCS や PLC の操作画面をフリーズさせる 等 このレベル不正行為は、プラントの 操業に影響を及ぼすが、比較的短 期間での復旧が可能か、操業の 継続は可能である。 ・ 制御系情報 LAN を乱す ・ 製造指令や制御プログラムを不正取得する ・ プロセスコンピュータの操作画面をフリーズさせる このレベルの不正行為は、プラント の操業には影響を与えない。 ・ 製造仕様や制御用設定値を不正取得する ・ プロコン、DCS、PLC に侵入する 等 等 また、ここでは管理対象をさらに「機器」 「データ」「サービス」に区分し、各々に対す る「不正取得」 「改ざん」「破壊」の被害の大小を検討するが、その意味合いは下表のよう に設定する。尚、ID/パスワードはパスワードファイル等に含まれる 1 つの情報であり、 不正アクセスによりこれらを取得する行為は「データの不正取得」に該当する。不正取得 による被害とは、その取得した情報を公開することによってもたらされる被害を想定する ものとし、不正取得によって得た情報を利用して何らかの破壊的被害を及ぼす場合は「改 ざん」または「破壊」に該当するものとする。 表18 不正取得/改ざん/破壊について 機器 データ サービス 不正取得 機種、型式、ハードウェア設定情 報の取得 内容の取得 改ざん 誤動作を誘発する機器操作 破壊 機器の物理的な破壊 内容の変更 サービス内容の取得 サービスの変更、停止、起動 内容の論理的な破壊、または削 除 サービスの復旧不可能な破壊 101 以上の内容にしたがって、不正アクセスによる被害の大小について検討する。DCSサ ブシステムに対して、この作業を行なった結果の一例を、「表 19 不正アクセスによる被害 の大小(DCS の場合)」に示す。ここでは、以下のような条件を想定している。 C とする。但し、コントローラ上のデータには製 造指令や制御プログラムが含まれるため、これらに対する不正取得は、A とする。 不正取得については、基本的には コントローラ、コンソールおよび制御 LAN に対する改ざん/破壊は、操業に直接影 響を及ぼすため、A とする。 EWSに対する改ざん/破壊は、操業に直接には関係しないが、解析データなどの技 術的に高度な内容の情報が含まれるため、B とする。 エンコンおよび保守用コンソールについては、操業に直接には関係しないため、C とする。 表19 不正アクセスによる被害の大小(DCS の場合) サブシステム 管理対象 コントローラ 機器 データ サービス 機器 コンソール データ サービス 機器 EWS データ サービス DCSコントローラ 機器 エンコン データ サービス 機器 保守用コンソール データ サービス 機器 A社製制御LAN データ サービス 不正取得 改ざん 破壊 C A C C C C C C C C C C C C C C C C A A A A A A B B B C C C C C C A A A A A A A A A B B B C C C C C C A A A 以上、表 19が不正アクセスによる被害の大小を決定する作業の結果であるが、ここには 全ての管理対象に対する不正アクセス種類ごとの被害の大小が表現されることになるた め、この設定作業自体セキュリティ・ポリシー立案上非常に重要である。 (2) 不正アクセスの発生可能性を決定する 前項で定義した正規アクセスをもとに、不正アクセスの発生可能性の大小を決定する。 ここでは発生可能性を3段階に区分し、その意味合いを下表のように設定する。 102 表20 発生可能性のランク付け 発生可能性の ランク付け 意味 該当する不正アクセス例 3 発生可能性が高い。 ・ オペレータによるコンソール経由の不正アクセス。 ・部外者によるリモートメンテナンス用端末よりの不正アクセス。 2 ランク3 と1の中間に相当す る。 ・ システムユーザおよびシステム管理者による保守用コンソール 経由の不正アクセス。 1 発生可能性が低い。 ・ オペレータによる保守用コンソール経由の不正アクセス。 ・ システムユーザおよびシステム管理者によるコンソール経由の 不正アクセス。 ・部外者によるコンソール経由の不正アクセス。 また、発生可能性の大小の決定に際しての指針として、機器の設置場所に関する前提と、 人に関する前提を以下のように設定する。 オペレータの、リモートなアクセス手段は想定しない。(**1) 遠隔操作による操業は行わないものとする。 システム管理者の、意図的な破壊的行為は想定しない。(**2) システム管理の役割を担う者は教育レベル・および倫理観が高いものとし、セキ ュリティ侵犯は行なわないものとする。 部外者の、ローカルなアクセス手段は想定しない。(**3) 機器類はすべてプラントの工場敷地内に設置されているものとし、工場入退は守 衛によりチェックされているものとする。また、組織外部の侵入者は守衛を突破し 工場内部の制御室に押し入るような、直接的な物理的破壊活動を伴わないものとす る。 以上の前提条件の下で想定される侵入者を、「表 21 想定される侵入者」に示す。表中の 記号 ** は、対応する前提条件の番号を表している。 表21 想定される侵入者 アクセス方法 ローカル リモート 凡例 不正行為の種類 オペレータ システムユーザ システム管理者 非破壊的 ○ ○ ○ ○ ―――― ○ × ○ ―――― ×(**2) 破壊的 非破壊的 破壊的 ○:想定する (**1) × ×(**1) (**2) リモート メンテナンス者 ―――― ―――― ○ ○ 部外者 ×(**3) ×(**3) ○ ○ ×:想定しない ――:ケースとして考慮しない。 システムユーザはローカルから、一方リモートメンテナンス者はリモートからのみ作業を行うため。 103 以上の内容にしたがって、不正アクセスの発生可能性の大小について検討する。DCS サブシステムに対して、この作業を行なった結果の一例を、 「表 22 不正アクセスの発生可 能性の大小(DCS の場合) 」に示す。ここでは、以下のような条件を想定している。 オペレータはコンソールを通常業務として常に操作しているため、コンソール経由 の不正アクセスを想定した場合、その発生可能性は他のユーザよりも高い。 EWS、エンコン、保守用コンソールは保守用端末であり、運転室とは別場所に設 置される。従って、オペレータによるアクセス機会は少なく、不正アクセスの発生 可能性は低い。 コンソールは運転室に設置されており、システムユーザおよびシステム管理者は通 常業務としては操作しない。従ってアクセス機会は少なく、不正アクセスの発生可 能性は低い。 部外者は正規ユーザ以外の者を広く指し、その母数は非常に大きい。従って、リモ ートメンテナンス用端末、および情報系端末等のシステム外部に設置されている端 末に対するアクセス機会は非常に高いと考えられ、不正アクセスの発生可能性も極 めて高い。 部外者によるローカルなアクセス機会は極めて希なケースであり、従って、コンソ ールのようにシステム内部からの不正アクセスを想定した場合、その発生可能性は 非常に低いと考えられる。 表22 不正アクセスの発生可能性の大小(DCS の場合) サブシステム DCS アクセス方法 ①コンソール経由 ②EWS経由 ③エンコン経由 ④保守用コンソール経由 ⑤リモートメンテナンス用端末経由 ⑥リモートアクセスサーバ経由 備考 管理対象 オペレータ システムユーザ システム管理者 リモート メンテナンス者 部外者 コントローラ 3 1 1 ―― 1 コンソール 3 1 1 ―― 1 A社製制御LAN 3 1 1 ―― 1 コントローラ 1 2 2 ―― 1 EWS 1 2 2 ―― 1 1 A社製制御LAN 1 2 2 ―― コントローラ 1 2 2 ―― 1 エンコン 1 2 2 ―― 1 A社製制御LAN 1 2 2 ―― 1 コントローラ 1 2 2 ―― 1 保守用コンソール 1 2 2 ―― 1 1 A社製制御LAN 1 2 2 ―― コントローラ 1 ―― 2 2 1 コンソール 1 ―― 2 2 1 1 A社製制御LAN 1 ―― 2 2 コントローラ 1 ―― 2 2 3 コンソール 1 ―― 2 2 3 EWS 1 ―― 2 2 3 エンコン 1 ―― 2 2 3 計装系制御LAN 1 ―― 2 2 3 ――:想定しない不正アクセス 本報告書においては、システムユーザとリモートメンテナンス者は互いに補完する位置 付けにしている。なぜならば、運用ガイドラインではリモートメンテナンス者がシステム ユーザの一形態として包含されており、リモートメンテナンス時のセキュリティ対策が見 104 えにくくなっているため、これを陽に明示するためにリモートメンテナンス者をシステム ユーザから分離したからである(2.4.2リモートメンテナンスユーザ参照)。すなわち両者 を合わせて運用ガイドラインにおけるシステムユーザの概念となる。従って「表 21 想定 される侵入者」で記述しているように、システムユーザによるリモートアクセス、および リモートメンテナンス者によるローカルアクセスは想定しない。この結果「表 22 不正ア クセスの発生可能性の大小(DCS の場合)」においても不正アクセスとして想定していな いので留意されたい。 (3) 不正アクセスの重大度ランクを決定する 前述の不正アクセスの被害と発生可能性から、不正アクセスの重大度ランクを決定する。 DCSサブシステムに対して、この作業を行なった結果の一例を、「表 24 不正アクセスの 重大度ランク(DCS の場合) 」に示す。 表 24では、重大度ランクを、 「表 19 不正アクセスによる被害の大小(DCS の場合) 」 における被害のランク(A∼C)と、「表 22 不正アクセスの発生可能性の大小(DCS の場 合) 」における発生可能性のランク(1 1∼3 3)を組み合わせた形で表している。 例えば、DCSサブシステムの場合、 (a)ユーザ「システムユーザ」が、 (b)アクセス方法「コンソール経由」で、アカウント発行/停止するために、 (c)管理対象「コントローラ」の「データ」を、 (d)「改ざん」する。 という不正アクセスの重大度ランクは、A1 であることを表している。すなわち、この A1 という値は、 「DCSのデータに対する不正取得の被害は、ランク A である(表 19)」と いうことと、「システムユーザによるコンソール経由のコントローラに対する不正アクセス の発生可能性は、ランク 1 である(表 22) 」ということの組み合せにより決定される。 従って、重大度ランクは C1 から A3 までの9通りの値をもつことになる。表 24では、 不正アクセスの重大度の大小がわかりやすいように、重大度ランクを重大度が高い順に(大 中小)の3段階に分類し、網掛けによって区別している。網掛けのもつ意味は下表のとお りである。 表23 重大度のレベルを表す網掛けとランク 網掛け レベル 該当する重大度ランクの値 大 A3 被害 中 A2 B3,B2 小 A1 B1 C3,C2,C1 105 A B C 発生可能性 1 2 3 中 大 小 中 中 小 小 小 小 表24 不正アクセスの重大度ランク(DCS の場合) オペレータ サブシステム DCS アクセス方法 ①コンソール経由 管理対象 コントローラ コンソール A社製制御LAN ②EWS経由 コントローラ EWS A社製制御LAN 106 ③エンコン経由 コントローラ エンコン A社製制御LAN ④保守用コンソール経由 コントローラ 保守用コンソール A社製制御LAN 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 不正 取得 改ざん C3 A3 C3 C3 C3 C3 C3 C3 C3 C1 A1 C1 C1 C1 C1 C1 C1 C1 C1 A1 C1 C1 C1 C1 C1 C1 C1 C1 A1 C1 C1 C1 C1 C1 C1 C1 A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 B1 B1 B1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 システムユーザ 破壊 不正 取得 改ざん A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 B1 B1 B1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 C1 A1 C1 C1 C1 C1 C1 C1 C1 C2 A2 C2 C2 C2 C2 C2 C2 C2 C2 A2 C2 C2 C2 C2 C2 C2 C2 C2 A2 C2 C2 C2 C2 C2 C2 C2 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 B2 B2 B2 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 システム管理者 破壊 不正 取得 改ざん A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 B2 B2 B2 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 C1 A1 C1 C1 C1 C1 C1 C1 C1 C2 A2 C2 C2 C2 C2 C2 C2 C2 C2 A2 C2 C2 C2 C2 C2 C2 C2 C2 A2 C2 C2 C2 C2 C2 C2 C2 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 B2 B2 B2 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 リモート メンテナンス者 破壊 不正 取得 改ざん A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 B2 B2 B2 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― 部外者 破壊 不正 取得 改ざん 破壊 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C1 A1 C1 C1 C1 C1 C1 C1 C1 C1 A1 C1 C1 C1 C1 C1 C1 C1 C1 A1 C1 C1 C1 C1 C1 C1 C1 C1 A1 C1 C1 C1 C1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 B1 B1 B1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 B1 B1 B1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 オペレータ サブシステム DCS アクセス方法 ⑤リモートメンテナンス用端末経由 管理対象 コントローラ コンソール A社製制御LAN ⑥リモートアクセスサーバ経由 コントローラ コンソール EWS エンコン 107 計装系制御LAN 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス システムユーザ システム管理者 リモート メンテナンス者 部外者 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 C1 A1 C1 C1 C1 C1 C1 C1 C1 C1 A1 C1 C1 C1 C1 C1 C1 C1 C1 C1 C1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 B1 B1 B1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 B1 B1 B1 C1 C1 C1 A1 A1 A1 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C2 A2 C2 C2 C2 C2 C2 C2 C2 C2 A2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 B2 B2 B2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 B2 B2 B2 C2 C2 C2 A2 A2 A2 C2 A2 C2 C2 C2 C2 C2 C2 C2 C2 A2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 B2 B2 B2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 B2 B2 B2 C2 C2 C2 A2 A2 A2 C3 A3 C3 C3 C3 C3 C3 C3 C3 C3 A3 C3 C3 C3 C3 C3 C3 C3 C3 C3 C3 C3 C3 C3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 B3 B3 B3 C3 C3 C3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 B3 B3 B3 C3 C3 C3 A3 A3 A3 3.1.6 セキュリティ・ポリシー条文 セキュリティ・ポリシー条文 本項では、まず前々項「3.1.4 正規アクセス」で定義した禁止事項を文書形式で表現し、 セキュリティ・ポリシーの条文として明文化する。 次に、前項「3.1.5 不正アクセスと管理対象の重大度ランク」で明らかにした重大度ラ ンクを基に、重点的に守るべき対象を選択し、その各々について 設備、装備によるシステム的な方策による防衛 規則、手順による運用上の方策による防衛 の何れの方策にて実施するかを決定した上で、それを基本指針として明文化することによ りセキュリティ・ポリシーの条文として追加する。 尚、前者の禁止事項は、システム構成および業務内容の変更が無い限り普遍的なもので あると言えるが、後者の基本指針は、不正アクセスによる被害の大きさ、投資効果、現状 の技術動向を含めて総合的に判断する必要があり、その判断基準に大きく依存する。すな わち、そこには普遍的に適用できる手法は存在し得ず、費用対効果、運用コスト、ひいて は企業理念をも加味した上で、関係者と協議し決定するというプロセス抜きにはセキュリ ティ・ポリシーは作成できない。 従って本項では、前者の禁止事項を明文化する手法について説明するに止め、実際のセ キュリティ・ポリシー条文の作成例に関しては「4.2.2(5)セキュリティ・ポリシー条文」を 参照されたい。 以下、禁止事項のセキュリティ・ポリシー条文化の要領について、DCS サブシステムを 例に説明する。 「表 16 DCSサブシステムにおける正規アクセス」のオペレータの列に着目した場合、 コンソールを経由したコントローラに対する操作は、オペレータにのみ許されていること がわかる。このことから、以下の条文が導出される。 コンソールを操作してコントローラにアクセスするのはオペレータのみとし、オペ レータ以外のユーザはこのアクセス経路を利用してはならない。 オペレータ以外の各ユーザに対しても、この作業を行うことによって、すべての正規ア クセスを網羅的に条文化することができる。DCSサブシステムに対して、この作業を行 なった結果の一例を、以下に示す。 1. コンソールを操作してコントローラにアクセスするのはオペレータのみとし、オペ レータ以外のユーザはこのアクセス経路を利用してはならない。 2. EWS、エンコン、保守用コンソールを操作してコントローラにアクセスするのはシ ステムユーザおよびシステム管理者のみとし、システムユーザおよびシステム管理 者以外のユーザはこのアクセス経路を利用してはならない。 3. リモートメンテナンス用端末、リモートアクセスサーバを経由してコントローラに アクセスするのはリモートメンテナンス者のみとし、リモートメンテナンス者以外 のユーザはこのアクセス経路を利用してはならない。 4. リモートメンテナンス者は、リモートメンテナンス用端末、リモートアクセスサー バを経由して、コントローラをはじめとする制御機器上のシステム管理に関するサ ービスを使用してはならない。 108 3.2 運用マニュアルの策定方法 本節では、制御系システムにおける運用マニュアルの策定方法について説明する。 制御系システムのセキュリティ管理を運用するための運用方法は、あらかじめ用意され た運用マニュアルのテンプレートに対して、取捨選択や優先付け、および追加、修正を行 うことによって策定する。すなわち、テンプレート版から、実際の制御系システムへの適 用版を作成する形式を採用している。 また運用テンプレート自体の作成プロセスとしては種々考えられるが、本報告書では、 「2.2外部接続ニーズとの関連性」において制御系プラントにおける外部接続ニーズから出 発した脅威・対策の分析を行ない、運用上の対策を運用ガイドラインと対比しながら整理 するという作業を行なったが、この作業と合わせて運用マニュアルのテンプレートを作成 するというアプローチを選択した。この運用マニュアルテンプレートについては「2.3運用 マニュアルテンプレート」に紹介している。 さて、この運用マニュアルテンプレートを実際の制御系システムに適用する際には、以 下の点について留意しなければならない。 運用マニュアル適用版は、前節「3.1セキュリティ・ポリシーの策定方法」で策定し たセキュリティ・ポリシーを反映したもの、あるいはセキュリティ・ポリシーの範 囲内に納まったものでなければならない。 運用マニュアルテンプレートは、運用コストの大小を考慮せず網羅的に作成してい るため、適用版を作成する際には、対象システムにおける運用コストを加味した判 断が必要となる。 従って、運用方法の策定は、以下の手順で行う。 1. 運用マニュアルの対象となるユーザを決定し、そのユーザ向けに用意されたテンプ レートを選択する。 2. セキュリティ・ポリシーに従って、テンプレート中の各条文ごとに取捨選択を行な い、必要であれば、追加、具体化を行なう。 作成すべき図表等の一覧を「表 25 各策定手順において作成する図表等一覧」に、一連 の策定手順の流れを「図 12 運用マニュアルの策定方法」に示す。また、実際に作成した運 用マニュアル例については「4.2ケーススタディ 1 / 4.2.3運用マニュアルの策定」を参照さ れたい。 109 表25 各策定手順において作成する図表等一覧 項番号 項見出し 2.2 外部接続ニーズとの関連性 2.3 110 4.2 4.3 運用マニュアルテンプレート ケーススタディ 1 ケーススタディ 2 内容 作成する図表等 作業 順番 *外部接続ニーズから発生する脅威とその対策をまとめる。 *ニーズから導かれた対策とガイドラインとの対応関係を検討し、 運用ガイドラインを補足、具体化する。 運用マニュアルテンプレート ① 運用マニュアル ② *ケース1 クラッカー攻撃を想定して、実プラント・モデル・システムにおける セキュリティ・ポリシーと運用マニュアルを策定する。 *ケース2 サイバーテロリズムを想定して、実プラント・モデル・システムにお けるセキュリティ対策を検討する。 [凡例] ① 運用ガイドラインの補足・具体化 作業順番 作業名称 (1) 外部接続ニーズと 脅威・対策の関連性の分析 運用ガイドライン (2) 運用ガイドラインと脅威の 関連性の分析 作業に必要な情報 運用マニュアル テンプレート ② 運用マニュアルの 作成 作成するドキュメント セキュリティ ポリシー 運用マニュアル 図12 運用マニュアルの策定方法 111 4 ケーススタディ 本章では、実プラントを想定して、そのセキュリティ・ポリシーと運用マニュアルを実 際に策定する。 まず、実プラントのモデル・システムについて説明する。 次に、先に検討した適用方法と運用マニュアルテンプレートを利用して、実プラント・ モデル・システムにおけるセキュリティ・ポリシーを策定し、それに基づく運用マニュア ルを作成する。 このケーススタディでは、侵入者について異なる前提条件を設定した2つのケースにつ いて検討する。すなわち、ケーススタディ1では侵入者にクラッカーを想定した場合のセ キュリティ対策を検討し、ケーススタディ2ではサイバーテロリズムを想定した場合のセ キュリティ対策を検討する。 4.1 実プラント・モデル 実プラント・モデル・システム ・モデル・システム 4.1.1 概要 本章では、 「ケーススタディ 1」及び「ケーススタディ 2」の対象となるモデル・システ ムを設定する。 モデル・システムの設定においては、本研究実施メンバの実務経験が深い、某製造業の A プラント、B プラントにおける最近のシステム事例を各々数例収集し、それらの事例を 基にモデル・システムを設定した。 また、セキュリティ・ポリシーおよびその運用方法を検討する上では、対象システムに 加えて、対象ユーザの定義も必要となる。このため、当該モデル・システムにおけるユー ザとその役割に関しても合わせて設定した。 モデル・システムで使用している用語については「付録 B 用語集」で解説しているので 参照されたい。 4.1.2 実プラント・モデル 実プラント・モデル・システム ・モデル・システム 中間報告書においてもモデル・システムが設定されているが(図 1 大規模プラント・ネ ットワークに於けるシステム構成モデル)、このモデル・システムは主としてエネルギー、 製造業における業界横断的な制御系システムのモデルである。 そこで本報告書におけるケーススタディにおいては、対象業界を限定したより具体的な モデル・システム、すなわち、鉄鋼プラントを対象とした方が具体的なイメージが湧き易 く、より現場の経験、意見が反映できると考え、鉄鋼プラントをベースとするモデル・シ ステムを作成することにした。 このように、本研究報告書においては以後 2 種類のモデル・システムが登場することに なるが、これらを区別するため、中間報告書が作成したモデル・システムを「モデル・シ ステム」 、本章にて作成する実プラントを対象としたモデル・システムを「実プラント・モ デル・システム」と称することとする。 112 実プラント・モデル・システム作成にあたっては、某製造業の A プラント、B プラント における最近のシステム事例を参考とし、以下の点に留意した。 中間報告書における第3世代の制御系システムで構成されていること。 制御系システムに対する外部接続には、各機器とリモート端末がモデム接続である こと、プロコン−情報系 LAN 間が TCP/IP 接続であること。 中間報告書が作成したモデル・システムと同一なシステム構成が可能な部分は同一 にする。使用する用語は、モデル・システムとできる限り同一にすること。 ケース・スタディで検討する実プラント・モデル・システムを「図 13 実プラント・モ デル・システム」に示す。このシステム構成に関して以下に解説を加える。 尚、実プラント・モデル・システムにおけるセキュリティ・ポリシーの策定においては、 アクセス経路を考慮してサブシステムに分割し、また機器類のグルーピングを行なって検 討するが、これに関しては「4.2ケーススタディ 1」にて記述する。 (1) 制御系システム 制御系システムは、大きく以下の 2 階層 3 ブロックから構成される。 プロコンを中心とするプロコン制御システム PLC を中心とするシーケンス制御システム DCS コントローラを中心とする計装制御システム プロコン制御システムと、シーケンス制御システムおよび計装制御システム間はイーサ ネット接続され、通常、TCP/IP プロトコルが採用される(制御系情報 LAN-1) 。中間報告 書のモデル・システムを参考に、制御系情報 LAN-1 に接続する、独立したリモートアク セスサーバを装備することにする。これは、プロコン制御システム、シーケンス系制御シ ステム、計装系制御システムのリモートメンテナンス用であり、モデム経由の端末よりそ れぞれの保守が行なえる。 (i) プロコン制御システム プロコンを中心とするプロコン制御システムは、計装制御システムおよびシーケンス制 御システムの機能面で上位に位置する制御系システムであり、実プラントの制御・管理全 体を司る。制御モデルに基づいたリアルタイム制御を行なう場合もある。 プロコン制御システムは、さらに本番系プロコンシステムと開発系プロコンシステムの 2 者より構成される。実プラントの制御は本番系によって行われ、開発系はプログラムの 開発、テスト用途に使用される。このとき、開発系においても実プラントの操業データ、 制御データを参照することは可能であるが、参照のみであり出力はモニタのみに抑制され る。この本番系/開発系を切り替える、いわゆるデュアル/デュプレックス構成をとる場合 も多いが、本研究の主旨とは関係しないため本システムには採用しないことにする。 プロコンは、保守用コンソールおよびオペレータ用コンソール(オペコン)の 2 種のコ ンソールを有する。本番系プロコンは本番用オペコンとイーサネット接続され(制御系情 報 LAN-2)、開発系プロコンは開発用オペコンとイーサネット接続される(制御系情報 LAN-3) 。混乱を生じないように、この両者は物理的に分離されていることにする。 113 全社システム インターネット/公衆回線 生産管理オンライン 携帯端末 ルータ DNSサーバ他 社内情報系バックボーン (WAN) FireWall ルータ OA LAN 基地局 ルータ 注釈 *プロコンRASボードは、 Reliability, Availability, ビジコン Servicability対策用の 生産管理用端末 機器。 リモート GateWay *RASサーバは、 アクセス Remote Access ルータ サーバ Service用のサーバ 工程別生産管理データウェイ ルータ 情報系LAN 情報系 システム OA端末 M M 制御系 システム プロコン制御 システム オペコン (運転室内) 114 制御系情報LAN-1 開発系プロコン 本番系プロコン (プロセスコンピュータ) RAS ボード 保守用 コンソール 制御系情報LAN-3 保守用 コンソール オペコン イーサネット 制御系情報LAN-2 計装制御システム (DCS) エンコン イーサネット リモート アクセス サーバ シーケンス制御 システム Gate Way 保守用 コンソール 制御LAN-1 DCS コントローラ PBX オペコン ダイヤルアップ接続 PIO PIO PIO 現場 制御LAN-2 (メーカ独自LAN) RPIO 公衆回線 M オペコン PLC PLC オペコン 計装系制御LAN (メーカ独自LAN) 外部へ PIO PC (リモートエンジニアリング) (リモートコンソール) 図13 実プラント・モデル・システム 保守用 コンソール PIO PIO PLC オペコン M エンコン 外部へ シーケンス制御システム (ii) PLC を中心とするシーケンス制御システムは、プロコンを中心とするプロコン制御シス テムの下位に位置する制御系システムであり、プロコンの制御レファレンスに従って動作 する。種々のセンサ、操作端とのインターフェースを行ない、電磁弁、電動機等のアクチ ュエータを制御する。機械系と直結するためよりリアルタイム性が要求される。 PLC は単独で制御を行なう場合と、複数台の PLC による分散制御で行われる場合があ る。後者の場合、各 PLC とオペレータ用コンソール間は LAN 接続されることが多く(制 御 LAN-2) 、この LAN はメーカ独自仕様の LAN である。プロセス信号は各 PLC に直結 される場合とリモート PIO(RPIO)を使用して、この LAN に接続される場合がある。 また、PLC のソフトウェア調整、データ調整はローカルの保守用コンソール、またはエ ンコンにより行われることが通常であるが、リモート・メンテナンスのニーズに答えて、 PLC 用のエンジニア用コンソール(エンコン)が複数台の PLC とイーサネット接続され (電気系保守 LAN)、このエンコンまたはエンコンにモデム接続された端末によりシステ ム・メンテナンスを行えるメーカが増えつつある。 計装制御システム (iii) DCS コントローラを中心とする計装制御システムは、シーケンス制御システムと同様、 プロコン制御システムの下位に位置する制御系システムであり、プロコンの制御レファレ ンスに従って動作する。主として流体系、燃焼系の制御を行い、数多くのフィードバック ループを構成する。その即応性はシーケンス系制御システムと比すると比較的緩やかであ る。 DCS コントローラ単独で制御する場合もあるが、DCS コントローラおよびそのオペレ ータ用コンソール(オペコン)、エンジニア用コンソールも PLC と同様にメーカ独自仕様 の LAN により接続される場合が一般的である(制御 LAN-1) 。オペコンやエンコンから 制御 LAN 経由で DCS コントローラのシステム・メンテナンスを行うことが多いが、エン コンは常時電源投入状態ではない場合もあるため、一般的なオペコン経由にてリモート・ メンテナンスを行うシステムとする。G/W にもリモート・メンテナンスを行えるシリアル・ インターフェイスを有する機器であることが多いが、リアルタイム性の要求度が高い場合 があるので、オペコンからのリモート・メンテナンスを採用する。 (2) 情報系システム 制御系システム以外を、ここでは情報系システムと呼ぶが、そのシステムは多くのシス テムの複合体になっていて、有機的に結びついている。一般的なシステムとして類型化す ることは困難で、本研究に関連のある部分を単純化して表記するようにした。制御系シス テムから見た情報系システムを分類すると、下記が挙げられる。 生産管理オンラインシステム OA システム、設備管理システム 社内情報系バックボーン(WAN) インターネット接続システム 115 (i) 生産管理オンラインシステム プロコンと直接、情報の授受を行うシステムで、第3世代ではイーサネット接続、TCP/IP プロトコル使用が一般的である。工程別生産管理系データウェイとは、パケットの分離を 行うためにルータを経由する。生産管理オンラインビジコンはリアルタイムの情報送受信 を行うのに対し、生産管理バッチビジコンが長期間、大量の生産計画・実績管理を行うと 共に、客先情報、受注情報、経理・人事情報などの情報管理を行う(本研究には、直接関 係しないため、システム構成図から削除した) 。 生産管理用端末は、生産管理オンラインビジコンの端末として動作し、その内部情報を 表示・修正する専用の応用ソフトウェアが動作している。プロコンのオペコンと同一の運 転室に設置されることが多いが、システム構成上、直接情報の授受が行われることは無い。 中間報告書では、携帯端末がリモートアクセスサーバ経由で制御系情報 LAN に接続さ れているが、設備管理情報入力や在庫品管理など情報系 LAN またはさらに上位の LAN へ の接続が多いと考え、工程別生産管理系データウェイへの接続とした。 (ii) OA システム、設備管理システム Office Automation(OA)システムは、スタッフの事務インフラとして定着し、さらに、 イントラネット/エクストラネット/インターネット端末としての機能をもつ機器として 定着してきている。機能上から生産管理オンラインシステムとは分離したネットワークセ グメントを持たせることが多いので、分割した。ネットワーク的に接続していない場合も あるが、第3世代の制御系システムを前提にする考え方に倣って、ネットワーク上接続さ れているシステム構成とした。 OA LAN と同じ位置付けにあるネットワークとして、設備管理システムが考えられる。 OA LAN を代表に、実プラント・モデル・システムに掲載した。OA LAN は1系統のみで はなく、多くの OA LAN が敷設されている場合があるが、構内基幹 LAN を経由して、有 機的に結合している。 (iii) 社内情報系バックボーン( ) 社内情報系バックボーン(WAN) 接続長が比較的短いイーサネット接続に対し、数 Km の距離を接続する汎用ネットワー クが敷設されている場合がある。社内の LAN 同士を接続する基幹データウェイのひとつ であり、専用回線を使用する場合と公衆回線を使用する場合がある。中間報告書のモデル・ システムにおいては、全社システムのネットワーク経由のインターネット接続と構内 LAN からのインターネット接続の2系統が示されているが、セキュリティ上からは同じ条件に なるため、全社システムからのインターネット接続は省略した。 いくつかの工程別生産管理系データウェイや OA LAN、設備管理 LAN、全社システム との接続などがある。 (iv) インターネット接続システム インターネットと OA 端末の接続は、Firewall と各種サーバの組合せで、インターネッ トが持つ機能の活用範囲とセキュリティ対策のかね合いで装備する機能が異なってくるの で、一般的な定義はできないが、通常、次の機能のみの活用が可能で、他機能は動作不能 状態にしている。 WWW 閲覧 電子メール 116 即ち、ftp, telnet などのコマンド、ユーティリティ, NFS などは使用できない。 4.1.3 ユーザとその役割 セキュリティ・ポリシーおよびその運用方法を検討する上では、対象システムに加えて、 対象ユーザの定義も必要となる。このため、本節においては、実プラント・モデル・シス テムにおけるユーザとその主な役割について定義する。 実プラント・モデル・システムの正規ユーザとして、以下の(a)∼(d)の 4 種類のユーザ を定義し、これら以外の者、すなわち非正規ユーザを全て“部外者”として定義する。 (a)オペレータ (b)保守担当者(システムユーザ) (c)保守担当者(システム管理者) (d)リモートメンテナンス者 (e)部外者 (1) オペレータ 操業者、運転員のことであり、オペコン(制御系システムの操作端末)を使用して、プ ラントの操業、監視を行なう。主要な業務内容は以下のものである。 制御論理の起動/停止(制御機能の選択/入切) 設定値の変更 プラント状況の監視 (2) 保守担当者 設備のメンテナンス員のことであり、保守用コンソール、エンコンを使用して、制御系 システムの保守作業および運用管理を行なう。 ここでは、その形態に応じてさらに“保守担当者(システムユーザ) ”“保守担当者(シ ステム管理者) ” “リモートメンテナンス者”の 3 種類のユーザに類別する。実際には 1 人 の者がこれら複数の役割を担うことになるのが大半である。 (i) 保守担当者(システムユーザ) 保守担当者(システムユーザ) 制御系システムの一般的な保守作業を行なう場合は、保守担当者(システムユーザ)と する。主要な業務内容は以下のものである。 制御論理の修正、開発 ユーザインターフェースの修正、開発 診断業務(障害情報の収集、LAN (ii) 使用状況の把握、コンソール稼動状況の把握等) 保守担当者(システム管理者) 保守担当者(システム管理者) 制御系システムの運用管理を行なう場合、すなわち、 ユーザの登録、削除 117 運用データのバックアップ ログ情報の監視 などを行なう場合は、保守担当者(システム管理者)とする。 (iii) リモートメンテナンス者 前記の保守担当者(システムユーザ)の作業を、リモートメンテナンス端末を使用して 制御系システムの外部から行なう場合は、特に区別してリモートメンテナンス者とする。 (3) 部外者 制御系システムの利用権限を持たない者全てを部外者と定義する。この部外者にはスタ ッフ(管理職、技術スタッフ、操業スタッフ、開発者等)も含まれる。 尚、上記のユーザ定義を整理したものを「表 7 運用マニュアルテンプレートのユーザ定 義」に示す。また、実プラント・モデル・システムには 8 種類の操作端末が存在するが、 これら端末の使用ユーザとその業務内容を「表 27 実プラント・モデル・システムのユー ザ端末」に整理したので参考にされたい。 表26 実プラント・モデル・システムのユーザ定義 ユーザ 役割 主要な業務内容 保守担当者 オペレータ 操業者 制御論理の起動/停止 (制御機能の選択/入切) 設定値の変更 プラント状況の監視 保守担当者 (システムユーザ) プラント内部で保守作業を行なう者 制御論理/ユーザインターフ ェースの修正、開発 診断業務 プラント内部で運用管理を行なう者 ユーザの登録、削除 運用データのバックアップ ログ情報の監視 プラント外部より保守作業を行なう者 制御論理/ユーザインターフ ェースの修正、開発 診断業務 保守担当者 (システム管理者) リモートメンテナンス者 部外者 スタッフ(管理職、技術スタッフ、操業 スタッフ、開発者等)を含む非正規ユ ーザ 118 表27 実プラント・モデル・システムのユーザ端末 端末の名称 端末を利用するユーザ 119 業務 操業 ・プラント状況の監視 ・設定値の変更 ・制御論理の起動/停止(制御機 能の選択/入切) 等 操業支援 ・プロセスの状態解析 ・運転パラメータの最適化 等 生産管理/品質管理 ・生産計画 ・生産実績管理 ・現品管理 等 開発 ・制御論理の開発 ・ユーザインターフェースの開発 等 運用 ・障害情報の収集 ・LAN 使用状況の把握 ・コンソール稼動状況の把握 ・ユーザの登録・削除 ・運用データのバックアップ ・アクセスログの監視 等 保守 ・制御論理の修正 ・ユーザインターフェースの修正 ・ハードウェアの改造 等 オペコン(開発系 プロコン以外) オペレータ オペコン(開発系 プロコン) 保守担当者(シス テムユーザ) 保守担当者(シス テム管理者) 保守用コンソール エンコン 保守担当者(シス テムユーザ) 保守担当者(シス テム管理者) 保守担当者(シス テムユーザ) 保守担当者(シス テム管理者) リモートメンテナン ス用端末 リモートメンテナン ス者 OA 端末 生産管理用端末 携帯端末 部外者 部外者 オペレータ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ (現品管理) 4.2 ケーススタディ 1 4.2.1 (1) ケーススタディ 1 の進め方 セキュリティ・ポリシーの策定 セキュリティ・ポリシーの策定 まず、「3.1セキュリティ・ポリシーの策定方法」で説明した手順にしたがって、制御系 システムにおけるセキュリティ・ポリシーを作成する。 (2) 運用マニュアルの策定 前項「(1)セキュリティ・ポリシーの策定」で策定したセキュリティ・ポリシーに沿って、 運用方法を記述したマニュアルを作成する。作成手順は、「3.2運用マニュアルの策定方法」 に従う。 作成する運用マニュアルは、以下の 3 編構成とする。 システムユーザ向け運用マニュアル システム管理者向け運用マニュアル リモートメンテナンス者向け運用マニュアル 上記は「図 6 運用マニュアルテンプレートの対象ユーザ」に示すように、運用ガイドラ インのそれぞれの基準に対応する。ここで、「保守担当者(システムユーザ)向け運用マニ ュアル」と「リモートメンテナンス者向け運用マニュアル」の両者が制御系システムユー ザ基準に対応しているのは、リモートメンテナンスユーザが制御系システムユーザに内包 されているためである(2.4.2リモートメンテナンスユーザを参照) 。 120 実プラント・モデル・システムのユーザ オペレータ 操業者 保守担当者 運用マニュアル 運用ガイドライン 保守担当者(システムユーザ)向け 制御系システムユーザ基準 保守担当者(システム管理者)向け 制御系システム管理者基準 リモートメンテナンス者向け ハードウェア・ソフトウェア供給者基準 ハードウェア・ソフトウェア供給者基準 保守担当者(システムユーザ) プラント内部で 保守作業を行なう者 保守担当者(システム管理者) プラント内部で 運用管理を行なう者 リモートメンテナンス事業者基準 リモートメンテナンス者 ネットワークサービス事業者基準 プラント外部より 保守作業を行なう者 部外者 スタッフ(管理職、技術スタッフ、 操業スタッフ、開発者等)を含む 非正規ユーザ 図14 運用マニュアルの対象ユーザ (3) 現場アンケートの実施 「(2)運用マニュアルの策定」で作成した運用マニュアルに関して、実際の現場従事者ま たはそれに準ずる人を対象としてアンケートまたはヒアリングを実施する。 回答の項目としては、 1. 既にそのように運用している。 2. そのように運用する必要性は認めるが実施していない。実施しようと思えばできる。 3. そのように運用する必要性は認めるが、とても現実的ではない。 4. そのように運用する必要性を認めない。 程度の細目を用意しておく。 このアンケートにより運用マニュアルの実地適用性を調査・分析し、実現性に疑問があ るものは再度検討の上、必要ならば運用マニュアルを修正する。また合わせて現場従事者 のセキュリティに対する意識を把握することができる。これらアンケート方法およびその 結果に対する考察に関しては「4.4.1アンケート結果」を参照されたい。 121 (4) 評価 アンケート結果を加味した上で、運用ガイドラインの「有効性」 「使いやすさ」について の評価を行なう。尚、結果はケーススタディ2と合わせて「4.4 考察」に記載する。 122 セキュリティ・ポリシーの策定 セキュリティ・ポリシーの策定 4.2.2 セキュリティ・ポリシーの策定にあたって、最初に正規アクセスと不正アクセスを定義 しなければならない。「4.2.1ケーススタディ 1 の進め方」で述べた正規アクセスの概念モ デルによれば、正規アクセスは、 (a)人 (b)役割 (c)アクセス方法 (d)管理対象 の関係で定義することができる。 本節では上記の(a)∼(d)を明確にすることによって、正規アクセスと不正アクセスを定義 し、続く次節でセキュリティ・ポリシー条文について説明する。 (1) 管理対象 まず、セキュリティ・ポリシーの管理対象、すなわち、 「セキュリティ・ポリシーによっ て守られるべき資産」を明確にする。 セキュリティ・ポリシーの管理対象を、「図 15 セキュリティ・ポリシーの管理対象」に 示す。図 15は、実プラント・モデル・システムにおける主要な構成機器類を抜粋したシス テム構成図になっている。点線で囲まれた部分が、セキュリティ・ポリシーの管理対象と なる。また、管理対象の中の実線で囲まれた機器類は、サブシステムを表す。ここでいう サブシステムとは、機能に着目して機器類のグルーピングを行ったときの機能単位を指す。 このサブシステムの名称とその構成機器の一覧を「表 28 サブシステムの名称と構成機器」 に示す。 123 生産管理 オンラインビジコン インターネット Gateway 無線専用ネットワーク 基地局 Router 社内情報系バックボーン 携帯端末 DNS Router RAS Router Router Firewall OA LAN 工程別生産管理系データウェイ 生産管理用端末 OA端末 Router 情報系LAN (イーサネット) 不正アクセスから守る資産 本番系 プロコン 開発系 プロコン 保守用コンソール 保守用コンソール オペコン (運転室内) M RAS ボード M 制御系情報LAN-2 (イーサネット) 制御系情報LAN-3 (イーサネット) オペコン オペコン 124 制御系情報LAN-1 (イーサネット) リモートアクセスサーバ PLC-1 PLC-3 Gateway M 計装系制御LAN (メーカ独自LAN) LANリモートメンテナンス用端末 (プラント外部) オペコン M DCSリモートメンテナンス用端末 (プラント外部) DCSコントローラ オペコン 電気系制御LAN (メーカ独自LAN) エンコン エンコン オペコン 保守用コンソール M PLCリモートメンテナンス用端末 (プラント外部) 電気系保守LAN (イーサネット) 図15 セキュリティ・ポリシーの管理対象 PLC-2 保守用 コンソール 表28 サブシステムの名称と構成機器 サブシステム名称 サブシステム概要 制御機器・サーバ 監視・操作系 本番系プロコン 開発系プロコン 本番系プロコンを中 開発系プロコンを中 心とするサブシステ 心とするサブシステ ム ム 本番系プロコン 開発系プロコン オペコン 保守用コンソール システム監視盤 オペコン 保守用コンソール 125 リモート端末 制御系情報 LAN-2 ネットワーク 制御系情報 LAN-3 スタンドアロン型 PLC スタンドアロン型 PLC を中心とするサ ブシステム PLC-3 オペコン 保守用コンソール LAN 型 PLC DCS コントローラ LAN 型 PLC を中心 とするサブシステム DCS コントローラを 中心とするサブシス テム DCS コントローラ PLC-1 PLC-2 オペコン 保守用コンソール エンコン オペコン エンコン PLC リモートメンテ ナンス用端末 電気系制御 LAN 電気系保守 LAN DCS リモートメンテ ナンス用端末 計装系制御 LAN Gateway リモートアクセスサー バ リモートアクセスサー バを中心とするサブ システム リモートアクセスサー バ LAN リモートメンテ ナンス用端末 制御系情報 LAN-1 (2) 役割とアクセス方法 本項では前項で定義した管理対象において、その役割とアクセス方法を明確にする。 各サブシステムにおけるアクセス経路を、「図 16 本番系プロコンにおけるアクセス経 路」から「図 21 リモートアクセスサーバにおけるアクセス経路」に示す。また合わせて、 各サブシステムにおけるアクセス経路ごとのユーザの役割を、「表 29 本番系プロコンにお けるユーザの役割」から「表 34 リモートアクセスサーバにおけるユーザの役割」に示す。 126 (i) 本番系プロコン ⑤ 本番系 プロコン ③ システム 監視盤 保守用コンソール RAS ボード M M ② 制御系情報LAN-2 (イーサネット) オペコン ① ④ 図16 本番系プロコンにおけるアクセス経路 表29 本番系プロコンにおけるユーザの役割 № アクセス経路 保守担当者 (システムユーザ) オペレータ 保守担当者 (システム管理者) リモートメンテナンス 者 (利用権限なし) (利用権限なし) (利用権限なし) ・ユーザの登録、削除 ・運用データのバックア ップ ・アクセスログ情報の 監視 等 (利用権限なし) ・ユーザの登録、削除 ・運用データのバックア ップ ・アクセスログ情報の 監視 等 (利用権限なし) (利用権限なし) ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 (利用権限なし) (利用権限なし) (利用権限なし) (利用権限なし) (利用権限なし) ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 (利用権限なし) ① オペコン経由 ② 保守用コンソール経由 ・プラント状況の監視 ・設定値の変更 ・制御論理 の起 動/停 止(制御機 能の 選択/ 入切) 等 (利用権限なし) ③ システム監視盤経由 (利用権限なし) ④ LAN リモートメンテナンス 用端末経由 ⑤ 情報系 LAN 経由 127 (ii) 開発系プロコン ④ 開発系 プロコン 保守用コンソール ② 制御系情報LAN-3 (イーサネット) オペコン ① ③ 図17 開発系プロコンにおけるアクセス経路 表30 開発系プロコンにおけるユーザの役割 № アクセス経路 オペレータ 保守担当者 (システムユーザ) 保守担当者 (システム管理者) ・制御論理/ユーザイン タフェースの修正、開 発 ・ユーザの登録、削除 ・運用データのバックア ップ ・アクセスログ情報の 監視 等 (利用権限なし) (利用権限なし) (利用権限なし) ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 (利用権限なし) ① オペコン経由 (利用権限なし) ② 保守用コンソール経由 (利用権限なし) ③ LAN リモートメンテナンス 用端末経由 (利用権限なし) ・制御論理/ユーザイン タフェースの修正、開 発 ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 (利用権限なし) ④ 情報系 LAN 経由 (利用権限なし) (利用権限なし) 128 リモートメンテナンス 者 (利用権限なし) (iii) スタンドアロン型 PLC ③ PLC-3 保守用 コンソール オペコン ① ② 図18 スタンドアロン型PLCにおけるアクセス経路 表31 スタンドアロン型PLCにおけるユーザの役割 № アクセス経路 ① オペコン経由 ② 保守用コンソール経由 ③ LAN リモートメンテナンス 用端末経由 保守担当者 (システムユーザ) オペレータ ・プラント状況の監視 ・設定値の変更 ・制御論理 の起 動/停 止(制御機 能の 選択/ 入切) 等 (利用権限なし) (利用権限なし) 保守担当者 (システム管理者) リモートメンテナンス 者 (利用権限なし) (利用権限なし) (利用権限なし) ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 (利用権限なし) ・ユーザの登録、削除 ・運用データのバックア ップ ・アクセスログ情報の 監視 等 (利用権限なし) (利用権限なし) ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 129 LAN 型 PLC (iv) ⑤ PLC-1 電気系制御LAN (メーカ独自LAN) エンコン オペコン ③ 保守用コンソール ① PLC-2 ② M ④ PLCリモートメンテナンス用端末 (プラント外部) 電気系保守LAN (イーサネット) 図19 LAN型PLCにおけるアクセス経路 表32 LAN型PLCにおけるユーザの役割 № アクセス経路 保守担当者 (システムユーザ) オペレータ 保守担当者 (システム管理者) リモートメンテナンス 者 (利用権限なし) (利用権限なし) (利用権限なし) ・ユーザの登録、削除 ・運用データのバックア ップ ・アクセスログ情報の 監視 等 (利用権限なし) ・ユーザの登録、削除 等 (利用権限なし) (利用権限なし) (利用権限なし) ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 ・制御論理/ユーザイン タフェースの開発 等 (利用権限なし) (利用権限なし) (利用権限なし) (利用権限なし) ① オペコン経由 ② 保守用コンソール経由 ・プラント状況の監視 ・設定値の変更 ・制御論理 の起 動/停 止(制御機 能の 選択/ 入切) 等 (利用権限なし) ③ エンコン (利用権限なし) ④ PLC リモートメンテナンス 用端末経由 ⑤ LAN リモートメンテナンス 用端末経由 130 ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 (v) DCS コントローラ ④ Gateway 計装系制御LAN (メーカ独自LAN) オペコン DCSコントローラ エンコン ② ① M ③ DCSリモートメンテナンス用端末 (プラント外部) 図20 DCSコントローラにおけるアクセス経路 表33 DCSコントローラにおけるユーザの役割 № アクセス経路 ① オペコン経由 ② エンコン経由 ③ DCS リモートメンテナンス 用端末経由 ④ LAN リモートメンテナンス 用端末経由 保守担当者 (システムユーザ) オペレータ 保守担当者 (システム管理者) リモートメンテナンス 者 (利用権限なし) (利用権限なし) (利用権限なし) ・ユーザの登録、削除 等 (利用権限なし) (利用権限なし) (利用権限なし) ・制御論理/ユーザイン タフェースの開発 等 (利用権限なし) (利用権限なし) (利用権限なし) (利用権限なし) ・プラント状況の監視 ・設定値の変更 ・制御論理 の起 動/停 止(制御機 能の 選択/ 入切) 等 (利用権限なし) 131 ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 (vi) リモートアクセスサーバ 制御系情報LAN-1 (イーサネット) リモートアクセスサーバ M ① LANリモートメンテナンス用端末 (プラント外部) 図21 リモートアクセスサーバにおけるアクセス経路 表34 リモートアクセスサーバにおけるユーザの役割 № アクセス経路 ① LAN リモートメンテナンス 用端末経由 (3) オペレータ (利用権限なし) 保守担当者 (システムユーザ) (利用権限なし) 保守担当者 (システム管理者) (利用権限なし) リモートメンテナンス 者 ・障害情報の収集 ・LAN 使 用状況 の 把 握 ・コンソール稼動状況 の把握 ・制御論理/ユーザイン タフェースの修正 等 正規アクセス (1)と(2)で説明した管理対象、役割、アクセス方法をもとに、正規アクセスを定義する。 各サブシステムにおける正規アクセスを正規アクセス一覧表として、 「表 36 本番系プロコ ンにおける正規アクセス」から「表 41 リモートアクセスサーバにおける正規アクセス」 に示す。 正規アクセス一覧表における記号が示す意味は「表 35 アクセス権限を表す記号とその 意味」のとおりである。 表35 アクセス権限を表す記号とその意味 対象 機器 データ サービス (全て) 記号 P R W E × ―――― 意味 立上げ/立下げ(Power) 読み込み(Read) 書き込み(Write) 実行(Execute) アクセス権限なし 管理対象が存在しない 正規アクセス一覧表では、正規アクセスを、アクセス方法と管理対象と人の組み合せご とに示している。表の各列は、右側から順に、 (a)アクセス方法 132 (b)管理対象 (c)人 を示している。例えば、表 36-1 の場合、 (a)オペコン経由で、 (b)本番系プロコンのデータに、 (c)オペレータが、 正規にアクセスできるのは、 (d)Read (読み込み)、Write(書き込み) という行為である、ということを表している。 尚、表 36∼表 41に示す正規アクセス表においては、 「保守担当者(システムユーザ)」 と「保守担当者(システム管理者)」が同一のアクセス権限を有する結果となったが、これ は、本ケーススタディにおいては、保守担当者(システムユーザ)と保守担当者(システ ム管理者)が使用する端末が同一であること(「表 27 実プラント・モデル・システムのユ ーザ端末」参照)、およびそのアクセス経路もまた同一であること(表 29∼表 34参照)に 起因している。 表36 本番系プロコンにおける正規アクセス 表 36-1 ローカルアクセスの場合 アクセ ス方法 管理対象 本番系プロコン ① オペコン経由 オペコン 保守用コンソール システム監視盤 制御系情報LAN-2 本番系プロコン ② 保守用コンソール経由 オペコン 保守用コンソール システム監視盤 制御系情報LAN-2 オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― RW E P RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― E × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × P RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― ―――― 133 ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × P RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― 部外者 ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― アクセ ス方法 管理対象 本番系プロコン ③ システム監視盤経由 オペコン 保守用コンソール システム監視盤 制御系情報LAN-2 オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス × × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 P RW E ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― 保守担当者 保守担当者 リモート 部外者 × × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― 表 36-2 リモートアクセスの場合 アクセ ス方法 管理対象 ④ LANリモートメンテナンス用端末経由 本番系プロコン オペコン 保守用コンソール システム監視盤 制御系情報LAN-2 本番系プロコン ⑤ 情報系LAN経由 オペコン 保守用コンソール システム監視盤 制御系情報LAN-2 オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 134 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― RW × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 部外者 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 表37 開発系プロコンにおける正規アクセス 表 37-1 ローカルアクセスの場合 アクセ ス方法 管理対象 開発系プロコン ① オペコン経由 オペコン 保守用コンソール 制御系情報LAN-3 ② 保守用コンソール経由 開発系プロコン オペコン 保守用コンソール 制御系情報LAN-3 オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― × × × × × ―――― ―――― ―――― ―――― ―――― × × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ―――― RW E P RW E ―――― ―――― ―――― ―――― ―――― E P RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― RW E P RW E ―――― ―――― ―――― ―――― ―――― E P RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― × × × × × ―――― ―――― ―――― ―――― ―――― × × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― 保守担当者 保守担当者 リモート 部外者 ―――― × × × × × ―――― ―――― ―――― ―――― ―――― × × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― 表 37-2 リモートアクセスの場合 アクセ ス方法 管理対象 ③ LANリモートメンテナンス用 端末経由 開発系プロコン オペコン 保守用コンソール 制御系情報LAN-3 開発系プロコン ④ 情報系LAN経由 オペコン 保守用コンソール 制御系情報LAN-3 オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 135 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― RW × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 部外者 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 表38 スタンドアロン型PLCにおける正規アクセス 表 38-1 ローカルアクセスの場合 アクセ ス方法 管理対象 ① オペコン経由 PLC-3 オペコン 保守用コンソール ② 保守用コンソール経由 PLC-3 オペコン 保守用コンソール オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― RW E P RW E ―――― ―――― ―――― × × × ―――― ―――― ―――― × × × 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ―――― × × × × × ―――― ―――― ―――― P RW E ―――― ―――― ―――― P RW E ―――― × × × × × ―――― ―――― ―――― P RW E ―――― ―――― ―――― P RW E ―――― × × × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― × × × 保守担当者 保守担当者 リモート 部外者 ―――― × × × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― × × × 表 38-2 リモートアクセスの場合 アクセ ス方法 管理対象 ③ LANリモートメンテナンス用 端末経 由 PLC-3 オペコン 保守用コンソール オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― 136 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― RW × ―――― ―――― ―――― ―――― ―――― ―――― 部外者 ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― 表39 LAN型PLCにおける正規アクセス 表 39-1 ローカルアクセスの場合 アクセ ス方法 管理対象 PLC-1 PLC-2 ① オペコン経由 オペコン 保守用コンソール エンコン 電気系制御LAN 電気系保守LAN PLC-1 PLC-2 ② 保守用コンソール経由 オペコン 保守用コンソール エンコン 電気系制御LAN 電気系保守LAN オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― RW E ―――― RW E P RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― E ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 137 ―――― × × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 部外者 ―――― × × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― アクセ ス方法 管理対象 PLC-1 PLC-2 ③ エンコン経由 オペコン 保守用コンソール エンコン 電気系制御LAN 電気系保守LAN オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス × × × × × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― × 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 P RW E P RW E ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― E P RW E P RW E ―――― ―――― ―――― ―――― ―――― ―――― P RW E ―――― ―――― ―――― ―――― ―――― E × × × × × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― × 保守担当者 保守担当者 リモート 部外者 × × × × × × ―――― ―――― ―――― ―――― ―――― ―――― × × × ―――― ―――― ―――― ―――― ―――― × 表 39-2 リモートアクセスの場合 アクセ ス方法 管理対象 PLC-1 ④ PLC-2 リモートメンテナンス用端末経由 PLC オペコン 保守用コンソール エンコン 電気系制御LAN 電気系保守LAN オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × 138 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― RW × ―――― RW × ―――― ―――― ―――― ―――― ―――― ―――― ―――― RW × ―――― ―――― ―――― ―――― ―――― E 部外者 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × アクセ ス方法 管理対象 PLC-1 ⑤LANリモートメンテナンス用端末経由 PLC-2 オペコン 保守用コンソール エンコン 電気系制御LAN 電気系保守LAN オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― RW × ―――― RW × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 部外者 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 表40 DCSコントローラにおける正規アクセス 表 40-1 ローカルアクセスの場合 アクセ ス方法 管理対象 Gateway ① オペコン経由 DCSコントローラ オペコン エンコン 計装系制御LAN Gateway ② エンコン経由 DCSコントローラ オペコン エンコン 計装系制御LAN オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― RW E ―――― RW E P RW E ―――― ―――― ―――― ―――― ―――― E × × × × × × ―――― ―――― ―――― × × × ―――― ―――― × 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― × P RW E P RW E ―――― ―――― ―――― P RW E ―――― ―――― E 139 ―――― × × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― × P RW E P RW E ―――― ―――― ―――― P RW E ―――― ―――― E ―――― × × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― × × × × × × × ―――― ―――― ―――― × × × ―――― ―――― × 部外者 ―――― × × ―――― × × × × × ―――― ―――― ―――― ―――― ―――― × × × × × × × ―――― ―――― ―――― × × × ―――― ―――― × 表 40-2 リモートアクセスの場合 アクセ ス方法 管理対象 ③ Gateway リモートメンテナンス用端末経由 DCS DCSコントローラ オペコン エンコン 計装系制御LAN ④LANリモートメンテナンス用端末経由 Gateway DCSコントローラ オペコン エンコン 計装系制御LAN オペレータ 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― RW × ―――― RW × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― E ―――― RW × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 部外者 ―――― × × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― × ―――― × × ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 表41 リモートアクセスサーバにおける正規アクセス 表 41-1 ローカルアクセスの場合 アクセ ス方法 管理対象 ア(クセス経路なし ) 機器 リモートアクセスサー データ バ サービス 機器 制御系情報LAN-1 データ サービス オペレータ ―――― ―――― ―――― ―――― ―――― ―――― 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― ―――― 保守担当者 保守担当者 リモート 部外者 ―――― ―――― ―――― ―――― ―――― ―――― 表 41-2 リモートアクセスの場合 アクセ ス方法 管理対象 ① LANリモート メンテナンス用端末 経由 機器 リモートアクセスサー データ バ サービス 機器 制御系情報LAN-1 データ サービス オペレータ ―――― × × ―――― ―――― × (システムユーザ) (システム管理者) メンテナンス者 ―――― × × ―――― ―――― × 140 ―――― × × ―――― ―――― × ―――― RW × ―――― ―――― E 部外者 ―――― × × ―――― ―――― × (4) 不正アクセスと管理対象の重大度ランク ユーザがシステムに対して行なう操作において、前項で定義した正規アクセスとして認 められていない操作が不正アクセスに相当する。これら全ての不正アクセスを防ぐために は多大な投資と運用コストを必要とし、現実的ではない。 そこで本項においては、これら不正アクセスに対して重大度のランク付けを行ない、守 るべき対象を明らかにする。 ここで重大度とは、不正アクセスが発生した場合の被害の大小と、不正アクセスが発生 する可能性の2者から決定する。前者は不正アクセス発生後の影響度であり、不正アクセ スのアクセス対象、すなわちそのプラントにおける設備の役割に依存する。後者はいわば 不正アクセスの発生確率であり、侵入者とその侵入方法に関するものである。これは、機 器の設置場所、アクセスルート等の物理的条件と、アクセス者の種類、技術レベル、目的、 倫理観等の人の条件に左右される。 従って本項では以下の手順で管理対象の重大度ランクを決定する。 1. 不正アクセスによる被害の大小を決定する。 2. 不正アクセスの発生可能性を決定する。 3. 不正アクセスの重大度ランクを決定する。 不正アクセスによる被害の大小を決定する (i) 不正アクセスの種類を「不正取得」「改ざん」 「破壊」の 3 種類に区分し、プラントの各 設備に対して、これらによる被害が発生した場合のプラントへの影響度、社会的影響度、 損害額、復旧に要する時間等を考慮して、その被害の大小を決定する。 このとき、被害の大小の決定指針として「表 42 不正アクセスによる被害の大小の決定 指針」を設定する。基本的には、PLC、DCS コントローラ等の下位系の制御系システムに 対する不正アクセスほどその被害が大きいと考える。 表42 不正アクセスによる被害の大小の決定指針 被害のランク付け A B C 意味 このレベルの不正行為は、プラント の操業に即、影響を及ぼし、長期 的な損害を与えるか、ないしは操 業の継続を不可能にする。 不正行為の例 ・ 機器(バルブ、モータ等)を操作する ・ 製造指令や制御プログラムを変更・破壊する ・ 製造仕様や制御用設定値を変更・破壊する ・ 制御 LAN を乱す ・ DCS や PLC の操作画面をフリーズさせる 等 このレベル不正行為は、プラントの 操業に影響を及ぼすが、比較的短 期間での復旧が可能か、操業の 継続は可能である。 ・ 制御系情報 LAN を乱す ・ 製造指令や制御プログラムを不正取得する ・ プロセスコンピュータの操作画面をフリーズさせる このレベルの不正行為は、プラント の操業には影響を与えない。 ・ 製造仕様や制御用設定値を不正取得する ・ プロコン、DCS、PLC に侵入する 等 等 また、ここでは管理対象をさらに「機器」 「データ」「サービス」に区分し、各々に対す る「不正取得」 「改ざん」「破壊」の被害の大小を検討するが、その意味合いは下表のよう に設定する。尚、ID/パスワードはパスワードファイル等に含まれる 1 つの情報であり、 不正アクセスによりこれらを取得する行為は「データの不正取得」に該当する。不正取得 141 による被害とは、その取得した情報を公開することによってもたらされる被害を想定する ものとし、不正取得によって得た情報を利用して何らかの破壊的被害を及ぼす場合は「改 ざん」または「破壊」に該当するものとする。 表43 不正取得/改ざん/破壊について 機器 データ サービス 不正取得 機種、型式、ハードウェア設定情 報の取得 内容の取得 改ざん 誤動作を誘発する機器操作 破壊 機器の物理的な破壊 内容の変更 サービス内容の取得 サービスの変更、停止、起動 内容の論理的な破壊、または削 除 サービスの復旧不可能な破壊 以上の内容にしたがって、不正アクセスによる被害の大小について検討した結果を、「表 44 不正アクセスによる被害の大小」に示す。また、以下に表 44の補足説明を示す。 不正取得については、基本的には C とする。但し、プロコン、PLC、DCS 上のデー タには製造指令や制御プログラムが含まれるため、これらに対する不正取得は、B とする。 保守用コンソール、エンコンおよび電気系保守 LAN については、操業に直接には 関係しないため、C とする。 本番系プロコンサブシステムにおいて、保守用コンソール以外に対する改ざん/破壊 は、A とする。 開発系プロコンサブシステムにおいて、保守用コンソール以外に対する改ざん/破壊 は、開発系なので A ではなく B とする。 PLC サブシステムにおいて、保守用コンソール以外に対する改ざ ん/破壊は、A とする。 スタンドアロン型 LAN 型 PLC サブシステムにおいて、保守用コンソール、エンコンおよび電気系保 守 LAN 以外に対する改ざん/破壊は、A とする。 DCS コントローラサブシステムにおいて、エンコン以外に対する改ざん/破壊は、A とする。 LAN-1 に対する改ざん /破壊は、A とする。また、リモートアクセスサーバに対する改ざん/破壊は、操業に 直接には関係しないため、C とする。 リモートアクセスサーバサブシステムにおいて、制御系情報 142 表44 不正アクセスによる被害の大小 サブシステム 管理対象 本番系プロコン 機器 データ サービス 機器 オペコン データ サービス 機器 本番系プロコン 保守用コンソール データ サービス 機器 システム監視盤 データ サービス 機器 制御系情報LAN-2 データ サービス 開発系プロコン 機器 データ サービス 機器 オペコン データ サービス 開発系プロコン 機器 保守用コンソール データ サービス 機器 制御系情報LAN-3 データ サービス PLC-3 機器 データ サービス 機器 スタンドアロン型PLC オペコン データ サービス 機器 保守用コンソール データ サービス PLC-1 機器 データ サービス 機器 PLC-2 データ サービス 機器 オペコン データ サービス 機器 LAN型PLC 保守用コンソール データ サービス 機器 エンコン データ サービス 機器 電気系制御LAN データ サービス 機器 電気系保守LAN データ サービス Gateway 機器 データ サービス 機器 DCSコントローラ データ サービス 機器 DCSコントローラ オペコン データ サービス 機器 エンコン データ サービス 機器 計装系制御LAN データ サービス リモートアクセスサーバ 機器 データ サービス リモートアクセスサーバ 機器 制御系情報LAN-1 データ サービス 143 不正取得 改ざん 破壊 C B C C C C C C C C C C C C C A A A A A A C C C A A A A A A A A A A A A C C C A A A A A A C B C C C C C C C C C C B B B B B B C C C B B B B B B B B B C C C B B B C B C C C C C C C A A A A A A C C C A A A A A A C C C C B C C B C C C C C C C C C C C C C C C C A A A A A A A A A C C C C C C A A A C C C A A A A A A A A A C C C C C C A A A C C C C C C C B C C C C C C C C C C A A A A A A A A A C C C A A A A A A A A A A A A C C C A A A C C C C C C C C C A A A C C C A A A 不正アクセスの発生可能性を決定する (ii) 前項で定義した正規アクセスをもとに、不正アクセスの発生可能性の大小を決定する。 このとき、決定に際しての指針として、機器の設置場所に関する前提と、人に関する前提 を以下のように設定する。 オペレータの、リモートなアクセス手段は想定しない。(**1) 遠隔操作による操業は行わないものとする。 保守担当者(システム管理者)の、意図的な破壊的行為は想定しない。(**2) システム管理の役割を担う者は教育レベル・および倫理観が高いものとし、セキ ュリティ侵犯は行なわないものとする。 部外者の、ローカルなアクセス手段は想定しない。(**3) 機器類はすべてプラントの工場敷地内に設置されているものとし、工場入退は守 衛によりチェックされているものとする。また、組織外部の侵入者は守衛を突破し 工場内部の制御室に押し入るような、直接的な物理的破壊活動を伴わないものとす る。 以上の前提条件の下で想定される侵入者を、「表 45 想定される侵入者」に示す。表中の 記号 ** は、対応する前提条件の番号を表している。 表45 想定される侵入者 アクセス方法 ローカル リモート 凡例 不正行為の種類 オペレータ 非破壊的 ○ ○ 破壊的 非破壊的 破壊的 ○:想定する (**1) × ×(**1) 保守担当者 保守担当者 リモート (システムユーザ) (システム管理者) メンテナンス者 ○ ○ ―――― ―――― ○ ×(**2) ○ ×(**2) ―――― ―――― ○ ○ 部外者 ×(**3) ×(**3) ○ ○ ×:想定しない ――:ケースとして考慮しない。 保守担当者(システムユーザ)はローカルから、一方リモートメンテナンス者はリモートからのみ作業を行うた め。 ここでは発生可能性を3段階に区分し、その意味合いを下表のように設定する。 144 表46 発生可能性のランク付け 発生可能性の ランク付け 意味 該当する不正アクセス例 3 発生可能性が高い。 ・ オペレータによるオペコン経由の不正アクセス。 ・部外者によるリモートメンテナンス用端末よりの不正アクセス。 2 ランク3 と1 の中間に相当す る。 ・ 保守担当者(システムユーザ)および保守担当者(システム管理 者)による保守用コンソール経由の不正アクセス。 1 発生可能性が低い。 ・ オペレータによる保守用コンソール経由の不正アクセス。 ・ 保守担当者(システムユーザ)および保守担当者(システム管理 者)によるオペコン経由の不正アクセス。 ・部外者によるオペコン経由の不正アクセス。 以上の内容にしたがって、不正アクセスの発生可能性の大小について検討した結果を、 「表 47 不正アクセスの発生可能性の大小」に示す。また、以下に表 47の補足説明を示す。 オペレータはオペコンを通常業務として常に操作している。従って、オペレータに よるオペコン経由の不正アクセスを想定した場合、その発生可能性は他のユーザよ りも高いと考えられる。 保守用コンソール、エンコンは保守専用であり、運転室とは別場所に設置される。 従って、オペレータによるアクセス機会は少なく、不正アクセスの発生可能性は低 い。 オペコンは運転室に設置されており、保守担当者(システムユーザ)および保守担 当者(システム管理者)は通常業務としては操作しない。従って、保守担当者(シ ステムユーザ)および保守担当者(システム管理者)によるアクセス機会は少なく、 不正アクセスの発生可能性は低い。 部外者は正規ユーザ以外の者を広く指し、その母数は非常に大きい。従って、リモ ートメンテナンス用端末、および情報系端末等のシステム外部に設置されている端 末に対する、部外者のアクセス機会は非常に高いと考えられ、不正アクセスの発生 可能性も極めて高い。 部外者によるローカルなアクセス手段は想定しない。従って、部外者によるシステ ム内部(例えば、オペコン経由)からの不正アクセスの発生可能性は非常に低いと 考えられる。 145 表47 不正アクセスの発生可能性の大小 サブシステム アクセス方法 本番系プロコン ①オペコン経由 ②保守用コンソール経由 ③システム監視盤経由 管理対象 オペレータ リモート 保守担当者 保守担当者 (システムユーザ) (システム管理者) メンテナンス者 部外者 本番系プロコン 3 1 1 ―― 1 オペコン 3 1 1 ―― 1 1 制御系情報LAN-2 3 1 1 ―― 本番系プロコン 1 2 2 ―― 1 保守用コンソール 1 2 2 ―― 1 本番系プロコン 1 2 2 ―― 1 システム監視盤 1 2 2 ―― 1 ④LANリモートメンテナンス用端末経由 本番系プロコン 1 ―― 2 2 3 ⑤情報系LAN経由 本番系プロコン 1 ―― 2 2 3 開発系プロコン 1 2 2 ―― 1 オペコン 1 2 2 ―― 1 1 開発系プロコン ①オペコン経由 制御系情報LAN-3 1 2 2 ―― 開発系プロコン 1 2 2 ―― 1 保守用コンソール 1 2 2 ―― 1 ③LANリモートメンテナンス用端末経由 開発系プロコン 1 ―― 2 2 3 ④情報系LAN経由 開発系プロコン 1 ―― 2 2 3 スタンドアロン型 ①オペコン経由 PLC-3 3 1 1 ―― 1 PLC オペコン 3 1 1 ―― 1 ②保守用コンソール経由 ②保守用コンソール経由 LAN型PLC PLC-3 1 2 2 ―― 1 保守用コンソール 1 2 2 ―― 1 ③LANリモートメンテナンス用端末経由 PLC-3 1 ―― 2 2 3 ①オペコン経由 PLC-1 3 1 1 ―― 1 PLC-2 3 1 1 ―― 1 オペコン 3 1 1 ―― 1 電気系制御LAN 3 1 1 ―― 1 PLC-2 1 2 2 ―― 1 保守用コンソール 1 2 2 ―― 1 ②保守用コンソール経由 ③エンコン経由 PLC-1 1 2 2 ―― 1 PLC-2 1 2 2 ―― 1 エンコン 1 2 2 ―― 1 電気系保守LAN 1 2 2 ―― 1 ④PLCリモートメンテナンス用端末経由 PLC-1 1 ―― 2 2 3 PLC-2 1 ―― 2 2 3 エンコン 1 ―― 2 2 3 電気系保守LAN 1 ―― 2 2 3 ⑤LANリモートメンテナンス用端末経由 PLC-1 1 ―― 2 2 3 PLC-2 1 ―― 2 2 3 Gateway 3 1 1 ―― 1 DCSコントローラ 3 1 1 ―― 1 オペコン 3 1 1 ―― 1 計装系制御LAN 3 1 1 ―― 1 Gateway 1 2 2 ―― 1 DCSコントローラ 1 2 2 ―― 1 エンコン 1 2 2 ―― 1 計装系制御LAN 1 2 2 ―― 1 1 ―― 2 2 3 DCSコントローラ 1 ―― 2 2 3 計装系制御LAN 1 ―― 2 2 3 1 ―― 2 2 3 リモートアクセス ①LANリモートメンテナンス用端末経由 リモートアクセスサーバ 1 ―― 2 2 3 サーバ 1 ―― 2 2 3 DCS ①オペコン経由 コントローラ ②エンコン経由 ③DCSリモートメンテナンス用端末経由 Gateway ④LANリモートメンテナンス用端末経由 Gateway 備考 制御系情報LAN-1 ――:想定しない不正アクセス 146 (iii) 不正アクセスの重大度ランクを決定する 前述の(i)と(ii)の内容から決定した、不正アクセスの重大度ランクを「表 49 不正アクセ スの重大度ランク」に示す。 表 49では、重大度ランクを、 「表 44 不正アクセスによる被害の大小」における被害の ランク(A∼C)と、 「表 47 不正アクセスの発生可能性の大小」における発生可能性のランク 1∼3 3)を組み合わせた形で表している。 (1 例えば、サブシステム「本番系プロコン」に注目した場合、 (a)ユーザ「オペレータ」が、 (b)アクセス方法「オペコン経由」で、アカウント発行/停止するために、 (c)管理対象「本番系プロコン」の「データ」を、 (d)「不正取得」する。 3であることを表している。すなわち、この B3 3 という不正アクセスの重大度ランクは、B3 という値は、 「本番系プロコンのデータに対する不正取得の被害は、ランク B である(表 44) 」ということと、「オペレータによるオペコン経由の本番系プロコンに対する不正アク 3である(表 47) セスの発生可能性は、ランク3 」ということの組み合せにより決定される。 1から A3 3までの9通りの値をもつことになる。表 49では、 従って、重大度ランクは C1 不正アクセスの重大度の大小がわかりやすいように、重大度ランクを重大度が高い順に(大 中小)の3段階に分類し、網掛けによって区別している。網掛けのもつ意味は下表のとお りである。 表48 重大度のレベルを表す網掛けとランク 網掛け 該当する重大度ランクの値 大 A3 中 A2 B3,B2 小 A1 B1 C3,C2,C1 被害 レベル 147 A B C 発生可能性 1 2 3 中 大 小 小 中 中 小 小 小 表49 不正アクセスの重大度ランク 保守担当者 (システムユーザ) オペレータ サブシステム 本番系プロコン アクセス方法 ①オペコン経由 管理対象 本番系プロコン オペコン 制御系情報LAN-2 ②保守用コンソール経由 本番系プロコン 保守用コンソール ③システム監視盤経由 本番系プロコン 148 システム監視盤 ④LANリモートメンテナンス用端末経由 本番系プロコン ⑤情報系LAN経由 本番系プロコン 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 不正 取得 改ざん C3 B3 C3 C3 C3 C3 C3 C3 C3 C1 B1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 B1 C1 C1 B1 C1 A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 破壊 不正 取得 改ざん A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C2 B2 C2 C2 C2 C2 C2 B2 C2 C2 C2 C2 ―― ―― ―― ―― ―― ―― A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 ―― ―― ―― ―― ―― ―― 保守担当者 (システム管理者) 破壊 不正 取得 改ざん A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 ―― ―― ―― ―― ―― ―― C1 B1 C1 C1 C1 C1 C1 C1 C1 C2 B2 C2 C2 C2 C2 C2 B2 C2 C2 C2 C2 C2 B2 C2 C2 B2 C2 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 リモート メンテナンス者 破壊 不正 取得 改ざん A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C2 B2 C2 C2 B2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A2 A2 A2 A2 A2 A2 部外者 破壊 不正 取得 改ざん 破壊 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A2 A2 A2 A2 A2 A2 C1 B1 C1 C1 C1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C3 B3 C3 C3 B3 C3 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A3 A3 A3 A3 A3 A3 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A3 A3 A3 A3 A3 A3 保守担当者 (システムユーザ) オペレータ サブシステム 開発系プロコン アクセス方法 ①オペコン経由 管理対象 開発系プロコン オペコン 制御系情報LAN-3 ②保守用コンソール経由 開発系プロコン 保守用コンソール 149 スタンドアロン型PLC ③LANリモートメンテナンス用端末経由 開発系プロコン ④情報系LAN経由 開発系プロコン ①オペコン経由 PLC-3 オペコン ②保守用コンソール経由 PLC-3 保守用コンソール ③LANリモートメンテナンス用端末経由 PLC-3 保守担当者 (システム管理者) リモート メンテナンス者 部外者 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス C1 B1 C1 C1 C1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 B1 C1 C1 B1 C1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 C1 C1 C1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 C1 C1 C1 B1 B1 B1 B1 B1 B1 C2 B2 C2 C2 C2 C2 C2 C2 C2 C2 B2 C2 C2 C2 C2 ―― ―― ―― ―― ―― ―― B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 C2 C2 C2 ―― ―― ―― ―― ―― ―― B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 C2 C2 C2 ―― ―― ―― ―― ―― ―― C2 B2 C2 C2 C2 C2 C2 C2 C2 C2 B2 C2 C2 C2 C2 C2 B2 C2 C2 B2 C2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 C2 C2 C2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 B2 C2 C2 C2 B2 B2 B2 B2 B2 B2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C2 B2 C2 C2 B2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― B2 B2 B2 B2 B2 B2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― B2 B2 B2 B2 B2 B2 C1 B1 C1 C1 C1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C3 B3 C3 C3 B3 C3 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 C1 C1 C1 B3 B3 B3 B3 B3 B3 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 B1 C1 C1 C1 B3 B3 B3 B3 B3 B3 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス C3 B3 C3 C3 C3 C3 C1 B1 C1 C1 C1 C1 C1 B1 C1 A3 A3 A3 A3 A3 A3 A1 A1 A1 C1 C1 C1 A1 A1 A1 A3 A3 A3 A3 A3 A3 A1 A1 A1 C1 C1 C1 A1 A1 A1 C1 B1 C1 C1 C1 C1 C2 B2 C2 C2 C2 C2 ―― ―― ―― A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 ―― ―― ―― A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 ―― ―― ―― C1 B1 C1 C1 C1 C1 C2 B2 C2 C2 C2 C2 C2 B2 C2 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C2 B2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A2 A2 A2 C1 B1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C3 B3 C3 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A3 A3 A3 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A3 A3 A3 保守担当者 (システムユーザ) オペレータ サブシステム LAN型PLC アクセス方法 ①オペコン経由 管理対象 PLC-1 PLC-2 オペコン 電気系制御LAN ②保守用コンソール経由 PLC-2 保守用コンソール ③エンコン経由 PLC-1 150 PLC-2 エンコン 電気系保守LAN ④PLCリモートメンテナンス用端末経由 PLC-1 PLC-2 エンコン 電気系保守LAN ⑤LANリモートメンテナンス用端末経由 PLC-1 PLC-2 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 保守担当者 (システム管理者) リモート メンテナンス者 部外者 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 C3 B3 C3 C3 B3 C3 C3 C3 C3 C3 C3 C3 C1 B1 C1 C1 C1 C1 C1 B1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C1 B1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C1 B1 C1 C1 B1 C1 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 B1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C2 B2 C2 C2 C2 C2 C2 B2 C2 C2 B2 C2 C2 C2 C2 C2 C2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 C2 C2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 C2 C2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C1 B1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C2 B2 C2 C2 C2 C2 C2 B2 C2 C2 B2 C2 C2 C2 C2 C2 C2 C2 C2 B2 C2 C2 B2 C2 C2 C2 C2 C2 C2 C2 C2 B2 C2 C2 B2 C2 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C2 C2 C2 C2 C2 C2 A2 A2 A2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C2 B2 C2 C2 B2 C2 C2 C2 C2 C2 C2 C2 C2 B2 C2 C2 B2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A2 A2 A2 A2 A2 A2 C2 C2 C2 C2 C2 C2 A2 A2 A2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A2 A2 A2 A2 A2 A2 C2 C2 C2 C2 C2 C2 A2 A2 A2 A2 A2 A2 C1 B1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 B1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C3 B3 C3 C3 B3 C3 C3 C3 C3 C3 C3 C3 C3 B3 C3 C3 B3 C3 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 C1 C1 C1 A3 A3 A3 A3 A3 A3 C3 C3 C3 C3 C3 C3 A3 A3 A3 A3 A3 A3 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 C1 C1 C1 C1 C1 C1 A3 A3 A3 A3 A3 A3 C3 C3 C3 C3 C3 C3 A3 A3 A3 A3 A3 A3 保守担当者 (システムユーザ) オペレータ サブシステム DCSコントローラ アクセス方法 管理対象 リモート メンテナンス者 部外者 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 不正 取得 改ざん 破壊 ④LANリモートメンテナンス用端末経由 Gateway 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス 機器 データ サービス C3 C3 C3 C3 B3 C3 C3 C3 C3 C3 C3 C3 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C2 C2 C2 C2 B2 C2 C2 C2 C2 C2 C2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C2 C2 C2 C2 B2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 C2 B2 C2 C2 C2 C2 C2 C2 C2 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A2 A2 A2 A2 A2 A2 C2 C2 C2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C2 C2 C2 C2 B2 C2 C2 C2 C2 C2 C2 C2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 A2 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C1 C1 C1 C1 B1 C1 C1 C1 C1 C1 C1 C1 C3 C3 C3 C3 B3 C3 C3 C3 C3 C3 C3 C3 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 A1 C1 C1 C1 A1 A1 A1 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 A3 ①LANリモートメンテナンス用端末経由 リモートアクセスサーバ 機器 データ サービス 制御系情報LAN-1 機器 データ サービス C1 C1 C1 C1 C1 C1 C1 C1 C1 A1 A1 A1 C1 C1 C1 A1 A1 A1 ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― ―― C2 C2 C2 C2 C2 C2 C2 C2 C2 A2 A2 A2 C2 C2 C2 A2 A2 A2 C2 C2 C2 C2 C2 C2 C2 C2 C2 A2 A2 A2 C2 C2 C2 A2 A2 A2 C3 C3 C3 C3 C3 C3 C3 C3 C3 A3 A3 A3 C3 C3 C3 A3 A3 A3 ①オペコン経由 Gateway DCSコントローラ オペコン 計装系制御LAN ②エンコン経由 Gateway DCSコントローラ エンコン 151 計装系制御LAN ③DCSリモートメンテナンス用端末経由 Gateway DCSコントローラ 計装系制御LAN リモートアクセスサーバ 保守担当者 (システム管理者) 「表 49 不正アクセスの重大度ランク」は、本実プラント・モデル・システムにおいて重 点的に守るべき対象は、 オペレータによるオペコンを使用しての本番系プロコン、PLC、DCS コントローラ、 および制御系システムの LAN に対する改ざん、破壊。 LAN 経由、リモートメンテナンス端末経由での本番系プロコ ン、PLC、DCS コントローラ、制御系システムの LAN に対する改ざん、破壊。 部外者による情報系 であることを示している。 ここでこれらをどのようにして守るかの指針が必要となるが、 設備、装備によるシステム的な方策による防衛 規則、手順による運用上の方策による防衛 の 2 種類の方策に大別される。前者は、ファイアウォール設置、アプリケーションプログ ラムによる制限等のハードウェア、ソフトウェア上の施策であり、投資コストを伴う。ま た後者は、作業時間、作業負荷等の運用コストを伴う。 何れの方策によって実施するかは、不正アクセスによる被害の大きさ、投資効果、技術 動向を含めて総合的に判断する必要がある。が、特にプラントの操業者であるオペレータ はセキュリティに関する定常的な運用コストは負担できないことを考慮する必要がある。 これらの指針に関しては、次節以降の中で述べる。 152 (5) セキュリティ・ポリシー条文 セキュリティ・ポリシー条文 本節では、前節「表 36∼表 41」において不正アクセスとして定義した禁止事項を文書 形式で表現し[禁止事項]、次に「表 49 不正アクセスの重大度ランク」で明らかにした重 大度ランクを基に重点的に守るべき対象を選択し、その各々について、設備、装備による システム的な方策による防衛[システム]、規則、手順による運用上の方策による防衛[運用]、 の何れの方策にて実施するかを決定した上で、それを基本方針として明文化することによ り、セキュリティ・ポリシーを条文化する。 尚、文中においては、 [禁止事項] 基本的な禁止事項 [システム] システム上の基本指針 [運用] 運用上の基本指針 を意味するが、運用上の基本指針について全体共通的なものがあればセキュリティ・ポリ シーに記述し、個別的なものは後続の運用方法に記述する。 (i) 本番系プロコン 1. [禁止事項]オペコンを操作して本番系プロコンにアクセスするのはオペレータの みとし、オペレータ以外のユーザはこのアクセス経路を利用してはならない。 2. [システム]本番系プロコンのアプリケーションプログラムの起動は自動起動とし、 オペレータが起動操作をしてはならない。 3. [システム]オペコンからの本番系プロコンへの接続は自動ログインとし、オペレ ータがログイン操作をしてはならない。 4. [システム]オペコンのアプリケーションプログラムの起動は自動起動とし、オペ レータが起動操作をしてはならない。 5. [システム]オペレータがオペコンを使用して本番系プロコンのデータを照会/更新 する場合は、予め定められたアプリケーションプログラムを使用する以外は照会/更 新できてはならない。 6. [禁止事項]保守用コンソールを操作して本番系プロコンにアクセスするのは保守 担当者のみとし、保守担当者以外のユーザはこのアクセス経路を利用してはならな い。 7. [禁止事項]システム監視盤を操作して本番系プロコンにアクセスするのはオペレ ータのみとし、オペレータ以外のユーザはこのアクセス経路を利用してはならない。 8. [システム]システム監視盤からの本番系プロコンへの接続は自動ログインとし、 オペレータがログイン操作をしてはならない。 9. [システム]システム監視盤のアプリケーションプログラムの起動は自動起動とし、 オペレータが起動操作をしてはならない。 10. [システム]オペレータがシステム監視盤を使用して本番系プロコンのデータを照 会/更新する場合は、予め定められたアプリケーションプログラムを使用する以外は 照会/更新できてはならない。 153 11. [禁止事項]LAN リモートメンテナンス用端末を操作して本番系プロコンにアクセ スするのはリモートメンテナンス者のみとし、リモートメンテナンス者以外のユー ザはこのアクセス経路を利用してはならない。 12. [禁止事項]リモートメンテナンス者は、LAN リモートメンテナンス用端末を操作 して、本番系プロコン上のシステム管理に関するサービスを使用してはならない。 13. [禁止事項]いかなるユーザも、情報系 LAN を経由して本番系プロコンにアクセ スしてはならない。 (ii) 開発系プロコン 1. [禁止事項]オペコンを操作して開発系プロコンにアクセスするのは保守担当者の みとし、保守担当者以外のユーザはこのアクセス経路を利用してはならない。 2. [禁止事項]保守用コンソールを操作して開発系プロコンにアクセスするのは保守 担当者のみとし、保守担当者以外のユーザはこのアクセス経路を利用してはならな い。 3. [禁止事項]LAN リモートメンテナンス用端末を操作して開発系プロコンにアクセ スするのはリモートメンテナンス者のみとし、リモートメンテナンス者以外のユー ザはこのアクセス経路を利用してはならない。 4. [禁止事項]リモートメンテナンス者は、LAN リモートメンテナンス用端末を操作 して、開発系プロコン上のシステム管理に関するサービスを使用してはならない。 5. [禁止事項]いかなるユーザも、情報系 LAN を経由して開発系プロコンにアクセ スしてはならない。 (iii) スタンドアロン型 PLC 1. [禁止事項]オペコンを操作してスタンドアロン型 PLC にアクセスするのはオペレ ータのみとし、オペレータ以外のユーザはこのアクセス経路を利用してはならない。 2. [システム]スタンドアロン型 PLC のアプリケーションプログラムの起動は自動起 動とし、オペレータが起動操作をしてはならない。 3. [システム]オペコンのアプリケーションプログラムの起動は自動起動とし、オペ レータが起動操作をしてはならない。 4. [システム]オペレータがオペコンを使用してスタンドアロン型 PLC のデータを照 会/更新する場合は、予め定められたアプリケーションプログラムを使用する以外は 照会/更新できてはならない。 5. [禁止事項]保守用コンソールを操作してスタンドアロン型 PLC にアクセスするの は保守担当者のみとし、保守担当者以外のユーザはこのアクセス経路を利用しては ならない。 6. [禁止事項]LAN リモートメンテナンス用端末を操作してスタンドアロン型 PLC にアクセスするのはリモートメンテナンス者のみとし、リモートメンテナンス者以 外のユーザはこのアクセス経路を利用してはならない。 7. [禁止事項]リモートメンテナンス者は、LAN リモートメンテナンス用端末を操作 して、スタンドアロン型 PLC 上のシステム管理に関するサービスを使用してはなら ない。 154 (iv) LAN 型 PLC 1. [禁止事項]オペコンを操作して LAN 型 PLC にアクセスするのはオペレータのみ とし、オペレータ以外のユーザはこのアクセス経路を利用してはならない。 2. [システム]LAN 型 PLC のアプリケーションプログラムの起動は自動起動とし、 オペレータが起動操作をしてはならない。 3. [システム]オペコンのアプリケーションプログラムの起動は自動起動とし、オペ レータが起動操作をしてはならない。 4. [システム]オペレータがオペコンを使用して LAN 型 PLC のデータを照会/更新す る場合は、予め定められたアプリケーションプログラムを使用する以外は照会/更新 できてはならない。 5. [禁止事項]保守用コンソールを操作して LAN 型 PLC にアクセスするのは保守担 当者のみとし、保守担当者以外のユーザはこのアクセス経路を利用してはならない。 6. [禁止事項]エンコンを操作して LAN 型 PLC にアクセスするのは保守担当者のみ とし、保守担当者以外のユーザはこのアクセス経路を利用してはならない。 7. [禁止事項]PLC リモートメンテナンス用端末を操作して LAN 型 PLC にアクセス するのはリモートメンテナンス者のみとし、リモートメンテナンス者以外のユーザ はこのアクセス経路を利用してはならない。 8. [禁止事項]リモートメンテナンス者は、PLC リモートメンテナンス用端末を操作 して、LAN 型 PLC 上のシステム管理に関するサービスを使用してはならない。 9. [禁止事項]LAN リモートメンテナンス用端末を操作して LAN 型 PLC にアクセ スするのはリモートメンテナンス者のみとし、リモートメンテナンス者以外のユー ザはこのアクセス経路を利用してはならない。 10. [禁止事項]リモートメンテナンス者は、LAN リモートメンテナンス用端末を操作 して、LAN 型 PLC 上のシステム管理に関するサービスを使用してはならない。 (v) DCS コントローラ 1. [禁止事項]オペコンを操作して DCS コントローラにアクセスするのはオペレータ のみとし、オペレータ以外のユーザはこのアクセス経路を利用してはならない。 2. [システム]DCS コントローラのアプリケーションプログラムの起動は自動起動と し、オペレータが起動操作をしてはならない。 3. [システム]オペコンのアプリケーションプログラムの起動は自動起動とし、オペ レータが起動操作をしてはならない。 4. [システム]オペレータがオペコンを使用して DCS コントローラのデータを照会/ 更新する場合は、予め定められたアプリケーションプログラムを使用する以外は照 会/更新できてはならない。 5. [禁止事項]エンコンを操作して DCS コントローラにアクセスするのは保守担当者 のみとし、保守担当者以外のユーザはこのアクセス経路を利用してはならない。 6. [禁止事項]DCS リモートメンテナンス用端末を操作して DCS コントローラにア クセスするのはリモートメンテナンス者のみとし、リモートメンテナンス者以外の ユーザはこのアクセス経路を利用してはならない。 155 7. [禁止事項]リモートメンテナンス者は、DCS リモートメンテナンス用端末を操作 して、DCS コントローラと Gateway 上のシステム管理に関するサービスを使用し てはならない。 8. [禁止事項]LAN リモートメンテナンス用端末を操作して DCS コントローラにア クセスするのはリモートメンテナンス者のみとし、リモートメンテナンス者以外の ユーザはこのアクセス経路を利用してはならない。 9. [禁止事項]リモートメンテナンス者は、LAN リモートメンテナンス用端末を操作 して、DCS コントローラと Gateway 上のシステム管理に関するサービスを使用し てはならない。 リモートアクセスサーバ (vi) 1. [禁止事項]LAN リモートメンテナンス用端末を操作してリモートアクセスサーバ にアクセスするのはリモートメンテナンス者のみとし、リモートメンテナンス者以 外のユーザはこのアクセス経路を利用してはならない。 2. [禁止事項]リモートメンテナンス者は、LAN リモートメンテナンス用端末を操作 して、リモートアクセスサーバ上のシステム管理に関するサービスを使用してはな らない。 (vii) 運用基本方針 1. [運用]侵入者をクラッカーレベルと想定する。 2. [運用]保守作業効率、機器性能を大幅に低下させる対策は取らない。 4.2.3 運用マニュアルの策定 本節では、前節までの作業で策定したセキュリティ・ポリシーに沿って、運用方法を記 述したマニュアルを作成する。 運用マニュアルの記述方法は、運用ガイドラインに準ずる形式とし、運用ガイドライン 各条文のより具体的な運用方法を記述することを中心に作成する。このため、運用ガイド ライン各条文との対応関係が分かり易くなるように、対応する運用ガイドライン条文を〔条 文 n1n2n3n4〕の形式で併記する。ここで、n1:基準の番号、n2:サブタイトルの番号、n3n4: 条文番号を意味する。例えば、 〔条文 1305〕は、 「1.制御系システムユーザ基準」 「(3)コン ピュータ管理」 「⑤コンピュータを入力待ち状態で放置しないこと」を指す。 また、セキュリティ・ポリシー条文の(vii)運用基本方針に従い、本報告書作成者および その協力者の実務経験によるノウハウを基に、運用マニュアルの各項目には、その項目の 重要度を示す添え字を記載している。 156 表50 項目の重要度を示す添え字 添え字 意 味 [A] ・その項目が絶対的な要請事項であることを意味する。 ・「しなければならない(MUST)」に相当する。 [B] ・ケーススタディの状況下では、その項目を無視する正当な理由が存在す るが、異なる選択をする前に、その項目の示唆するところを十分に理解 し、慎重に重要性を判断しなければならないことを意味する。 ・「推奨される(RECOMMENDED)」に相当する。 [C] ・ケーススタディの状況下では、その項目を適用しないことを意味する。 コメント ・注釈文 157 (1) 保守担当者(システムユーザ)向け運用マニュアル 保守担当者(システムユーザ)向け運用マニュアル 表51 運用マニュアル タイトル一覧(システムユーザ向け) № (i) (ii) サブタイトル 条文見出し パスワード及びユーザ ID 管理 1)操業オペレータのコンピュータ端末操作〔追加項目〕 2)ユーザ ID の共用〔条文 1101〕 3)パスワードの設定〔条文 1102-1104〕 4)パスワードの変更〔条文 1105〕 5)パスワードの記憶〔条文 1106〕 6)パスワードの漏洩〔条文 1107-1108〕 7)ユーザ ID の停止〔条文 1109〕 8)部屋の鍵管理〔追加項目〕 情報管理 1)情報の暗号化〔条文 1201〕 2)情報の送信〔条文 1202〕 3)情報へのアクセス〔条文 1203〕 4)情報の保管〔条文 1204-1205〕 5)情報の廃棄〔条文 1206〕 6)バックアップ〔条文 1207〕 1)導入/更新/撤去〔条文 1301〕 2)特権の利用制限〔条文 1302-1303〕 3)サービス機能〔追加項目〕 4)履歴管理〔条文 1304〕 5)ログアウト〔条文 1305〕 (iii) コンピュータ管理 (iv) 事後対応 1)異常の発見〔条文 1401〕 2)不正アクセスの発見〔条文 1402〕 (v) 教育及び情報収集 1)教育〔条文 1501〕 2)情報収集〔条文 1502〕 (vi) 監査 1)遵守義務〔条文 1601〕 (i) パスワード及びユーザ ID 管理 操業オペレータのコンピュータ端末操作〔追加項目〕 1)操業オペレータのコンピュータ端末操作 操業オペレータのコンピュータ端末操作 〔追加項目〕 操業オペレータは、保守担当者(システムユーザ)と異なり、ユーザ ID 管理を行わな い。 1. 操業用画面を操作するオペレータは、ユーザ ID とパスワードを入力せずに現場端 末の操業用画面を操作してよいこと。[A] 2. 操業用画面を操作するオペレータは、操業用画面以外の画面を開いてはならないこ と。 [A] 3. コンピュータの立ち上げ時に、ユーザ ID 入力をしないまま、操業用画面が操作で きるように自動立ち上げプログラムを組み込んでいる。組み込めないコンピュータ の場合は、オペレータ用共用 ID,共用パスワードを設定し、コンピュータへのアク 158 セス権限を最小限に設定してあるので、許容されている操作以外は行わないこと。 [A] コメント:現場端末導入時に画面操作説明と合わせて、セキュリティ対策につ いても十分なオペレータ教育を実施すること。 ユーザ ID の共用〔条文 〕 2)ユーザ の共用〔条文 1101〕 保守担当者(システムユーザ)は複数のユーザ間で、ユーザ ID を共用しないこと。 1. ユーザ ID 及びパスワードは、複数の保守担当者(システムユーザ)で共用しない こと。 [B]特別にユーザ ID の共有を許可する場合は、担当保守作業員間以外は共 通のユーザ ID,パスワードを秘匿すること。[A] コメント:システム開発時期や保守移行期間など要員の変動が多い時期にユー ザ毎にユーザ ID とパスワードを各サーバーに登録することは、保守担当者(シス テム管理者)にとって負担が大きい。この時期に限り、特別にユーザ ID の共用を 許可するものとする。 2. 他の保守担当者(システムユーザ)のユーザ ID 及びパスワードを使用しないこと。 [A] パスワードの設定〔条文 〕 3)パスワードの設定 パスワードの設定 〔条文 1102-1104〕 ユーザ ID には、パスワードを必ず設定すること。 1. 保守担当者(システムユーザ)が複数のユーザIDを持っている場合は、それぞれ 異なるパスワードを設定すること。[A] コメント:複数サーバーを担当しパスワードを記憶できない場合、記録した手 帳を所持することを許可してもらう必要がある。この場合、社員証や貴重品と同 様に紛失に十分注意すること。 2. パスワードは6桁以上とし、数字、特殊文字、英字の小文字、大文字をそれぞれ1 文字以上含むこと。 [A] 3. パスワードには、以下を設定しないこと。①ブランク、②ユーザ ID、③社員番号な どの認識番号、④生年月日、⑤電話番号、⑥意味のある単語、略語、⑦”abc”,”123” などの推定容易な文字列[A] コメント:パスワード・クラッキング被害の多くが、上記のような推定可能な 文字列をパスワードにしたケースである。 パスワードの変更〔条文 〕 4)パスワードの変更 パスワードの変更 〔条文 1105〕 パスワードは最低でも 1 ヶ月単位で変更すること。[A] パスワードの記憶〔条文 〕 5)パスワードの記憶 パスワードの記憶 〔条文 1106〕 保守担当者(システムユーザ)はパスワードを紙媒体等に記述しておかないこと。 1. 付箋紙の使用を禁止する。[A] 2. バックアップのため紙に記録する場合は手書きとし、厳重な鍵のかかる強固なロッ カーに保管すること。[B] コメント:計算機室の入退出が十分に管理されている場合、鍵のかかる机、キ ャビネットなど容易に目に触れない場所に保管することでも対策となる。 3. パスワードをファイル中に保存する場合は、暗号化しておくこと。バッチファイル、 スクリプトファイルなどにパスワードを平文で記述しておかないこと。[A] 4. ログイン画面に「パスワードを保存」の機能がある場合でも保存せずに、毎回入力 すること。 [A] 159 パスワードの漏洩〔条文 〕 6)パスワードの漏洩 パスワードの漏洩〔条文 1107-1108〕 パスワードを他人に知られないようにすること。 1. 保守担当者(システムユーザ)はパスワードを入力する場合は、背後に他人がいる 場合は入力しないなど、他人に見られないようにすること。[A] コメント:現場端末など部外者が入る場所での作業を想定する。計算機室など 関係者しか出入りしない場合は、過度に神経質になる必要はない。 2. 自分のユーザIDとパスワードを完全に秘密にしておかなければならないと言う責 任があることを認識すること。[A] 3. 保守担当者(システムユーザ)は他のユーザのパスワードを知った場合は、速やか に保守担当者(システム管理者)に通知すること。[A] コメント:ユーザ ID とパスワードが記載された手帳を拾得した、パスワードを 平文で記述したファイルを発見した等を想定している。 ユーザ ID の停止〔条文 〕 7)ユーザ の停止〔条文 1109〕 使用しないユーザ ID が登録に残らないようにする義務があることを認識すること。 1. 保守担当者(システムユーザ)はユーザIDを利用しなくなった場合は、速やかに 保守担当者(システム管理者)に届け出ること。[A] 2. 直営社員が退職する場合または、協力会社及び委託社員が解約された場合は、保守 担当者(システム管理者)へ届け出て、ユーザーIDを停止してもらうこと。[A] 部屋の鍵管理〔追加項目〕 8)部屋の鍵管理 部屋の鍵管理 〔追加項目〕 保守担当者(システムユーザ)はコンピュータの端末のある部屋を施錠できるようにし て、鍵の管理を行うこと。[A] (ii) 情報管理 情報の暗号化〔条文 〕 1)情報の暗号化 情報の暗号化 〔条文 1201〕 保守担当者(システム管理者)より指定された重要な情報は、パスワードで保護された 暗号化ファイルにするなどして漏洩の対策を図ること。 3. パスワード・ファイルは、かならず暗号化ファイルとすること。平文ファイルは作 らないこと。 4. パスワードで保護された暗号化ツールを使用する場合、予め承認されたツールを用 いること。 [B] 情報の送信〔条文 〕 2)情報の送信 情報の送信 〔条文 1202〕 情報送信する場合は、アドレス・リストを前もって作成し、相手先をリストから選択す る方式を用い、かつ、宛先を十分確認すること。[B] 情報へのアクセス〔条文 〕 3)情報へのアクセス 情報へのアクセス 〔条文 1203〕 保守担当者(システムユーザ)は、ファイルの属性に、内容の重要度に応じたアクセス 権限を必ず設定すること。また、アクセス権限のない装置、データをアクセスしないこと。 [A] 保守担当者(システムユーザ)は、重要な情報をパスワードにより保護すること。[B] コメント:機密性の高いプログラム・ソースリストなどは、パスワードにより保 護されたファイルとすること。 160 情報の保管〔条文 〕 4)情報の保管 情報の保管〔条文 1204-1205〕 保守担当者(システムユーザ)は、コンピュータ及び通信機器を維持、保守するために 必要なファイルを、盗用、改ざん、削除等されないように厳重に管理すること。 1. コンピュータ内になければならないファイル以外は、外部に保存すること。 コメント:制御系システムでは、クライアントの設定情報、トラブル調査及び 復旧処置を記述したファイルを一元的にサーバーで管理することが多い。コンピ ュータの動作には必要ないが、保守運用面で必要なファイルの管理は、保守担当 者(システム管理者)の指示に従い実施すること。 2. 保守担当者(システムユーザ)は重要な情報を記録した紙、磁気媒体等を、金庫ま たは鍵のかかる強固なロッカーに保管すること。[A] 情報の廃棄〔条文 〕 5)情報の廃棄 情報の廃棄 〔条文 1206〕 保守担当者(システムユーザ)は重要な情報を記録した紙、磁気媒体等を廃棄する場合 は、内容が漏洩しないように、紙はシュレッダまたは焼却処分し、磁気媒体は破壊または 物理フォーマットすること。[A] バックアップ〔条文 〕 6)バックアップ バックアップ 〔条文 1207〕 保守担当者(システムユーザ)はファイルのバックアップを随時行い、その磁気媒体等 を別々の2カ所の金庫、または鍵のかかる強固なロッカーに保管すること。[B] コメント:施設内に入るには守衛があり、計算機室には鍵がかかるとした場合、 計算機室内の保管は、鍵のかかるキャビネットでも十分である。防災対策として 考えた場合、別の場所にある耐火金庫に保管することは重要である。 (iii) コンピュータ管理 導入/更新/撤去〔条文 〕 1)導入/更新/撤去 導入/更新/撤去 〔条文 1301〕 コンピュータ、通信機器及びソフトウェアの導入、更新、撤去等を行う場合は、保守担 当者(システム管理者)の指導の下で行うこと。[A] 特権の利用制限〔条文 〕 2)特権の利用制限 特権の利用制限 〔条文 1302-1303〕 コンピュータを管理するために与えられた最上位の権限(以下「特権」とする)による コンピュータの利用は、必要最小限とし、使用するコンピュータ、場所、期間等を限定す ること。[A] サービス機能〔追加項目〕 3)サービス機能 サービス機能 〔追加項目〕 制御系情報 LAN で使用するポートは、システムで割り付けた socket interface 用と telnet,ftp などの保守担当者(システム管理者)が指定したサービス機能のみとする。他 はデーモンの設定で使用不可になっているので、保守担当者(システムユーザ)はサービ ス機能を追加しないこと。[A] 履歴管理〔条文 〕 4)履歴管理 履歴管理 〔条文 1304〕 保守担当者(システムユーザ)は、コンピュータが無断で利用された形跡がないか、ロ グイン時に最終ログイン時刻を確認すること。[A] ログアウト〔条文 〕 5)ログアウト ログアウト 〔条文 1305〕 コンピュータを入力待ちの状態で放置しないこと。 1. 保守担当者(システムユーザ)は、わずかな時間の用事でも端末を離れるときには、 パスワード付きスクリーンセーバを使用するなど部外者に操作されないようにする こと。未入力設定時間は 15 分程度とすること。[A] 161 コメント:スクリーンセーバは、ものにより異常に CPU に負担をける。 WindowsNT など、サーバー本体の端末でスクリーンセーバを使用する場合は、 保守担当者(システム管理者)の設定に従うこと。 2. 保守担当者(システムユーザ)は、作業完了時に必ずログアウトすること。[A] (iv) 事後対応 異常の発見〔条文 〕 1)異常の発見 異常の発見 〔条文 1401〕 システムの異常を発見した場合は、速やかに保守担当者(システム管理者)に連絡し、 指示に従うこと。[A] コメント:システムの異常とは、重要なファイルの日付が変わっている、また は、削除されている、など不正アクセスと操作ミスの区別が付かない状態を発見し た場合を指す。 不正アクセスの発見〔条文 〕 2)不正アクセスの発見 不正アクセスの発見 〔条文 1402〕 不正アクセスを発見した場合は、速やかに保守担当者(システム管理者)に連絡し、指示 に従うこと。[A] コメント:不正アクセスとは、ラストログイン日時が、前回操作日と違う場合、 who,finger などでログイン・ユーザを調査した結果、正規の場所以外からアクセ スするユーザを発見した場合などを指す。 (v) 教育及び情報収集 教育〔条文 〕 1)教育 教育 〔条文 1501〕 保守担当者(システム管理者)からセキュリティ対策に関する教育を随時受けること。 [A] 情報収集〔条文 〕 2)情報収集 情報収集 〔条文 1502〕 保守担当者(システムユーザ)は、担当するシステムのセキュリティ対策に関する情報 を入手した場合は、保守担当者(システム管理者)に随時提供すること。[A] コメント:セキュリティ対策として導入したツール、装置の最新情報や不具合 報告を入手した場合は、保守担当者(システム管理者)へも伝えるなど情報の開 示を積極的に行うこと。 (vi) 監査 遵守義務〔条文 〕 1)遵守義務 遵守義務 〔条文 1601〕 保守担当者(システムユーザ)は、システム管理者の指示に従うこと。[A] 162 (2) 保守担当者(システム管理者)向け運用マニュアル 保守担当者(システム管理者)向け運用マニュアル 表52 運用マニュアル タイトル一覧(システム管理者向け) № (i) (ii) (iii) サブタイトル 条文見出し 管理体制の整備 1)セキュリティ・ポリシーの確立〔条文 2101〕 2)管理体制の確立〔条文 2102〕 3)管理手順の確立〔条文 2102〕 4)緊急時の連絡体制〔条文 2103〕 5)緊急時の復旧手順〔条文 2103〕 6)守秘義務〔条文 2104〕 7)システム管理者特権の制限〔条文 2105〕 8)システム管理者の体制〔条文 2106〕 9)システム管理者資格の停止〔条文 2107〕 制御系システムユーザ管 理 1)ログインの試行回数〔追加項目〕 2)ログインバナーの内容〔追加項目〕 3)オペコンへの自動ログイン〔追加項目〕 4)オペレータによるアプリケーション起動権限の制限〔追加項目〕 6)一般ユーザ権限の制限〔条文 2201〕 7)リモートメンテナンスユーザ権限の制限〔条文 2202〕 8)ユーザ ID の発行〔条文 2203〕 9)ユーザ ID の命名〔条文 2203〕 10)保守担当者(システムユーザ)のアクセス権限の制限〔条文 2203〕 11)ユーザ ID/パスワードによる認証〔条文 2203〕 12)遊休ユーザ ID の停止〔条文 2204〕 13)ユーザ ID の抹消〔条文 2205〕 14)保守担当者(システム管理者)のパスワードの生成〔追加項目〕 15)パスワードの伝達〔条文 2206〕 16)パスワードの開示〔条文 2206〕 17)パスワードの変更〔条文 2207〕 18)パスワードの漏洩〔条文 2208〕 19)パスワードの記憶〔条文 2208〕 20)一般ユーザ特権の制限〔条文 2209〕 21)一般ユーザ特権の停止〔条文 2210〕 情報管理 1)管理責任の明確化〔追加項目〕 2)情報系LANの物理的保護〔条文 2301〕 3)情報系LANの論理的保護〔条文 2302〕 4)情報系LANへの不正アクセスの検出〔条文 2303〕 5)情報系LANへの不正アクセス経路の遮断〔条文 2304〕 6)情報系LANへのアクセス情報の管理〔条文 2305〕 7)重要な情報へのアクセス制御〔条文 2306〕 8)重要な情報の分散化〔条文 2307〕 9)重要な情報の保管〔条文 2308〕 10)重要な情報の廃棄〔条文 2309〕 11)バックアップ〔条文 2310〕 163 № サブタイトル 条文見出し 設備管理 1)管理責任の明確化〔条文 2401〕 2)機器の管理〔条文 2402〕 3)移動可能な機器の管理〔条文 2403〕 4)システム構成の把握〔条文 2404〕 5)セキュリティ機能のポリシーへの適合〔条文 2405〕 6)セキュリティ設定のポリシーへの適合〔条文 2406〕 7)開発元の信頼度〔条文 2407〕 8)セキュリティ上の欠陥の防止策〔条文 2408〕 9)外部ネットワークからのアクセス制御〔条文 2409〕 10)フェール・セーフ対策〔条文 2410〕 11)システム構成変更時のセキュリティ確認〔条文 2411〕 12)外部ネットワークからのアクセス権限の制限〔条文 2412〕 13)外部ネットワークからのシステム管理〔条文 2413〕 14)遊休機器の切り離し〔条文 2414〕 15)設備処分時の情報管理〔条文 2415〕 16)ファイルへの不正アクセスの監視〔条文 2416〕 17)パスワード強化機能の利用〔条文 2417〕 18)ネットワーク負荷の監視〔条文 2418〕 19)ネットワーク構成の分離〔条文 2419〕 履歴管理 1)履歴の記録〔条文 2501〕 2)履歴の管理〔条文 2502〕 3)履歴の分析〔条文 2503〕 4)履歴の保管〔条文 2504〕 事後対応 1)異常原因の追求〔条文 2601〕 2)不正アクセス状況の把握〔条文 2602〕 3)不正アクセス機器の切り離し〔条文 2603〕 4)不正アクセス被害の拡大防止〔条文 2604〕 5)不正アクセス被害からの復旧〔条文 2605〕 6)不正アクセス再発の防止〔条文 2606〕 7)不正アクセス被害の届出〔条文 2607〕 (vii) 情報収集及び教育 1)セキュリティ対策情報の収集〔条文 2701〕 2)セキュリティ対策情報の分析〔条文 2702〕 3)セキュリティ対策情報の提供〔条文 2703〕 4)セキュリティ教育の実施〔条文 2704〕 (viii) 監査 1)システム監査〔条文 2801〕 (iv) (v) (vi) (i) 管理体制の整備 セキュリティ・ポリシーの確立 ・ポリシーの確立〔 〕 1)セキュリティ セキュリティ ・ポリシーの確立 〔条文 2101〕 制御系システムのセキュリティ・ポリシーを確立し、周知・徹底すること。 1. セキュリティ・ポリシーには、対象とする制御系システムの全ての機器および情報 に対する利用制限が詳細に記述されていること。[A] 2. 定期的にセキュリティに関するリスク評価を行ない、設備の追加、更新、撤去の結 果を、セキュリティ・ポリシーに反映すること。[A] 3. セキュリティポリシーは、作業標準より優先して適用されること。作業標準は、セ キュリティ・ポリシーの範囲内に納まったものでなければならない。[A] 164 4. 保守担当者(システム管理者およびシステムユーザ)は、規定されたセキュリティ・ ポリシーを遵守すること。またその旨を書面にて同意すること。[A] 管理体制の確立〔 〕 2)管理体制の確立 管理体制の確立 〔条文 2102〕 制御系システムのセキュリティ上の管理体制を確立し、周知・徹底すること。 1. 制御系システムのセキュリティを確保するために十分な人員を確保し、配置するこ と。 [A] 2. 保守担当者(システム管理者)は制御系システムにて使用している機器およびソフ トウェアに関する専門的な技術知識を有している者を、各分野ごと最低 2 名は配置 すること。 [A] 管理手順の確立〔 〕 3)管理手順の確立 管理手順の確立 〔条文 2102〕 制御系システムの運用マニュアルを確立し、周知・徹底すること。 1. 保守担当者(システム管理者)は、保守担当者(システムユーザ)が実施する業務 が円滑にかつ支障なく行なえるように、運用マニュアルを定めること。[A] 2. 保守担当者(システム管理者およびシステムユーザ)は、規定された運用マニュア ルを遵守すること。またその旨を書面にて同意すること。[A] 緊急時の連絡体制〔 〕 4)緊急時の連絡体制 緊急時の連絡体制 〔条文 2103〕 不正アクセスによる被害復旧のための連絡体制を確立し、周知・徹底すること。 1. 緊急時の連絡体制に関して定期的にテストを実施すること。[A] 2. 休暇等により不在時の緊急連絡先を必ず都度申告しておくこと。また、緊急呼び出 し時は速やかに集結すること。[A] 3. 重要な技術的作業が実施できる保守担当者の要員を、各分野ごとに最低 2 名は用意 しておくこと。要員が不足する場合は、計画的に教育を行なうこと。[A] 緊急時の復旧手順〔 〕 5)緊急時の復旧手順 緊急時の復旧手順 〔条文 2103〕 不正アクセスによる被害復旧のための手順を確立し、周知・徹底すること。 1. 制御系システムの情報資源の重要度を評価する基準を策定し、この評価基準に基づ き全ての情報資源の評価を行ない、復旧における優先順位を決定すること。[A] 2. システムを構成している全ての機器およびソフトウェアの一覧表を作成し、変更の 都度改訂すること。 [A] 3. 不正アクセスによる被害を想定した復旧のテスト計画を作成し、定期的に実施する こと。また、テスト実施後は報告書を作成し、不備が発見された場合は改善するこ と。 [B] コメント:復旧テストを実際に行うにはかなりのコストがかかるため、復旧手 順の妥当性検討は机上における作業でもよい。 守秘義務〔 〕 6)守秘義務 守秘義務 〔条文 2104〕 保守担当者(システム管理者)は、システム管理の業務上知り得た情報の秘密を守るこ と。 [A] システム管理者特権の制限〔 〕 7)システム管理者特権の制限 システム管理者特権の制限 〔条文 2105〕 保守担当者(システム管理者)が所有する特権ユーザ ID の発行数および特権ユーザと しての権限は、業務を遂行する上で必要最小限にすること。 1. 保守担当者(システム管理者)は、システム管理業務用ユーザ ID と一般保守業務 用ユーザ ID の 2 種類のユーザ ID を保有し、作業内容に応じて使い分けること。 [A] 165 2. 保守担当者(システム管理者)が特権ユーザ ID を使用して作業を行なう場合は、 当該作業内容およびそのログを記録し、報告書を作成すること。[A] 3. 保守担当者(システム管理者)は、ユーザのアクセス権を任意に変更できる権限を 有するものとし、ユーザの不正行為を発見した場合は、直ちに当該ユーザのアクセ ス権を制限すること。[A] 4. 保守担当者(システム管理者)は、制御系システムにとって有害であると判断され るサービス、データを警告なしで削除できる権利を有するものとし、制御系システ ムのセキュリティ上の安全性に問題がある場合は、直ちに当該サービス、データを 削除すること。 [A] システム管理者の体制〔 〕 8)システム管理者の体制 システム管理者の体制 〔条文 2106〕 保守担当者(システム管理者)は2人以上かつ必要最小限の管理者で、その業務は定期 的に交代すること。 1. 不測の事態に備え、保守担当者(システム管理者)の代替者を任命し、訓練してお くこと。 [A] システム管理者資格の停止〔 〕 9)システム管理者資格の停止 システム管理者資格の停止 〔条文 2107〕 保守担当者(システム管理者)の資格を喪失した者の権限は、速やかに停止すること。 [A] (ii) 制御系システムユーザ管理 ログインの試行回数〔追加項目〕 1)ログインの試行回数 ログインの試行回数 〔追加項目〕 ログインの試行回数を制限すること。 1. ユーザ ID またはパスワードの誤入力によるユーザへの再問い合わせは最大 2 回の みとし、ログイン試行回数が 3 回を超えた場合は、再問い合わせを行なわないこと。 [A] 2. 保守担当者(システムユーザ)がユーザ ID またはパスワードの誤入力でログイン に失敗した時は、失敗した旨以上の情報は開示しないこと。[A] 3. ダイヤルアップ回線によるリモートアクセスにおいて、ログイン試行回数が 3 回を 超えた場合は、回線の接続を終了すること。また、3分間は次の試みができないよ うにすること。 [A] ログインバナーの内容〔追加項目〕 2)ログインバナーの内容 ログインバナーの内容 〔追加項目〕 ログインバナーの表示を制限すること。 1. ユーザ ID およびパスワードによる識別と認証が確立するまで、ログインバナーを 表示しないこと。[A] 2. ログインバナーには、当該ユーザが最後にログアウトした日時を表示すること。 [A] オペコンへの自動ログイン〔追加項目〕 3)オペコンへの自動ログイン オペコンへの自動ログイン 〔追加項目〕 オペコン(オペレータ用コンソール)は自動ログインとし、オペレータに対してユーザ ID/パスワードの入力を要求しないこと。[A] オペレータによるアプリケーション起動権限の制限〔追加項目〕 4)オペレータによるアプリケーション起動権限の制限 オペレータによるアプリケーション起動権限の制限 〔追加項目〕 オペレータが操作するアプリケーションプログラムを、基本的には自動起動にすること。 1. オペコン(オペレータ用コンソール)のアプリケーションプログラムの起動は自動 起動とし、オペレータに陽に起動させないこと。[A] 166 2. 本番系プロコンのアプリケーションプログラムの起動は自動起動とし、オペレータ に陽に起動させないこと。[A] オペレータによるデータアクセス権限の制限〔追加項目〕 5)オペレータによるデータアクセス権限の制限 オペレータによるデータアクセス権限の制限 〔追加項目〕 オペレータがデータを更新する場合は、予め定められたアプリケーションを使用する以 外は更新できないように設計すること。[A] 一般ユーザ権限の制限〔 〕 6)一般ユーザ権限の制限 一般ユーザ権限の制限 〔条文 2201〕 保守担当者(システムユーザ)の登録は、必要な機器に限定し、その権限を必要最小限 に設定すること。[A] リモートメンテナンスユーザ権限の制限〔 〕 7)リモートメンテナンスユーザ権限の制限 リモートメンテナンスユーザ権限の制限 〔条文 2202〕 リモートメンテナンス者が所有するユーザ ID の発行数および権限は、業務を遂行する 上で必要最小限にすること。 1. リモートメンテナンス者によるPI/Oへのアクセスは禁止すること。プロセス入 出力(特に出力)に関するコマンドは、リモートからは実行されないようにする。 [A] 2. リモートメンテナンス者による保守担当者(システム管理者)権限の利用は禁止す ること。 [A] 3. プラント外部から制御系システムにアクセスするリモートメンテナンス者に対する 認証には、コールバック機能、OTP(One Time Password)やRADIUS等に よる認証機構を利用すること。[A] コメント:アクセス接点の環境やリモートメンテナンス者の技術レベル等に見 合った強度の認証機構を導入する。 4. ログインに成功したリモートメンテナンス者は、そのときログインしている端末以 外からはログインできないようにすること。[A] ユーザ ID の発行〔 〕 8)ユーザ の発行〔条文 2203〕 全ての保守担当者(システムユーザ)に固有のユーザ ID とパスワードを発行すること。 1. ユーザ ID はユーザ個々を識別するものとし、システム管理者、メール管理者等の 役割単位でのユーザ ID、あるいは複数人単位でのグループ ID を設定しないこと。 [B] コメント:運用の利便性を考慮した場合、役割単位でのユーザ ID やグループ ID を設定することができないのは不便であるため、ID を共有するユーザの人数が多 くなく且つ各ユーザの素性が明らかである場合は、ID の共有をしてもよい。 2. 過去に発行したユーザ ID を再利用しないこと。[A] ユーザ ID の命名〔 の命名〔条文 2203〕 〕 9)ユーザ 制御系システムを構成するサブシステムすべてに対して、ユーザが同一のユーザ ID を 利用できるように命名すること。ユーザ ID の一本化は、管理業務の効率化につながる。 命名方法の詳細については、別途規定する命名規約に従うこと。[B] コメント:プロコンと PLC のように明らかに保守担当者が異なるサブシステム の場合は、ユーザ ID の一本化を行う必要はない。各サブシステムごとに、命名規 則に従って命名されていればよい。 保守担当者(システムユーザ)のアクセス権限の制限 (システムユーザ)のアクセス権限の制限〔 〕 10)保守担当者 保守担当者 (システムユーザ)のアクセス権限の制限 〔条文 2203〕 全ての保守担当者(システムユーザ)のアクセス権限を制限すること。 167 1. 保守担当者(システムユーザ)へのユーザ ID 発行およびアクセス権の付与は、保 守担当者(システム管理者)の権限とし、保守担当者(システム管理者)はその行 為に対して責任を負うこと。[A] 2. 全ての情報に対するアクセス権のデフォルト設定は、参照、更新、削除全て不可に 設定し、各ユーザには運用に必要なデータのみにアクセス権を付与していくこと。 [A] 3. 各ユーザに付与したアクセス権は 1 年ごとに見直しを行なうこと。[A] 4. 保守担当者(システムユーザ)に、システム管理用プログラム、システム管理用デ ータに対するアクセス権を付与しないこと。[A] ユーザ ID/パスワードによる認証 パスワードによる認証〔 〕 11)ユーザ パスワードによる認証〔条文 2203〕 全てのユーザは、システムの資源にアクセスする前に、ユーザ ID/パスワードによる識 別と認証を受けるものとし、識別と認証を受けない特殊ユーザは設けないこと。ただし、 オペコンにログインするオペレータは例外とする。[A] 遊休ユーザ ID の停止〔 〕 12)遊休ユーザ の停止〔条文 2204〕 保守担当者(システム管理者)は、3ヶ月以上利用していないユーザIDを速やかに停 止すること。[A] ユーザ ID の抹消〔 の抹消〔条文 2205〕 〕 13)ユーザ ユーザ ID の廃止等の届け出があった場合は、速やかに登録を抹消すること。 1. 登録ユーザが異動、退職等でそのユーザ ID を必要としなくなる場合は、直ちに当 該者のユーザ ID を停止し、全てのアクセス権を抹消すること。[A] 保守担当者(システム管理者)のパスワードの生成 (システム管理者)のパスワードの生成〔追加項目〕 14)保守担当者 保守担当者 (システム管理者)のパスワードの生成 〔追加項目〕 保守担当者(システム管理者)のパスワードは、複雑にすること。 1. 英字の大文字小文字、数字、特殊文字をそれぞれ1文字以上組み合わせた、8文字 以上の文字列とすること。[A] パスワードの伝達〔 〕 15)パスワードの伝達 パスワードの伝達 〔条文 2206〕 保守担当者(システム管理者)は、パスワードを当該制御系システムユーザ以外に知ら せないこと。 1. システムで自動生成するパスワードを使用する場合、生成後直ちに当該ユーザに口 頭で伝達するものとし、複数の生成パスワードをいかなる形式でも記録、蓄積、伝 達しないこと。 [A] 2. 制御系システムユーザへのパスワードの伝達を電話で行なってはならない、必ずユ ーザと相対して口頭で行なうこと。[A] パスワードの開示〔 〕 16)パスワードの開示 パスワードの開示 〔条文 2206〕 保守担当者(システムユーザ)がパスワードを忘れた時など、パスワードの開示が必要 な場合は、保守担当者(システム管理者)は、本人であることを識別できる最低 2 つの証 拠の提示を求めること。[A] パスワードの変更〔 〕 17)パスワードの変更 パスワードの変更 〔条文 2207〕 保守担当者(システム管理者)は、パスワードのチェックを随時行い、安易なパスワー ドは、速やかに変更させること。 1. ハードウェアまたはソフトウェア供給者が供給するデフォルトのパスワードは、使 用する前に必ず変更すること。[A] 168 2. 初期パスワードとして、保守担当者(システム管理者)が発行したパスワードを使 用する場合、当該ユーザに対して、最初のログイン時にシステム的にパスワード変 更を強制すること。 [B] コメント:制御機器によっては、システム的に強制することが、機構上、シス テム的に実現できない、もしくは難しい場合がある。このような場合は、口頭に よる指示を与えるなどにより、変更を促すこと。 3. パスワードは最低でも 1 ヶ月単位で変更することとし、これを超える期間パスワー ド変更が無い場合は、システム的にパスワードの変更を強制すること。[B] コメント:周期的な変更は、運用負荷を上げることにつながる。変更の周期に ついては、各サブシステムごとに妥協点を見出す必要がある。 パスワードの漏洩〔 〕 18)パスワードの漏洩 パスワードの漏洩 〔条文 2208〕 パスワードが当該制御系システムユーザ以外に知られた場合またはその疑いのある場合 は、保守担当者(システム管理者)はパスワードを速やかに変更させること。 1. 固定パスワードを使用する場合、このパスワードが漏洩した可能性が検出されたと きは、直ちに全てのパスワードを変更し、全ての制御系システムユーザに対し、パ スワードの変更を強要すること。[A] 2. 必要に応じて、セキュリティに関連した全てのソフトウェアを再インストールする こと。 [A] パスワードの記憶〔 〕 19)パスワードの記憶 パスワードの記憶 〔条文 2208〕 パスワードを記憶するときは、漏洩を防ぐための対策を講じること。 1. 固定パスワードを使用する場合、判読可能な形式でコンピュータ・システム内部に 保持しないこと。[A] 2. パスワードを記憶媒体に保持する場合、あるいはネットワークで伝送する場合は必 ず暗号化すること。 [A] 3. パスワードを紙媒体に保持する場合、施錠できる場所に保管すること。[A] 4. パスワードをプログラム中に固定的にコーディングしないこと。[A] 一般ユーザ特権の制限〔 〕 20)一般ユーザ特権の制限 一般ユーザ特権の制限 〔条文 2209〕 保守担当者(システム管理者)は、保守担当者(システムユーザ)に特別のアクセス権 を付与する場合は、業務を遂行する上で必要最小限にすること。 1. 保守担当者(システム管理者)は、特別のアクセス権を付与する場合は、当該保守 担当者(システムユーザ)の技術的能力等を考慮すること。[A] 2. 保守担当者(システムユーザ)に対して特別のアクセス権を付与する場合は、これ より低い権限のユーザ ID も発行すること。[A] 3. 保守担当者(システムユーザ)に対して特別のアクセス権を付与する場合は、書面 にて申請・承認された者以外に対して付与しないこと。[A] 4. 社外のベンダに対して、ダイヤルアップ・メンテナンスに必要なアクセス権を与え る場合は、特定の日時を指定し、作業に必要な時間のみそのアクセス権を付与する こと。 [A] 5. 保守担当者(システムユーザ)が重要な情報にアクセスする場合は、事前に作業指 示書を発行すること。また、その作業指示書にセキュリティ上の遵守事項を明記し ておくこと。[A] 169 一般ユーザ特権の停止〔 〕 21)一般ユーザ特権の停止 一般ユーザ特権の停止〔条文 2210〕 必要としなくなった保守担当者(システムユーザ)の特権は、速やかに停止すること。 [A] (iii) 情報管理 管理責任の明確化〔追加項目〕 1)管理責任の明確化 管理責任の明確化 〔追加項目〕 重要な情報における管理責任を明確にすること。 1. 制御系システムを構成する各サブシステムごとに、必ず管理責任者を割り当てるこ と。管理責任者は、保守担当者(システム管理者)の中から選ばれることとし、そ のシステムのセキュリティ維持のために必要な処置を講じなければいけない。[A] 2. プラントの制御ロジックを実運用に適用する場合は、事前にそのセキュリティ面に おける安全性に対する責任の所在を明記しておくこと。[A] 3. 制御系システムの開発や保守を外部請負業者に委託する場合でも、システムのセキ ュリティ維持のために必要な作業は必ず自社にて行うこと。[A] 情報系LANの物理的保護〔 〕 2)情報系LANの物理的保護 情報系LANの物理的保護 〔条文 2301〕 制御系システムと外部を繋ぐ情報系LAN上の情報は、漏洩を防止する仕組みを確立す ること。 1. ケーブルに対して、光ケーブル化したり、金属パイプによる配管を施すこと。[B] コメント:光ケーブル化や配管の敷設にはかなりのコストがかかるため、ケー ブルが、部外者によって直接触れられることがないようになっていればよい。 2. 部外者が、ハブやルータを、直接触れることができないように設置すること。[A] 情報系LANの論理的保護〔 〕 3)情報系LANの論理的保護 情報系LANの論理的保護 〔条文 2302〕 情報系LAN上で情報の盗聴及び漏洩が行われても、内容が解析できない機密保持機能 を用いること。 1. 情報系LAN上の情報を暗号化すること。[C] コメント:情報系 LAN 上の情報の暗号化は、かなりのコストがかかる。また、 暗号処理に要する時間から LAN の応答性の低下が予想される。そこで、クラッカ ー対策としては、侵入後の脅威に対する対策よりも、プラント内の LAN への侵入 防止に重点をおくこととする。 情報系LANへの不正アクセスの検出〔 〕 4)情報系LANへの不正アクセスの検出 情報系LANへの不正アクセスの検出 〔条文 2303〕 情報系LAN上で情報の改ざんが行われても、検出できるような改ざん検知機能を用い ること。 1. 情報系LAN上に、暗号化メールによる電子的署名、ファイルの電子的署名などに よる電子的署名技術を用いた改ざん検出機構を構築すること。[C] コメント:情報系 LAN 上の改ざん検出機構の導入は、かなりのコストがかかる。 また、検出処理に要する時間から LAN の応答性の低下が予想される。そこで、ク ラッカー対策としては、侵入後の脅威に対する対策よりも、プラント内の LAN へ の侵入防止に重点をおくこととする。 情報系LANへの不正アクセス経路の遮断〔 〕 5)情報系LANへの不正アクセス経路の遮断 情報系LANへの不正アクセス経路の遮断 〔条文 2304〕 情報系LAN上で情報の改ざんが検出された場合に、プラント運転に不要なネットワー クと切り離す機能を設けること。 1. 情報系LANに、ルータなどのアクセス制御装置を設置すること。[A] 170 情報系LANへのアクセス情報の管理〔 〕 6)情報系LANへのアクセス情報の管理 情報系LANへのアクセス情報の管理〔条文 2305〕 情報系LANを介した外部からのアクセス情報を管理する機能を設けること。 1. 情報系LAN上にルータを設置し、外部からのアクセス状況を検出すること。[A] 重要な情報へのアクセス制御〔 〕 7)重要な情報へのアクセス制御 重要な情報へのアクセス制御 〔条文 2306〕 重要な情報(プラントの制御ロジック、ネットワークアドレス、システム構成など)につ いては、削除、改ざん、不正取得等の被害が少なくなるように、アクセス情報を管理する こと。 1. 重要な情報に対して、アクセス制御を行うこと。[A] 2. 重要な情報に対して、不正なアクセスが行われていないかチェックすること。[A] 3. 重要な情報に対して、外部のシステムからアクセスする場合は、必ず管理責任者の 承認を得ること。[A] 4. 特にネットワークに接続されたコンピュータ上に重要な情報を置く場合は、必ずセ キュリティ上のリスク分析を行うこと。[A] 重要な情報の分散化〔 〕 8)重要な情報の分散化 重要な情報の分散化 〔条文 2307〕 重要な情報は、削除、改ざん、不正取得等による被害が少なくなるように分散化するこ と。 1. 本番系のデータと同じデータを、バックアップ系に蓄積すること。[A] 重要な情報の保管〔 〕 9)重要な情報の保管 重要な情報の保管 〔条文 2308〕 重要な情報を記録した紙、磁気媒体等は、安全な場所に保管すること。 1. 第三者が容易にアクセスできる場所に放置しないこと。[A] 2. 印刷結果を、プリンタに放置しないこと。[A] 3. 重要な印刷結果は、施錠できる場所に保管すること。[A] 4. 不要な印刷結果は、速やかに廃棄すること。[A] 5. 光磁気媒体などは、必要に応じて暗号化すること。[B] 6. 重要な情報は、必ず物理的なセキュリティ対策か暗号化によるセキュリティ対策を 実施して保管すること。[A] 7. 重要な情報を記録した紙、磁気媒体等を保管した場所へのアクセスは、これらの情 報を業務上必要とする者だけに限定すること。[A] 8. バックアップメディアをプラント敷地の外に保管する場合は、必ず暗号化を施すこ と。 [B] 重要な情報の廃棄〔 〕 10)重要な情報の廃棄 重要な情報の廃棄 〔条文 2309〕 重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏洩しない方法で行う こと。 コメント:情報の重要度や媒体の種類に応じて、下記の何れかの方法で廃棄す ること。 1. 消磁装置などにより、内容を消去すること。[A] 2. 裁断したり、焼却したりするなど、媒体を物理的に破壊すること。[A] 3. 0 を書き込んだり、フォーマットしたりするなど、媒体を論理的に破壊すること。 [A] 4. 光磁気媒体などは、必要に応じて暗号化すること。[B] 171 バックアップ〔 〕 11)バックアップ バックアップ〔条文 2310〕 ファイルのバックアップを随時行い、その磁気媒体等を安全な方法で保管すること。 〔バックアップ方針〕 1. 別途定められた方案にしたがって、重要な情報についての定期バックアップを行う こと。この方案には、フルバックアップ、差分バックアップの対象、実施時間、周 期が明記されている。[A] 〔バックアップ対象〕 1. プラント最高責任者は、災害時に制御系システムを復旧させるためにはどのような 情報が必要であるか、常に把握しておくこと。制御系システムの運用に必要不可欠 な情報のリストを作成し、システムの変更に合わせて更新しなければならない。 [A] 2. バックアップ媒体には、データ本体だけでなく、データの特徴およびデータの最終 更新日に関する情報も納めておくこと。[A] 〔バックアップ媒体〕 1. 重要な情報のバックアップ媒体には、別途定められた種類、フォーマット形式、容 量のものを使うこと。バックアップ媒体をプラント内で統一しておくことは、デー タ復旧作業の効率化につながる。[A] 2. 長期間、保管されている重要な情報のバックアップ媒体については、バックアップ データが復旧可能かどうか定期的に検査すること。バックアップ媒体の劣化状態の ほかに、バックアップデータを取り出す手順や管理するソフトウェアについても検 査しなければならない。[A] 〔バックアップ周期〕 1. 重要な情報については、必ず定期的(最低月一回)にバックアップを作成すること。 [A] 2. 盗難による情報漏洩に備えて、携帯端末上の重要な情報については、定期的に行わ れるバックアップ以外に、バックアップを作成すること。[A] 〔バックアップデータの保管場所〕 1. 重要な情報のバックアップ媒体は、制御系システムから離れた場所に保管すること。 保管場所は、物理的なセキュリティ対策が施されていなければならない。[A] 2. 事故や災害時に備えて、制御系システムの重要な情報は、最低2個以上の複製を用 意し、離れた場所に保管すること。[A] 〔バックアップデータの保管期間〕 1. 重要な情報のバックアップ媒体は、別途定められた方案にしたがって、一定期間保 管されること。保管期間は、情報の性質、法的拘束などによって決められる。[A] 2. 重要な情報のバックアップ媒体は、別途定められた方案にしたがって、情報の有効 性を定期的に検証し、不要な情報については破棄すること。バックアップ媒体は必 要最小限に抑えること。[A] 〔バックアップデータの利用〕 1. 重要な情報について保守作業を行う場合は、最低1個以上の最新バックアップを作 成すること。[A] 2. バックアップ媒体からのデータ復旧作業を行う場合は、必ずバックアップ媒体を一 旦コピーしてから利用すること。[A] 172 (iv) 設備管理 管理責任の明確化〔 〕 1)管理責任の明確化 管理責任の明確化 〔条文 2401〕 すべての機器及びソフトウェアの管理者を明確にすること。 1. 全ての共有される情報の所有権および責任者を明確に記述すること。[A] 2. 制御系システムにおける計算機、通信機器を一台一台識別できるように管理するこ と。例えば、バーコードを利用して効率的に管理するとよい。[A] 機器の管理〔 〕 2)機器の管理 機器の管理 〔条文 2402〕 重要な情報が格納されているかまたは重要な処理を行う機器は、許可を与えられた者以 外立ち入れない場所に設置し、厳重に管理すること。 〔アクセス制御〕 1. 重要な情報が保管されている場所に対しては、物理的なアクセス制御(警備員の配 備、施錠、認証システムなど)を施すこと。場所には、運転室、計算機室、管理セン ターなどのあらゆる場所が含まれる。[A] 2. 端末(オペコン、エンコン、EWSなど)や通信機器には、物理的なアクセス制御(警 備員の配備、施錠、認証システムなど)を施すこと。[A] 3. プラント内では、すべての従業員は社員証を着用し、各自の身分を明示すること。 [A] 4. 社員証を忘れた従業員は、身分を証明するものを提示して仮入構証を必ず入手する こと。 [A] 5. プラント構内へ入ることを許された従業員の一覧表を作成し、常に最新の内容に保 つこと。 [A] 6. プラントの訪問者は、必ず記帳し、入構許可証を入手すること。また、必ず入構が 認められた従業員に同伴してもらうこと。[A] 7. 非直営社員が重要な情報が保管されている場所に立ち入る場合は、その行動を監視 すること。 [A] 8. 重要な情報が保管されている場所で、従業員に同伴されていない訪問者を見かけた 場合は、訪問者の目的を確認し、訪問者を守衛室まで連れて行くこと。[A] 〔非通知対策〕 1. 制御系システムの計算機室、通信設備、保守部門などの場所を示す標識を、公の場 に設置しないこと。 [A] 〔付帯設備〕 1. 制御系システムの計算機室には、必ず防火設備を設置すること。例えば、火災探知 器、消火装置、防火壁などを設ける。[A] 移動可能な機器の管理〔 〕 3)移動可能な機器の管理 移動可能な機器の管理 〔条文 2403〕 移動可能な機器は、盗難防止策を行うこと。 1. 制御系システムの構成機器を、放置しないこと。[A] 2. 制御系システムの構成機器を、保守部門の許可なしで移動しないこと。[A] システム構成の把握〔 〕 4)システム構成の把握 システム構成の把握 〔条文 2404〕 システム構成を常に把握しておくこと。 173 1. 制御系システムにおける情報資産について明細を作成し、常に最新の情報を把握し ていること。[A] 2. 新しくソフトウェアを開発したり機器を設置したりする場合は、事前にそのシステ ムを文書化すること。[A] 3. 制御系システム上で動作するプログラムは、開発環境から実運用環境へ移行する前 に、ユーザ教育用資料と操作説明書がきちんと用意されていること。[A] 4. 制御系システム上で動作するプログラムを社外のベンダから調達する場合は、その プログラムの主要機能について記述した報告書を用意すること。[A] 5. 文書化されていない機能を、制御系システムに実装しないこと。[A] 6. 制御系システムに重要な変更が発生した場合は、システムに関する情報を記述した 文書を、必ず1週間以内に修正すること。[A] セキュリティ機能のポリシーへの適合〔 〕 5)セキュリティ機能のポリシーへの適合 セキュリティ機能のポリシーへの適合 〔条文 2405〕 機器及びソフトウェアを導入する場合は、そのセキュリティ機能がセキュリティ・ポリ シーに適合していることをあらかじめ確認すること。 1. 制御系システムに新しくソフトウェアや機器を導入する場合は、設計・開発段階か ら導入段階に至るまで、そのソフトウェアが制御系システムのセキュリティを脆弱 にしないかどうか調査し、そのセキュリティ要件を考慮すること。また、利便性や 操作性、保守性、費用対効果などセキュリティ以外の指標についても検討する。[A] 2. 制御系システムの構成機器は、本来の目的とは異なった用途で利用された場合に、 自動的に機能しなくなるように設計されていること。例えばコントローラの制御ロ ジックの場合、プロコンから誤った制御指示を受けたときに、異常通知を返して処 理を終了するように設計する。[A] 3. 制御系システムに外部システムを接続する場合、外部システムが制御系システムの セキュリティ要件を満足するか調査すること。[A] セキュリティ設定のポリシーへの適合〔 〕 6)セキュリティ設定のポリシーへの適合 セキュリティ設定のポリシーへの適合 〔条文 2406〕 機器及びソフトウェアの設定情報がシステムに適合していることを随時確認すること。 1. 制御系システムのネットワークに接続される機器(リモートアクセス用端末も含む) は、必ず制御系システムのセキュリティポリシーを遵守するように、機器構成を設 定すること。[A] 開発元の信頼度〔 〕 7)開発元の信頼度 開発元の信頼度 〔条文 2407〕 供給者の連絡先及び更新情報が明確な機器及びソフトウェアを利用すること。[A] セキュリティ上の欠陥の防止策〔 〕 8)セキュリティ上の欠陥の防止策 セキュリティ上の欠陥の防止策 〔条文 2408〕 セキュリティ上の問題点が解決済みの機器及びソフトウェアを利用すること。 〔外部ソフトにおけるウイルス対策〕 1. プラント外部のシステムから、制御系システム内にソフトウェアを直接ダウンロー ドしないこと。ダウンロードしたい場合は、制御系システム外部のマシンに一旦ダ ウンロードして、ウイルス検査を行ってから利用する。[A] 2. 制御系システムのネットワークに接続されたコンピュータに、情報システム部の許 可なしにプラント外部から持ち込んだソフトウェアをインストールしないこと。 [A] 3. プラント外部から持ち込んだソフトウェアは、必ずウイルス検査を行うこと。[A] 〔記憶媒体におけるウイルス対策〕 174 1. 制御系システム上で記憶媒体を利用する場合は、ウイルスなどが含まれていないか どうか検査すること。[A] 2. プラント外部から持ち込んだ情報媒体(フロッピーディスク、テープ、CD-ROM な ど)は、必ずウイルス検査を行うこと。[A] 〔ウイルス検査〕 1. 新しくソフトウェアを導入する場合、そのソフトウェアがウイルスに感染していな いどうか、必ず調査すること。[A] 2. プラント外部から持ち込んだソフトウェアやファイルなどのウイルス検査は、必ず 制御系システムから独立したコンピュータ上で行うこと。[A] 3. 制御系システムのコンピュータは、ウイルスチェック・プログラムを定期的に起動 して、ウイルス検査をすること。[A] 〔購入時の対策〕 1. 実運用システムに利用するセキュリティ製品に、市場に登場してから1年未満の新 製品は採用しないこと。[A] 2. 制御系システムに新しく導入するソフトウェアや機器を購入する場合は、社内で定 められた正規の購買ルートを通じて購入すること。[A] 3. セキュリティ関連機器、ソフトウェアは独自に開発せず、商用品を利用すること、 また、国際的にあるいは国内的に標準化されているセキュリティ標準に準拠したも のを採用すること。 [A] 〔設計時の対策〕 1. 制御系システムのソフトウェアは、ユーザからの入力値を受け付けた場合は、必ず ユーザに受け付けた結果が正しかったことを通知するように設計されていること。 [A] 2. 制御系システムのソフトウェアは、予期した結果が得られなかった場合に、必ずユ ーザにそのことを通知するように設計されていること。[A] 3. 制御系システムの構成機器は、その動作が作業員に危害を加える可能性がある場合 は、自動的に停止するように設計されていること。[A] 〔実装時の対策〕 1. 制御系システムのソフトウェアを自社開発する場合は、正規に定められたコーディ ング規約に基づいて実装すること。[A] 2. 自社開発したソフトウェアを実運用環境に移す前に、セキュリティ上の欠陥がない かどうか検査すること。例えば、開発時に用意したアクセス経路は取り除いておく 必要がある。[A] 〔移行時の対策〕 1. 制御ロジックを開発環境から実運用環境へ移行する作業は、開発者以外の者が行う こと。開発者と運用者の権限を分離することによって、開発者独自の判断による実 運用環境への移行を防ぐことができる。[A] 〔保守時の対策〕 1. 制御系システムにおける正規の改造手順を必ず確立すること。システムの改造は必 ずこの手順に則って行われる。[A] 175 2. 制御系システムに新しくソフトウェアや機器を導入する場合または大きな変更を加 える場合は、制御系システムのセキュリティへの影響に関する報告書を作成するこ と。 [A] 3. 設備診断用およびシステム診断用のツールは、利用者権限をもった者だけが使用す ること。 [A] 4. 稼働中システムのデータおよびプログラムを変更する場合は、事前にその旨を申請 し承認を得ること。また承認された人以外の人が変更作業を行なわないこと。[A] 外部ネットワークからのアクセス制御〔 〕 9)外部ネットワークからのアクセス制御 外部ネットワークからのアクセス制御 〔条文 2409〕 保守担当者(システム管理者)は、外部と接続する機器はファイアウォール機能を持た せる等、十分なアクセス制御機能を有したものを利用すること。 〔ダイヤルアップ接続〕 1. プラント外部から制御系システムへダイヤルアップ接続する場合は、必ずアクセス 制御機器を経由すること。アクセス制御機器には、リモートアクセスサーバ、ファ イアウォールなどが含まれる。[A] 2. 全てのダイヤルアップ接続は、認証サーバを含むモデムプールを経由することとし、 モデムを直接コンピュータに接続しないこと。[A] 3. 全てのダイヤルアップモデムは、3 回コールされるまで応答しないように設定する こと。 [A] 〔インターネット接続〕 1. 制御系システムの端末からインターネットへアクセスする者は、必ず所属部署の監 督者による承認と別に定めるインターネット利用者ポリシーの通知を受けること。 [A] 2. 制御系システムの端末からインターネットへアクセスする者は、必ずファイアウォ ールを経由すること。[A] 3. インターネットから制御系システムへアクセスする者は、必ずファイアウォールに よるユーザ認証を行うこと。[A] 4. 制御系システムの端末からインターネットへアクセスする者のユーザ ID は、設定 時より6ヶ月間を有効期間とすること。[A] 5. インターネットから制御系システムへアクセスする者は、固定パスワードではなく、 必ずダイナミック・パスワードを使用すること。[A] 6. インターネットから制御系システムへアクセスする者は、制御系システムの情報を 直接修正しないこと。[A] フェール・セーフ対策 ・セーフ対策〔 〕 10)フェール フェール ・セーフ対策 〔条文 2410〕 アクセス制御機能に障害が起きた時には、外部との通信を制限する等のフェール・セー フ対策を行なうこと。 1. ルータを利用する場合、ルーティング設定に障害が発生したときに経路を遮断する ように設計されている機器を用いること。[A] システム構成変更時のセキュリティ確認〔 〕 11)システム構成変更時のセキュリティ確認 システム構成変更時のセキュリティ確認 〔条文 2411〕 システム構成の変更を行う前に、セキュリティ上の問題が生じないことを確認すること。 1. 制御系システムにおける正規の構成変更手順を必ず確立すること。システムの構成 変更は必ずこの手順に則って行われる。[A] 176 2. 制御系システムの構成変更を行う場合は、制御系システムのセキュリティへの影響 に関する報告書を作成すること。[A] 外部ネットワークからのアクセス権限の制限〔 〕 12)外部ネットワークからのアクセス権限の制限 外部ネットワークからのアクセス権限の制限 〔条文 2412〕 ネットワークを介して外部からアクセスできる通信経路、コンピュータ及び使用できる プロトコルを、必要最小限にすること。[A] 外部ネットワークからのシステム管理〔 〕 13)外部ネットワークからのシステム管理 外部ネットワークからのシステム管理 〔条文 2413〕 ネットワークを介して外部からシステム管理を行う場合は、認証機能、暗号機能及びア クセス制御機能を設定すること。[A] 遊休機器の切り離し〔 〕 14)遊休機器の切り離し 遊休機器の切り離し 〔条文 2414〕 3 ヶ月以上利用しない機器はシステムから切り離すこと。[A] 設備処分時の情報管理〔 〕 15)設備処分時の情報管理 設備処分時の情報管理 〔条文 2415〕 機器及びソフトウェアの廃棄、返却、譲渡等を行う場合は、情報の漏洩を防ぐ対策を行 うこと。 1. 別途定められた方案にしたがって、プラント制御に必要なくなった機器、制御ロジ ック、データを処分すること。[A] ファイルへの不正アクセスの監視〔 〕 16)ファイルへの不正アクセスの監視 ファイルへの不正アクセスの監視 〔条文 2416〕 保守担当者(システム管理者)は、ソフトウェア及びシステムファイルの改ざんが生じ ていないことを随時確認すること。 1. 制御系システム上のファイルは、アクセス・コントロール用のソフトウェアを利用 して管理すること。 [A] 2. 制御系システム上のファイルは、侵入検知システムや Tripwire などの不正アクセス を検知するツールを利用して管理すること。[A] 3. 一定時間に大量のデータが制御系システムからプラント外部へ流出した場合に、保 守担当者(システム管理者)に警告を発するような監視システムを利用すること。 [A] パスワード強化機能の利用〔 〕 17)パスワード強化機能の利用 パスワード強化機能の利用 〔条文 2417〕 システムが提供するパスワード強化機能を最大限に活用すること。 1. 制御系システム上の重要な情報を納めたファイルは、パスワード機能付きのアクセ ス・コントロール用のソフトウェアを利用して管理すること。[A] 2. 制御系システムの運用環境上で、特に重要なプラント制御を開始する際には、個人 のユーザ ID による認証だけでなくさらに高度な認証機能を利用すること。[C] コメント:高度な認証機能の導入には、かなりのコストがかかるため、クラッ カー対策としては、プラント内部における認証には、通常の認証機能を利用する。 プラント外部からのアクセスに対する認証には、高度な認証機能を用いる。 (条文 2202 を参照) ネットワーク負荷の監視〔 〕 18)ネットワーク負荷の監視 ネットワーク負荷の監視 〔条文 2418〕 ネットワークの負荷状況を監視すること。[A] ネットワーク構成の分離〔 〕 19)ネットワーク構成の分離 ネットワーク構成の分離 〔条文 2419〕 システムの利用形態等に応じて、ネットワークを分離すること。 1. プラント内の複数の制御系システムを接続する場合は、その接続にセキュリティ上 の問題がないかどうか調査すること。[A] 177 2. 重要な情報を含むシステムを、他のネットワークやコンピュータと接続しないこと。 他のシステムにデータを移す場合は、フロッピーディスクなどの媒体を利用する。 [A] コメント:業務の都合上、やむを得ず接続する場合は、条文 2412,2413,2405 について充分に考慮すること。 (v) 履歴管理 履歴の記録〔 〕 1)履歴の記録 履歴の記録 〔条文 2501〕 システムのセキュリティ・ポリシーに基づいたシステムの動作履歴、使用記録等を記録 すること。 〔ログ情報の内容〕 1. ユーザによる操作履歴には、制御系システムに対してどのような不正行為が行われ たか解析するのに必要な情報が含まれていること。[A] 2. ログ情報には、制御系システムが一定期間内で復旧できるのに必要な情報が含まれ ていること。[A] 3. ユーザ I/D、ログイン時刻、ログアウト時刻、起動アプリケーション、ファイルの 変化、ポートスキャン状態などに関する情報を収集すること。[A] 4. 特に重要な情報を扱うシステムでは、セキュリティに関するイベントを記録するこ と。記録するイベントとしては、パスワード誤入力回数、保守担当者(システム管 理者)やリモートメンテナンス者の認証失敗、パスワード変更、有効期限切れパス ワード/ユーザIDの利用、ソフトウェアの更新などがある。[A] 5. ユーザによって発効されたコマンドはすべて、ユーザ別に追跡できるようにするこ と。 [A] 6. ログ情報は、制御系システム内の統一した時刻で記録されること。[A] 〔ユーザへの通知〕 1. すべてのユーザは、どのような行為が不正であるかということ、またそのような行 為はログ情報として記録されることを知らされていること。[A] 〔外部ネットワークからのアクセス情報〕 1. リモートメンテナンス者の場合、ラストログイン日時とログイン場所(接続電話番 号)を必ず記録すること。[A] 履歴の管理〔 〕 2)履歴の管理 履歴の管理 〔条文 2502〕 システムの動作履歴、使用記録等を記録する場合は、改ざん、削除、破壊及び不正取得 の防止措置を施すこと。 1. ユーザがデータを不正に操作すると、別のユーザにイベントを通知するように設計 すること。 [A] 2. ログ生成機能および生成されたログ情報は、不正アクセスから守られていること。 [A] 3. ログ情報は、特定の権限をもった者だけが参照できること。[A] 4. 特にパスワード等の機密情報をログ情報として記録する場合は、暗号化して記録す ること。 [A] 履歴の分析〔 〕 3)履歴の分析 履歴の分析 〔条文 2503〕 記録したシステムの動作履歴、使用記録等を随時分析すること。[A] 178 履歴の保管〔 〕 4)履歴の保管 履歴の保管〔条文 2504〕 記録したシステムの動作履歴、使用記録等は、安全な方法で一定期間保管すること。 1. セキュリティに関するログ情報は、最低3ヶ月間は保管すること。[A] 2. すべてのユーザによる操作履歴を記録し、一定期間保管すること。[A] 3. アクセス・コントロールに関するログ情報は、一定期間保管すること。[A] 4. システムへの不正行為が行われた疑いがある場合は、証拠につながる情報はただち に記録され、大切に保管されること。[A] 5. ログ情報は、必要なときに即座に取り出しやすいようにデータベースや専用のアプ リケーションを用いて保管されること。[A] (vi) 事後対応 異常原因の追求〔 〕 1)異常原因の追求 異常原因の追求 〔条文 2601〕 異常の連絡を受けた場合または異常を発見した場合は、速やかに原因を追究すること。 1. 制御系システムユーザよりウイルス発見の連絡を受けた場合は、直ちに指示を行な い、ユーザの独自行動を認めないこと。[A] 不正アクセス状況の把握〔 〕 2)不正アクセス状況の把握 不正アクセス状況の把握 〔条文 2602〕 不正アクセスであることが判明した場合は、関係者と協調して被害の状況を把握するこ と。 [A] 不正アクセス機器の切り離し〔 〕 3)不正アクセス機器の切り離し 不正アクセス機器の切り離し 〔条文 2603〕 外部からの不正アクセスが発見された場合は、すみやかに情報系ネットワークとの接続 の切り離しを行なうこと。 1. システムが不正アクセスされていると判断した場合は、関連する機器を制御系シス テムからただちに切り離すこと。[A] 不正アクセス被害の拡大防止〔 〕 4)不正アクセス被害の拡大防止 不正アクセス被害の拡大防止 〔条文 2604〕 関係者と協調して不正アクセス被害の拡大を防止するための処置を行うこと。[A] 不正アクセス被害からの復旧〔 〕 5)不正アクセス被害からの復旧 不正アクセス被害からの復旧 〔条文 2605〕 事前に確立した復旧手順を遂行し、関係者と協調して不正アクセス被害の復旧に努める こと。 [A] 不正アクセス再発の防止〔 〕 6)不正アクセス再発の防止 不正アクセス再発の防止 〔条文 2606〕 不正アクセス被害の原因を分析し、関係者と協調して再発防止策を行うこと。 1. 不正アクセスによる被害をうけた場合、再発防止策、効果的なセキュリティ対策を 検討するために必要な調査を行うこと。[A] 2. 不正アクセスが発生する可能性が考えられる場合は、ただちに防止策を検討するこ と。 [A] 3. 不正アクセスに関する報告は、最低3年間保管されること。[A] 4. 不正アクセスに関する報告を、1年ごとに分析すること。[A] 不正アクセス被害の届出〔 〕 7)不正アクセス被害の届出 不正アクセス被害の届出 〔条文 2607〕 不正アクセス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が別に指 定する者に届け出ること。 1. 法律や基準のために必要な場合は、不正アクセスを社外に報告すること。[A] 179 (vii) 情報収集及び教育 セキュリティ対策情報の収集〔 〕 1)セキュリティ対策情報の収集 セキュリティ対策情報の収集 〔条文 2701〕 セキュリティ対策に関する情報を随時収集すること。[A] セキュリティ対策情報の分析〔 〕 2)セキュリティ対策情報の分析 セキュリティ対策情報の分析 〔条文 2702〕 収集した情報を分析し、重要な情報については速やかに対応すること。 1. 最新 OS が提供された場合は、数ヶ月の遅延後、適用すること。[A] 2. セキュリティ問題に対するパッチが提供された場合は、ただちに適用すること。 [A] セキュリティ対策情報の提供〔 〕 3)セキュリティ対策情報の提供 セキュリティ対策情報の提供 〔条文 2703〕 制御系システムユーザがセキュリティ対策を行う場合に必要な情報を提供すること。 1. 制御系システムに関して報告された問題は、基本的にすべてのユーザが利用できる 状態になっていること。[A] 2. 制御系システムのセキュリティ・ポリシーは、マニュアル化され、ユーザに配布さ れること。 [A] セキュリティ教育の実施〔 〕 4)セキュリティ教育の実施 セキュリティ教育の実施 〔条文 2704〕 制御系システムユーザに、セキュリティ教育を随時実施すること。 1. すべてのユーザは、制御系システムのセキュリティを保護できるような教育を受け ること。またこれらの教育は就業時間内を利用して行うこと。[A] 2. すべてのユーザは、入社から3ヶ月以内にまた定期的に補充教育を受講するととも に、制御系システムのセキュリティに関する講習に参加すること。[A] (viii) 監査 システム監査〔 〕 1)システム監査 システム監査 〔条文 2801〕 保守担当者(システム管理者)は、不正アクセス対策の実効性を高めるため、システム 監査の報告を受け、必要な措置を講ずること。 1. プラントの主要な部署から派遣された者で構成される、セキュリティ管理委員会を 設けること。[A] 2. 制御系システムにおけるセキュリティ対策は、プラント経営者層やセキュリティ管 理委員会によって定期的にその有効性について検討されること。[A] 3. セキュリティに対する監査を行う場合は、ログ情報を活用すること。[A] 4. ログ情報から違反行為を発見した場合、警告するなど必要な処置を実施すること。 [A] 5. 制御系システムのセキュリティホールや不正アクセスを探すには、特殊な技能が必 要とされるため、専門の診断サービス業者による定期的な監査も検討すること。 [A] 6. 制御系システムのセキュリティホールに関する評価は、セキュリティホール診断ツ ールを利用して定期的に実施すること。[A] 7. 保守担当者(システム管理者)の指示に従わないユーザに対しては、別途定める社 内規定により罰則を与えること。[A] 180 181 (3) リモートメンテナンス者向け運用マニュアル 表53 運用マニュアル タイトル一覧(リモートメンテナンス者向け) № サブタイトル 条文見出し パスワード及びユーザID 管理 1)ユーザ ID の共用〔条文 1101〕 2)パスワードの設定〔条文 1102-1104〕 3)パスワードの変更〔条文 1105〕 4)パスワードの記憶〔条文 1106〕 5)パスワードの漏洩〔条文 1107-1108〕 6)ユーザ ID の停止〔条文 1109〕 情報管理 1)情報の暗号化〔条文 1201〕 2)情報の送信〔条文 1202〕 3)情報へのアクセス〔条文 1203〕 4)情報の保管〔条文 1204-1205〕 5)情報の破棄〔条文 1206〕 6)バックアップ〔条文 1207〕 (iii) コンピュータ管理 1)導入/更新/撤去〔条文 1301〕 2)特権の使用〔条文 1302-1303〕 3)履歴管理〔条文 1304〕 4)ログアウト〔条文 1305〕 (iv) 事後対応 1)異常の発見〔条文 1401〕 2)不正アクセスの発見〔条文 1402〕 (v) 教育及び情報収集 1)教育〔条文 1501〕 2)情報収集〔条文 1502〕 (vi) 監査 1)遵守義務〔条文 1601〕 (i) (ii) (i) パスワード及びユーザID管理 ユーザ ID の共用〔 〕 1)ユーザ の共用〔条文 1101〕 リモートメンテナンス者は複数のユーザ間で、ユーザ ID を共用しないこと。 1. ユーザ ID 及びパスワードは、複数のリモートメンテナンス者で共用しないこと。 [A]特別にユーザ ID の共有を許可する場合は、リモートメンテナンス者間以外は 共通のユーザ ID,パスワードを秘匿すること。[A] 2. 他のリモートメンテナンス者のユーザ ID 及びパスワードを使用しないこと。[A] コメント:リモートメンテナンス者は、ユーザ ID を知られるだけでもセキュリ ティ面で脅威であることを認識する必要がある。 パスワードの設定〔 〕 2)パスワードの設定 パスワードの設定 〔条文 1102-1104〕 ユーザ ID には、パスワードを必ず設定すること。 1. リモートメンテナンス者が複数のユーザ ID を持っている場合は、それぞれ異なる パスワードを設定すること。[A] 2. パスワードは 6 桁以上とし、数字、特殊文字、英字の小文字、大文字をそれぞれ1 文字以上含むこと。 [A] 182 3. パスワードには、以下を設定しないこと。①ブランク、②ユーザ ID、③社員番号な どの認識番号、④生年月日、⑤電話番号、⑥意味のある単語、略語、⑦”abc”,”123” などの推定容易な文字列[A] パスワードの変更〔 〕 3)パスワードの変更 パスワードの変更 〔条文 1105〕 パスワードは、随時変更すること。 1. パスワードは、最低でも1ヶ月単位で変更すること。但し、周期的に変化するよう なパスワードは使用しないこと。また、過去に使用したパスワードを再使用しない こと。 [A] コメント:リモートメンテナンスに使用する端末のパスワードは、1ヶ月単位 で変更すること。また、指紋/虹彩/音声などの身体的特徴で認証する方法もあ るが、まだ技術的に確立されていない面もあり、ここでは規定しない。 2. リモートメンテナンス者が、制御系システムに接続する場合、固定的なパスワード としないこと。ワンタイム・パスワードなど一過性のパスワードとすること。[B] コメント:ダイアルアップ接続の場合、コールバックなど安価なセキュリティ 対策でも効果的である。しかし、電子カード式のワンタイムパスワードなど高度 な認証機能に対応した認証サーバーを導入することが望ましい。 パスワードの記憶〔 〕 4)パスワードの記憶 パスワードの記憶〔条文 1106〕 リモートメンテナンス者はパスワードを紙媒体等に記述しておかないこと。 1. 付箋紙の使用を禁止すること。[A] 2. バックアップのため紙に記録する場合は手書きとし、厳重な鍵のかかる強固なロッ カーに保管すること。[A] コメント:ワンタイム・パスワードなど認証用のカード、装置は、盗難の危険 があるので、退社時は鍵のかかる強固なロッカーに保管するなど管理を徹底する 必要がある。 3. バックアップのため紙に記録する場合は、暗号化しておくこと。バッチファイル、 スクリプトファイルなどにパスワードを平文で記述しておかないこと。[A] 4. ログイン画面に「パスワードを保存」の機能がある場合でも保存せずに、毎回入力 すること。 [A] パスワードの漏洩〔 〕 5)パスワードの漏洩 パスワードの漏洩 〔条文 1107-1108〕 パスワードを他人に知られないようにすること。 1. リモートメンテナンス者はパスワードを入力する場合は、背後に他人がいる場合は 入力しないなど、他人に見られないようにすること。[A] コメント:部外者が出入りする頻度は高いので、特に注意する必要がある。 2. 自分のユーザ ID とパスワードを完全に秘密にしておかなければならないと言う責 任があることを認識すること。[A] 3. リモートメンテナンス者は他のユーザのパスワードを知った場合は、速やかに保守 担当者(システム管理者)に通知すること。[A] 4. リモートメンテナンス者は他人にパスワードを知られた、またはその可能性がある と判断した場合は、速やかにパスワードを変更すること。[A] コメント:ワンタイム・パスワードなど認証用のカード、装置を紛失したまた は、盗難に遭った場合、直ちに保守担当者(システム管理者)へ連絡すること。 ユーザ ID の停止〔 〕 6)ユーザ の停止〔条文 1109〕 使用しないユーザ ID が登録に残らないようにする義務があることを認識すること。 183 1. リモートメンテナンス者の業務内容に変更があったなどユーザ ID を利用しなくな った場合は、速やかに保守担当者(システム管理者)へ届け出ること。[A] 2. 直営社員が退職する場合または、協力会社社員が解約された場合は、保守担当者(シ ステム管理者)へ届け出て、ユーザ ID を停止してもらうこと。[A] コメント:ワンタイム・パスワードなど認証用のカード、装置は、必ず保守担 当者(システム管理者)へ返却すること。 (ii) 情報管理 情報の暗号化〔 〕 1)情報の暗号化 情報の暗号化 〔条文 1201〕 保守担当者(システム管理者)より指定された重要な情報は、パスワードで保護された 暗号化ファイルにするなどして漏洩の対策を図ること。 1. リモートメンテナンスで使用する端末の重要情報(接続電話番号や通信設定情報な どを格納するフォルダーまたは、ファイル)は、パスワードで保護された暗号化フ ァイルとし、他人に見られないようにすること。[A] 2. パスワードで保護された暗号化ツールを使用する場合、予め承認されたツールを用 いること。 [A] 3. ダイヤルアップ接続用の電話番号は機密情報として取り扱い、電話帳、その他書面 に記載しないこと。 [A] 情報の送信〔 〕 2)情報の送信 情報の送信 〔条文 1202〕 リモートメンテナンス者は、保守担当者(システム管理者)より指定された重要な情報 を送信する場合は相手先を限定し、宛先を十分に確認すること。 1. 保守担当者(システムユーザおよびシステム管理者)とのやり取りで電子メール等 インターネットを使用する場合、重要な情報は記載、添付しなこと。インターネッ トを経由する場合は、暗号化するなどセキュリティの高いツールを装備すること。 [C] コメント:電子メールでの暗号化ツール活用は、部外者による盗聴に対して効 果的であるが、内部関係者(保守担当者、リモートメンテナンス者)による機密 漏洩を検出しにくいなど逆の危険性もあるので使用には規定が必要である。 2. 制御系システムとダイアルアップ接続にて送信する場合、コールバック機能または、 CHAP/PAP 機能等を使用して、接続相手がアクセスを許可されたメンテナンス者で あることを十分確認できる環境で実施すること。[A]また、送信するファイルは暗 号化するなど容易に見られないようにすること。[C] コメント:本ケースでは盗聴されているこを前提にしないので、コールバック 機能などのセキュリティ対策で十分である。 3. 送信先のフォルダーが誰でも参照可能などセキュリティレベルが低いときは送信し ないこと。 [A] 情報へのアクセス〔 〕 3)情報へのアクセス 情報へのアクセス 〔条文 1203〕 リモートメンテナンス者は、ファイルの属性に、内容の重要度に応じたアクセス権限を 必ず設定すること。また、アクセス権限のない装置、データをアクセスしないこと。 1. リモートメンテナンス者が使用する端末の通信情報ファイルやログファイルは、他 ユーザから参照、更新、削除が容易にできないように細かくアクセス権限を設定、 管理すること。 [A] コメント:リモートメンテナンスで使用する端末は、以下の点に注意すること。 184 ①リモートメンテナンスで使用する端末は、所属するLANに接続せず、リモー トメンテナンス専用端末として使用することが望ましい。 ②共用端末の場合、リモートメンテナンス作業中は、所属するLAN上より物 理的に切離すこと。リモートメンテナンス作業以外でLAN接続する場合、他 の端末から、参照などできないように設定すること。 ③更に複数ユーザで端末を共用する場合は、ユーザ毎のアクセス権限を細かく 設定すること。 2. リモートメンテナンス者は、制御系システムネットワーク内にあるリモートアクセ ス可能な制御電源監視装置や計測データ収集装置など他システムに対して、決して アクセスを試みないこと。[A] 3. リモートメンテナンス者は、保守担当者(システム管理者)の許可なく、ファイル の参照、更新、削除をしないこと。(接続機器[PLC、DCS]のサービスポート No.やプロトコル等のネットワーク情報参照など)[A] 4. リモートメンテナス者は、リモートでプロセス入出力データをアクセスしないこと。 特にプロセス出力に関するコマンドは、リモートでは実行しないこと。[A] コメント:リモートメンテナンス者の操作ミスにより、設備休止や設備事故を 引き起こす危険要因があることを十分認識すること。 5. リモートメンテナンス者は、事前に保守担当者(システム管理者)の承認を得た場 合を除き、暗号化された情報の解読を試みないこと。[A] 情報の保管〔 〕 4)情報の保管 情報の保管 〔条文 1204-1205〕 リモートメンテナンス者は、コンピュータ及び通信機器を維持、保守するために必要な ファイルを、盗用、改ざん、削除等されないように厳重に管理すること。 1. 接続機器であるモデム、ルータ等の操作、設定情報は厳重に管理すること。また、 定期的にバックアップした設定情報と比較するなど不正に変更されていないか監視 すること。 [A] コメント:リモートメンテナンス端末を設置する部屋、接続機器の管理責任は、 リモートメンテナンス者にあることを十分認識すること。 2. リモート接続でのログは、必ず接続端末側でも採取すること。正規なリモートアク セスの証ともなるので一定期間は、保管すること。[A] 3. 重要な情報を記録した紙、磁気媒体等を、金庫または鍵の掛かる強固なロッカーに 保管すること。 [A] 情報の破棄〔 〕 5)情報の破棄 情報の破棄 〔条文 1206〕 リモートメンテナンス者は重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内 容が漏洩しないように、紙はシュレッダまたは焼却処分し、磁気媒体は破壊または物理フ ォーマットすること。[A] バックアップ〔 〕 6)バックアップ バックアップ 〔条文 1207〕 リモートメンテナンス者はファイルのバックアップを随時行い、その磁気媒体等を別々 の2ヶ所の金庫、または鍵のかかる強固なロッカーに保管すること。[A] コメント:リモートメンテナンス者の施設には守衛がなく、端末室には鍵がか かるものの脆弱であるとした場合、バックアップ媒体の保管は強固な金庫である 必要がある。更に盗難、防災を考慮した場合、別の場所にある耐火金庫に保管す ることは重要である。 185 (iii) コンピュータ管理 導入/更新/撤去〔 〕 1)導入/更新/撤去 導入/更新/撤去 〔条文 1301〕 コンピュータ、通信機器及びソフトウェアの導入、更新、撤去等を行う場合は、保守担 当者(システム管理者)の指導の下で行うこと。 1. 保守担当者(システム管理者)の許可なく、他システムとネットワーク接続しない こと。 [A] 2. リモートメンテナンスに使用する端末、通信機器、ソフトウェアは、事前に保守担 当者(システム管理者)に申請し、使用許可を得ること。またこの許可された環境 以外でのリモートアクセスは行なわないこと。[A] 3. 保守担当者(システム管理者)の許可なく、モデムに応答するシステムを無断で追 加構築しないこと。 [A] 4. インターネットよりダウンロードしたファイルを、ウイルス検査せずに制御系コン ピュータに移さないこと。ダウンロードは、別のコンピュータで実施しウィルス検 査の後、リモート接続端末へ転送するなど被害を拡散しない運用とすること。[A] 特権の使用〔 〕 2)特権の使用 特権の使用 〔条文 1302-1303〕 リモートメンテナンス者が特権により作業する場合は、保守担当者(システム管理者) より許可された作業に限定すること。 1. リモートメンテナンス者は、特権での作業を行わないこと。[A] 2. root や Administrator などのデフォルト特権は、リモートログインで使用しないこ と。 [A] 3. 緊急避難的に特権を使用する場合は、必ず保守担当者(システム管理者)より許可 された作業とし、保守担当者(システムユーザおよびシステム管理者)と連絡しな がら作業を実施すること。[A] 履歴管理〔 〕 3)履歴管理 履歴管理 〔条文 1304〕 リモートメンテナンス者は、ログインに成功した場合、最新のログアウト日時や、ユー ザIDの有効期間、前回接続場所等の内容を確認し、不正に使用されていないか確認する こと。 [A] ログアウト〔条文 〕 4)ログアウト ログアウト〔条文 1305〕 コンピュータを入力待ちの状態で放置しないこと。 1. わずかな時間の用事でも端末を離れるときには、パスワード付きスクリーンセーバ を使用するなど部外者に操作されないようにすること。未入力設定時間は 15 分程度 とすること。[A] 2. 作業を終了した場合、速やかにログアウトすること。[A] 3. ログインしたリモートメンテナンス者は、今ログインしている端末以外からログイ ンしないこと。 [A] (iv) 事後対応 異常の発見〔条文 〕 1)異常の発見 異常の発見 〔条文 1401〕 システムの異常を発見した場合は、速やかに保守担当者(システム管理者)に連絡し、 指示に従うこと。 186 1. リモート接続端末等でウイルスの侵入を検出した場合は、直ちに当該コンピュータ の使用を停止し、保守担当者(システム管理者)に連絡すること。制御系システム 内の感染ファイルに関しては、自己判断で削除するなど駆除作業を試みないこと。 [A] 不正アクセスの発見〔条文 〕 2)不正アクセスの発見 不正アクセスの発見 〔条文 1402〕 不正アクセスを発見した場合は、速やかに保守担当者(システム管理者)に連絡し、指 示に従うこと。 1. 重要な情報が誰からでも参照可能になっているなどセキュリティ上の問題を発見し たときは、速やかに保守担当者(システム管理者)に報告すること。また、この報 告は外部に漏らさないこと。[A] 2. リモートログイン時の前回アクセスログなどで、不正なアクセスと思われる痕跡を 発見したときは、速やかに保守担当者(システム管理者)に報告すること。また、 この報告は外部に漏らさないこと。また、リモートメンテナンス者は、全員パスワ ードを変更すること。[A] コメント:保守担当者(システム管理者)の定める不正アクセス事後の対策に 従い、対応すること。 (v) 教育及び情報収集 教育〔条文 〕 1)教育 教育 〔条文 1501〕 保守担当者(システム管理者)からセキュリティ対策に関する教育を随時受けること。 1. ユーザIDの発行を受ける前に、保守担当者(システム管理者)より対象システム のセキュリティ・ポリシー及び管理手順の教育を受け、書面にて同意すること。[A] 情報収集〔条文 〕 2)情報収集 情報収集 〔条文 1502〕 リモートメンテナンス者は、担当するシステムのセキュリティ対策に関する情報を入手 した場合は、保守担当者(システム管理者)に随時提供すること。 1. リモートメンテナンスで使用する端末やサービスソフトのセキュリティに関する情 報は、提供サイトより最新情報を常に入手する等の努力を怠らないこと。[A] (vi) 監査 遵守義務〔条文 〕 1)遵守義務 遵守義務 〔条文 1601〕 1. リモートメンテナンス者は、保守担当者(システム管理者)の指示に従うこと。[A] 187 4.3 ケーススタディ 2 ケーススタディ2の進め方 4.3.1 前節のケーススタディ1が、侵入者にクラッカーを想定した場合のセキュリティ対策で あるのに対し、本節ではサイバーテロリズムを想定した場合の制御系システムに対するセ キュリティ対策を検討する。対象とするプラント、制御システム構成、ユーザの役割など はケーススタディ1と同じにする。 まずサイバーテロリズムの定義をクラッカーとの相違点を含めて述べ、次に「セキュリ ティ・ポリシーの策定方法」で説明した策定方法にしたがってポリシーを策定し、運用マ ニュアルについて検討する。ここでケース1と同様に全文を記述する方法もあるが、かな りの部分は同一内容になるためケーススタディ1との相違点が分かりにくく、本ケースの 理解を困難にすると思われるので、両ケースの相違点を中心に解説することにする。 サイバーテロリズム対策のケース 4.3.2 (1) サイバーテロリズムの定義 サイバーテロリズム対策を考える上で、まず、クラッカー、サイバーテロリズムの定義 を明確にしておく必要がある。「表 54 クラッカー、サイバーテロリズムの定義」にその定 義を示す。ちなみに、クラッカーの代わりにハッカーと呼ぶ場合もあるが、定義上は異な る。しかし、クラッカー対策はハッカー対策を包含するので、ハッカーとクラッカーを含 めて、クラッカー対策として統一して検討してきた。 表54 クラッカー、サイバーテロリズムの定義 定義 前提 ハッカー 自分の技術力を 誇 示することに目的が あり、悪意は強くな い。 クラッカー対策で十 分な た め 、ク ラッ カ ーに含める クラッカー 愉快犯。反社会的動機から、 個 人 ま た は グル ー プ で 行 動 し、個人的な満足感、仲間内 の名声を得ることに目的があ る。悪意があるが、攻撃対象 は上記目的にかなえばよく、 攻撃し易いシステムに遭遇す るまで徘徊する。内部関係者 は、恨みか情報売買による金 銭獲得が動機になる。 内部の正規ユーザ、離職者を 含める サイバー・テロリズム 目的犯。国家インフラ、ライフライ ンのシステムに攻撃を仕掛ける ので、目標範囲が限定される。 動機が、反社会的組織やスポン サーからの依頼であり、商売に なる。侵入後の破壊、改ざんを 容易かつ効果的にするために、 ソーシャル・エンジニアリングな どの補助情報を得てからシステ ムに侵入する。 ローカル端末に直接侵入のケー スはサイバーテロリズムではな く、通常のテロ、スパイとする 侵入者がクラッカー想定とサイバーテロリズム想定の場合の主要な相違点を「表 55 ク ラッカーとサイバーテロリズムの主要なセキュリティ上の相違点」にまとめた。 188 表55 クラッカーとサイバーテロリズムの主要なセキュリティ上の相違点 区分 相違点 項目 被害 被害発生可能 性 クラッカー想定 結果として破壊につなが る改竄、削除を行うことが ある 偶発的な 要素が 強い の で、散発的である ソーシャル・エ ユーザ ID、パスワードな ンジニアリング ど侵入用情報をなりすま など情報収集 して聞き出す手法が併用 されることがある。 内部関係者によるクラッ カー行為も想定すべき ウイルス トロイの木馬などツールと してのウイルス活用 類似点 (2) 想定侵入ルー ト サイバーテロリズム想定 被害ができるかぎり大きくなるような改 竄、削除の行為が行われる 被害を大きくするために、継続的に侵 入し、発生可能性は高い。さらに、被 害者側のパニック現象効果を狙って、 同時多発的に発生する傾向がある 侵入用情報漏洩に加えて、システム情 報・プラント設備情報など攻撃効果を 上げるために有効なドキュメント情報 を収集することが多い 同左だが、新種を使用して検出を遅ら せる処置や組織的に同時多発性のウ イルスを使用して社会不安をかきたて る手段を活用する リモート端末から侵入:ダ 同左 イヤルアップ接続、情報 系 LAN 接続(インターネ ット接続を含む)、無線 LAN 接続 セキュリティ・ポリシーにおける相違点 セキュリティ・ポリシーにおける相違点 1. クラッカー対策の場合は、現場オペレータまたは保守担当者(システムユーザ)が ローカルの端末経由で不正アクセスを行うことは想定したが、本研究ではサイバー テロリズム対策は、ローカルの端末からの不正アクセスを想定せず、そのアクセス ルートは無く、部外者による侵入のみとしている。しかし、サイバーテロリズムを 想定する時は、同時にクラッカーからの脅威も存在するので、クラッカー対策に加 えてサイバーテロリズム対策を検討する対策が現実的である。しかるに、クラッカ ー対策のケーススタディ1では部外者による侵入を想定しているので、見かけ上サ イバーテロリズム対策のための特別なアクセスルートの追加は無い。「3.1セキュリ ティ・ポリシーの策定方法」の手順に従い、クラッカー想定とサイバーテロリズム 想定のセキュリティ・ポリシーを比較検討すると、「表 56 セキュリティポリシーに おける相違点」に示すように、アクセスルートについては同じだが、被害の重大度 が変わってきて、セキュリティ・ポリシーに相違点が出てくる。 189 表56 セキュリティポリシーにおける相違点 No ① ② クラッカー想定 4.2.2(1)参照 4.2.2(2)参照 ③ ④ ⑤ 項目 管理対象の明確化 役割とアクセス方法の 明確化 正規アクセスの定義 正規アクセスの条文化 被害規模の分析 ⑥ 発生可能性の分析 4.2.2(4)(ii)参照 ⑦ 不正アクセスにおける 重大度の評価 不正アクセス重大度の 条文化 4.2.2(4)(iii)参照 ⑧ 4.2.2(3)参照 4.2.2(5)参照 4.2.2(4)(i)参照 4.2.2(5)参照 サイバーテロリズム想定 同左 同左 同左 同左 形式的には同左だが、被害最大を狙って、 プラントを破壊するための情報を収集するな ど脅威を高める要素の併用により、実質的 に被害規模は高くなる ソーシャルエンジニアリングなど侵入の確度 を高める要素を併用して侵入してくるので、 発生可能性は、更に高い 上記⑤×⑥となるので、部外者による不正 アクセスの重大度は、非常に高くなる 下記以外は同左 (vii) 運用基本方針 1.[運用]侵入者をサイバーテロリズム・レベ ルと想定する。 2.[運用]侵入者をクラッカーと想定した対策 を併用する。 3.[運用]機器性能を大幅に低下させる対策 は取らない。 「表 55 クラッカーとサイバーテロリズムの主要なセキュリティ上の相違点」から考察し て、クラッカー対策は投資対効果を判断基準の中心に置いたハードウェア対策とその運用 方法を策定し実施することが適正であるのに対し、サイバーテロリズム対策は企業レベル、 業種によっては国家レベルの視点で被害発生を最大限に防止することを判断基準に置いた 対策を策定すべきものであると考える。この視点の違いを具体的に示すことを狙って、表 56の⑧、運用基本方針の1、2のセキュリティ・ポリシーを、もう少し具体的に言い換え てみると、以下のとおりになる。 1. 侵入の恐れがあるアクセスルートの全てにファイアウォールを設置し、性能低下を ある程度代償にしてでもセキュリティ強化を図る。1 (性能低下の程度により、機器 性能の高い機器への更新も対策の選択肢に加える) 2. 侵入の恐れがあるアクセスルートには、性能低下をある程度代償にしてでも暗号化 機能のための装置を追加する。(性能低下の程度により、機器性能の高い機器への更 新も対策の選択肢に加える) 3. 操作性を多少低下させても、セキュリティ強化のため、運用マニュアル・テンプレ ートの全てを運用マニュアルとして実行する。 4. 被害の大きさから説いて、運用マニュアルの遵守度を高めるよう実行者のセキュリ ティ意識を啓蒙する。 1 通信経路上にファイアウォールを追加すれば、そのための通信速度の低下や認証手続きなどの手間取りを含めてシス テム全体のスループットとしての性能低下が想定されるが、不正アクセス者に対し一次障壁があると牽制できるの で、ファイアウォールを設置する効果は大きい。制御性能やメンテナンス性を大幅に低下させる性能低下は容認で きないが、クラッカー対策と異なり、サイバーテロリズム対策では、防衛を重視するためには「ある程度代償にし てでも」ファイアウォール設置やむなしと利用者が考えられる、セキュリティ性能と制御性能・利便性の妥協点は あると考える。 190 ハードウェア的な対策に相当する、セキュリティ対策のためのシステム設計は、クラッ カー対策より厳重な装備を行う必要が出てくる。具体的なセキュリティ対策のためのシス テム設計の一例を「表 57 具体的なセキュリティ・システム設計」に示す。 表57 具体的なセキュリティ・システム設計 No. ① ② ③ ④ ⑤ ⑥ ⑦ (3) 項目 投資金額 クラッカー想定 想定被害に見合う金額内 サイバーテロリズム想定 状況に応じて追加投資 現有の最先端技術を採用し、常に更 新していかねばならない 侵入防止システ ダイヤルアップ回線にリモ 同左だが、内部 IP アドレスを秘匿す る機能を持つファイアウォールを全て ム ートアクセスサーバ設置 制御システムの出入口にフ の外部接続に挿入するなど、対策強 化する ァイアウォール設置 認証機能 必 要 ( パ ス ワ ー ド 管 理 主 全てのリモート端末は生体個人認証 体、ワンタイム・パスワード のみで使用可能なパソコンとし、IC カ を使用することもあるが、生 ードのワンタイム・パスワードでログイ 体個人認証までは 行わな ンするなど、対策強化する い) 伝送路の暗号化 推奨(暗号化コマンド使用) 必須であり、暗号化キーの Bit 数が大 きく、暗号化、復号化のための高い機 器性能が必要 ソーシャル・エン 現状技術では十分に有効 現状技術では十分に有効なシステム ジニアリングなど なシステム対策はない 対策はない 情報収集 (ユーザ ID、パスワード漏 (侵入情報漏洩防止対策、プラント設 洩防止対策が主体。 備情報など攻撃効果を上げるために 内部関係者によるクラッキ 有効な情報の漏洩防止対策を行う必 ング防止対策を併用) 要があるが、運用に依存している) 内 部 フ ァ イ ル の 制御応答性から困難 同左(現技術レベルでは対応困難) 暗号化 VPN(Virtual 通信路全域のセキュリティ 同左 Private は確保できないので、現状 Network) 技術では採用困難 運用マニュアルにおける相違点 セキュリティ対策を強化すると利便性、操作性は低下するので、ケーススタディ1の運 用マニュアルでは運用マニュアル・テンプレートに必須の項目と推奨の項目に色分けし、 クラッカー対策では通常不要とする項目の3種に分けた。これは、通常の業務を行う面を 重視し、セキュリティと操作性をバランスさせた結果である。サイバーテロリズム対策を 想定した運用マニュアルは、ハードウェア対策のシステム設計が最高レベルの装備を要求 するのと同様に、操作性・利便性を犠牲にしてでもセキュリティ性能の高い運用を守らね ばならない。従って、ケーススタディ1でランク B,C を付けた項目全てが、ランク A の必 須項目になり、それらが相違点になる。すなわち、運用マニュアル・テンプレート全てが 必須項目であると考えるべきである。 特に特徴的な点として、侵入後の防御手段である暗号化機能、改竄検知機能の採用、お よび、指紋/虹彩/音声などの生体認証を想定したパスワード強化機能に関する運用マニュ アルがクラッカー対策とは異なるので、それを保守担当者(システム管理者)向け運用マ ニュアル・テンプレートから以下に列記する。 191 [暗号化機能、改ざん検知機能の採用 暗号化機能、改ざん検知機能の採用] 暗号化機能、改ざん検知機能の採用 情報系LANの論理的保護〔 〕 情報系LANの論理的保護〔条文 2302〕 情報系LAN上で情報の盗聴及び漏洩が行われても、内容が解析できない機密保持機能 を用いること。 情報系LAN上の情報を暗号化すること。[A] 情報系LANへの不正アクセスの検出〔 〕 情報系LANへの不正アクセスの検出〔条文 2303〕 情報系LAN上で情報の改ざんが行われても、検出できるような改ざん検知機能を用い ること。[A] 情報系LAN上に、暗号化メールによる電子的署名、ファイルの電子的署名などによる 電子的署名技術を用いた改ざん検出機構を構築すること。[A] 重要な情報の保管〔 〕 重要な情報の保管〔条文 2308〕 重要な情報を記録した紙、磁気媒体等は、安全な場所に保管すること。 1. 光磁気媒体などは、必要に応じて暗号化すること。[A] 2. バックアップメディアをプラント敷地の外に保管する場合は、必ず暗号化を施すこ と。[A] 重要な情報の廃棄〔 〕 重要な情報の廃棄〔条文 2309〕 重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏洩しない方法で行う こと。 1. 光磁気媒体などは、必要に応じて暗号化すること。[A] [パスワード強化機能 パスワード強化機能] パスワード強化機能 パスワード強化機能の利用〔 〕 パスワード強化機能の利用〔条文 2417〕 システムが提供するパスワード強化機能を最大限に活用すること。 1. 制御系システムの運用環境上で、特に重要なプラント制御を開始する際には、個人 のユーザ ID による認証だけでなくさらに高度な認証機能を利用すること。[A] 192 4.4 考察 アンケート結果 4.4.1 ケーススタディ1の前提で、現場従事者10名にアンケートを依頼し、その結果を分析 した。運用マニュアルの最小単位の各項目毎に、 1. 既に運用中 2. 必要だが、未運用 3. 運用困難 4. 不必要 の判断を記入してもらい、回収した。ケーススタディ1の運用マニュアルに記載している 「項目の重要度」は記入していない用紙を配布し、先入観念が入らないようにした。また、 コメント欄を設け、自由に記入してもらった。その結果を分析して、以下の3項目につい て考察を述べる。 1. 必須項目に対して認識の差異が大きい項目 2. アンケート結果から必須項目の修正 3. アンケート結果からみた現場従事者のセキュリティ意識 (1) 必須項目に対して認識の差異が大きい項目 アンケートの判断番号と運用マニュアルの項目重要度(必要度)の対応関係を表に示す。 表58 アンケートの判断番号と項目の重要度との対比 現在 運用中 未運用 運用マニュアルの項目重要度(必要度) 必須[A] 推奨[B] 非適用[C] 1 (既に運用中) - - 2(必要だが、未運用) 3(運用困難) 4(不必要) 運用マニュアルの項目重要度(必要度)が必須[A]である項目(本研究のメンバー判断) のうち、アンケート回答の大半が1(既に運用中)、または、2(必要だが未運用)としな かった項目を抽出するために、回答の平均値が2.5以上の項目を「表 59 必須項目に対 し認識の差異が大きい項目」に抽出した。この数値が大きいほど、想定したあるべき姿と 現実との乖離を示している。 (個人のセキュリティ意識のばらつき、条文の誤解、解釈違い を考慮して、アローワンスを 0.5 とした。) また、特筆すべき注目コメントを「表 60 アンケート回答者の注目コメント」に掲載す る。 193 表59 必須項目に対し認識の差異が大きい項目 条文見出し パスワードの記憶〔条 文 1106〕 パスワードの漏洩〔条 文 1107-1108〕 セキュリティ・ポリシー の確立〔条文 2101〕 管理体制の確立〔条 文 2102〕 パスワードの開示〔条 文 2206〕 情報系LANへのアク セス情報の管理〔条文 2305〕 重要な情報へのアク セス制御〔条文 2306〕 重要な情報の保管〔条 文 2308〕 セキュリティ上の欠陥 の防止策〔条文 2408〕 外部ネットワークから のアクセス制御〔条文 2409〕 ファイルへの不正アク セスの監視〔条文 2416〕 履歴の管理〔条文 2502〕 システム監査〔条文 2801〕 条文 3. パスワードをファイル中に保存する場合は、暗 号化しておくこと 3. 保守担当者は他のユーザのパスワードを知っ た場合は、速やかに制御系システム管理者に通 知すること。 3. セキュリティポリシーは、作業標準より優先し て適用されること。作業標準は、セキュリティ・ポ リシーの範囲内に納まったものでなければならな い 1. 制御系システムのセキュリティを確保するため に十分な人員を確保し、配置すること。 保守担当者(システムユーザ)がパスワードを忘 れた時など、パスワードの開示が必要な場合は、 保守担当者(システム管理者)は、本人であるこ とを識別できる最低 2 つの証拠の提示を求める こと。 情報系LAN上にルータを設置し、外部からのアク セス状況を検出すること。 平均値 2.5 2.5 応答性、保守性から困難 なケースあり 1. 重要な情報に対して、アクセス制御を行うこと 2.6 8. バックアップメディアをプラント敷地の外に保管 する場合は、必ず暗号化を施すこと 制御ロジックを開発環境から実運用環境へ移行 する作業は、開発者以外の者が行うこと。開発者 と運用者の権限を分離することによって、開発者 独自の判断による実運用環境への移行を防ぐこ とができる 2. 全てのダイヤルアップ接続は、認証サーバを 含むモデムプールを経由することとし、モデムを 直接コンピュータに接続しないこと 2. 制御系システム上のファイルは、侵入検知シ ステムや Tripwire などの不正アクセスを検知す るツールを利用して管理すること 1. ユーザがデータを不正に操作すると、別のユ ーザにイベントを通知するように設計すること 7. 保守担当者(システム管理者)の指示に従わ ないユーザに対しては、別途定める社内規定に より罰則を与えること 2.6 応答性、保守性から困難 なケースあり 制御システムでは未だ暗号 化までの意識は薄い 開発者が実施するケースが 殆ど 194 2.7 コメント 制御システムで暗号化まで は浸透していない 緊急 保守 時は 直接 の 保 守担当者以外が保守する ことあり 2.6 2.6 現状、要員を増やすこと は困難 2.9 2.6 2.6 2.5 応答性上困難なケースも有 り得る 2.9 制御システムでは困難と思 われる 制御系システムのセキュリティー に関する意識はまだ高い とは言いがたい 2.7 表60 アンケート回答者の注目コメント 条文見出し ユーザ ID の共用〔条 文 1101〕 条文 1. ユーザ ID 及びパスワードは、複数の 保守担当者(システムユーザ)で共用し ないこと 不正アクセスの発見 〔条文 1402〕 不正アクセスを発見した場合は、速やか に制御系システム管理者に連絡し、指 示に従うこと セキュリティ・ポリシーには、対象とする 制御系システムの全ての機器および情 報に対する利用制限が詳細に記述され ていること 2. 保守担当者(システム管理者および システムユーザ)は、規定された運用マ ニュアルを遵守すること。またその旨を 書面にて同意すること 保守担当者(システム管理者)の資格を 喪失した者の権限は、速やかに停止す ること 保守担当者( システムユーザ)の登録 は、必要な機器に限定し、その権限を必 要最小限に設定すること 3. パスワードは最低でも 1 ヶ月単位で 変更することとし、これを超える期間パ スワード変更が無い場合は、システム的 にパスワードの変更を強制すること セキュリティ・ポリシ ーの 確立 〔 条 文 2101〕 管理体制の確立〔条 文 2102〕 システム管理者資格 の停止〔条文 2107〕 一般ユーザ権限の 制限〔条文 2201〕 パスワードの変更 〔条文 2207〕 (2) 回答者コメント 保守担当部門や箇所毎の ID とすべき。 現状、ユーザ ID 及びパスワードはひとつであり 直接の担当者でなくとも緊急時には同じ工程 内の他の担当者が操作できる様になってい る。 不正アクセスを監視する技術レベルでない あまりガチガチにすると保守しづらくなる セキュリティーポリシー未確立 教育を要する 書面にて同意する事までの必要性はない 改善を要する場合はその都度検討すれば良 いのでは 配置転換等で担当システムが変更になった時 にはバックアップ要員として確保しておく 保守担当者(2 人)全員に全権限を与えてい るのが実態 制御系システムでは長期間改造が無いケースが あり 1 ヶ月は短いと思われる 期間設定が難しい アンケート結果から必須項目の修正 上記のうち、重要な情報の保管・廃棄:光磁気媒体のファイル暗号化[条文 2308,2309] の項目は、[A]から[B]に変更 理由:セキュリティ対策を検討する上で、ファイルの暗号化を利用することは、漏洩、 改竄に対する最も強力な武器であるので、必須機能と考えてきたが、運用する立場に立つ と、正規のアクセスの場合も、著しく可視性を低下させる機能であるため、運用上多大な 支障をきたすことを考慮すべきであると考え、情報を磁気媒体などに保管する時のファイ ル暗号化については、運用マニュアルの重要度を必須[A]から、推奨[B]に変更した。すな わち、ファイルの暗号化は、さらに強度の高いセキュリティ対策を施す必要がある時に、 実施すべき項目に見直しした。 注釈:パスワードの暗号化は、必須項目である。制御システムと外部接続する時に使用 するコマンドの暗号化、伝送ファイルの暗号化は、必須項目である。応答性から実制御に 使用するファイルは暗号化対象ではないので注意を要する。 (3) アンケート結果からみた現場従事者のセキュリティ意識 中間報告書で報告されているアンケートの結果1と、今回のアンケート結果はセキュリテ ィ意識の点では、ほぼ同一の結果を得ていると見ることができる。全般的に、クラッカー 攻撃すら受ける危機感は、ほとんど感じていない様子が、上表からも読みとれる。しかし、 これではいけないから運用マニュアルの条文通りに実行するよう管理強化を図るような方 1 参考文献[1] ユーザ分科会アンケート調査「不正アクセス対策基準」の調査結果。(24 ページ) 195 針を打ち出してはいけない。現実問題として、実際にプラント・ネットワークがセキュリ ティ侵犯を受けたとの報告が皆無であるので、セキュリティよりも、保守・操業などに都 合がいい方式で実務が遂行されるのは、やむを得ない現実として受け入れてから対策を検 討していくことであろう。重要な点は、クラッカー侵害などの実害が発生やその恐れがあ ったことなどの情報収集に注意を持ち続け、発生した後の処置が円滑に取れる体制整備を 事前に行っておくことと、緊急事態に対処できる事前教育を行っておくことである。 セキュリティの実害報告がない現状が平時であり、実害発生直後から、有事の体制に移 ると考えるとよい。さらに、実害報告が継続するようであれば、その時点で定着しつつあ る運用マニュアルが平時の運用マニュアルとして、より徹底を図らねばならないであろう。 さらに、サイバーテロリズムが発生するなどの高度の有事に至れば、さらに実行困難な対 策を含む、強力な運用マニュアルの実行にレベルアップしていかねばならない。すなわち、 現状レベルからクラッカー対策レベルやサイバーテロリズム対策レベルの運用を完璧に行 えば万全と考えるのではなく、正規アクセス者ができるかぎり実務しやすい運用方案を第 一に考え、実害が発生した時に、最も効果的な対策を運用マニュアルから抽出して関係者 にその遵守度を上げるよう指導し、対策として定着させていく、という実状にあった改善 努力を継続していくことだと考える。 平時から有事への運用切り替えのために最も重要なことは、セキュリティ教育である。 脅威を具体的に認識させ、その有効な対策に対する正しい理解を事前に教育しておくこと であるが、これは、継続的に教育していく不断の努力が必要である。 4.4.2 特記事項 本章において、我々は2種類のケーススタディを研究したが、本研究メンバーの間で特 に議論が集中したのは以下の項目である。 1. 制御システムにおけるユーザ管理 2. 情報 LAN 経由のリモートメンテナンス 3. サイバーテロリズム対策に対する企業の対応 以下に、その分析と考察を行う。 (1) 制御システムにおけるユーザ管理 OA システムや情報系システムと比較して、制御システムにおける特殊性を検討すると、 ①24時間連続操業前提の特殊性から発生する「操業オペレータのユーザ管理」 、②保守担 当者個人のユーザ管理よりも設備保守の機能の連続性・確実性が重視される「保守担当者 のユーザ管理」という2点が浮かび上がる。 (i) 操業オペレータのユーザ管理 プラントにあるローカルなシステムの端末を操作する者には、保守担当者と操業のオペ レータがいる。両者を運用マニュアル上はシステムユーザと考え、運用ガイドラインの制 御系システムユーザ基準を守らねばならない対象者と整理したが、操業のオペレータはロ グインをせずに使用する特殊なシステムユーザと考えるべきである。大規模プラントは2 4時間連続操業で、一般に8時間毎に交代する勤務を行っているが、交代する毎にログア ウト、再ログインするような中断は許されない。従って、操業オペレータの社員コードな どを更新することはあっても、端末をログアウトすることは行っていないし、必要性が無 い。すなわち、システムの端末をログインせずに使用するシステムユーザとして考えるべ きである。 196 システムの立ち上げ時にも、その特殊性が必要になる。一般に、制御系コンピュータが 何かの原因で停止、または、再立ち上げしなければならない場合、時には、緊急に立ち上 げしなければならないことがあるので、操業のオペレータが電源投入やリスタート・ボタ ンなどにより簡単に操業可能な状態まで自動で立ち上がるようにプログラムされているこ とが多い。この場合、特殊なコンピュータではログインをしなければならないが、多くは ユーザログインを自動で行う機構やログインをバイパスして続行できる機構を作り込んで いる。この面でも操業オペレータはユーザ登録しないシステムユーザであるとみなすべき である。 補足説明になるが、操業のオペレータまたは技術スタッフが制御パラメータや製造レシ ピを修正するプラントもあるが、その場合は、操業のオペレータまたは技術スタッフが保 守担当者の役割で実行していると考え、保守担当者(システムユーザ)向け運用マニュア ルに従ってセキュリティを確保するものと考えることにする。 (ii) 保守担当者のユーザ管理 保守担当者は、通常2名から数名程度(大規模システム開発時に数十名になることがあ るが、例外的)のユーザ管理としては小規模なシステムである。従って、保守担当者が正・ 副のシステム管理者に該当し、純粋なシステムユーザはいない場合も珍しくない。その環 境下では、リモートメンテナンス者は、保守担当者の兼務であったり、業務契約のリモー トメンテナンス事業者であることが多い。そのような制御システムにおける、リモートメ ンテナンスを含めたユーザ管理の方案を提案して、より具体的なセキュリティ運用方案を 提案することにする。その提案に先立ち、リモートメンテナンスのログイン時のイメージ を明確にしておく方が正しい理解になるので、以下に解説する。 RASサーバを使用したリモートメンテナンスでは、リモートログインする時、次のよ うに3段階のログインを必要とする。①リモート端末パソコンを使い始めるためのログイ ン、②RAS サーバへのログイン(ネットワークへのログイン) 、③目的の対象コンピュー タへのログイン、である。その時にそれぞれパスワードが必要になる。「図 22 リモートメ ンテナンス時のログイン手順」を参照。 197 手順名称 手順 リモート 端末 ログイン RAS サーバ ログイン リモートメン パスワード テナンス者 入力 リモート 端末 パスワード 入力 RAS サーバ パスワード 入力 対象コ 生体識 別情報 リモート 端末 パスワード 入力 RAS サーバ パスワード 入力 対象コ パスワード 入力 リモート 端末 ワンタイム パスワード RAS サーバ パスワード 入力 対象コ 識別(ユーザ 名入力) リモートメン テナンス者 パスワードに よる認証の 場合 生体識別活 用の認証の 場合 スマートカードに よる認証の 場合 ログイン IC 対象コ PCMCIA スロットにカー ド挿入又はカード上の パスワード入力 図22 リモートメンテナンス時のログイン手順 プラント制御システムのユーザ管理には2種類の考え方がある。 (A) ログインするユーザは、個人で識別すべき (B) 機能単位でユーザ ID、パスワードを共有する どちらの場合も、システム管理者個人が職務の異動で変わっても、または、何年間かシ ステムにログインしない状態が続いた後でも、引き継いだ保守担当者がコンピュータに間 違いなくログインできる方法を確保しておかねばならない。これが、現状では、システム 管理者用の root や administrator は名称変更せず、パスワードに無しやシステム名など容 易に類推がつきやすい内容を残すセキュリティホールを作ってしまっている。 以下に、両ケースにおいて、セキュリティを確保しつつ、システム管理者が確実にログ インできる方案を提案する。 (A) ユーザ ID を全て個人毎管理にする場合(共用ユーザ ID を認めない場合) セキュリティ性を向上させるため、制御系コンピュータのユーザ ID 管理を、個人毎 に個別のユーザ ID を持つようにする。また、権限が異なる役割を一人が受け持つ時は、 一人が複数の個別のユーザ ID を持ち、使い分けるようにする。 ユーザ ID 登録 1.システム管理者(root または administrator) + 解読困難なパスワード(共用) 2.システム管理者(常用) + パスワード(システム管理者個人) 3.システムユーザ(個人毎 ) + パスワード(個人毎) 4.リモートメンテナンス者(個人毎) + パスワード(個人毎) 198 (履歴管理、ログ分析が容易になるので、システムユーザ用とは別にリモートメンテ ナンス用にユーザ ID を設定した方がよい。 ) 従来レベルより、管理性能が向上するので推奨する。しかし、ローカル用のユーザー 管理を含めて、ユーザ管理の負荷は高まりシステム管理者の負担が増加する。 (B) ローカル端末では共有のユーザ ID を許可する場合 ローカル端末では、制御系コンピュータ(プロコン、DCS、シーケンサ等)の役割・ 機能毎のユーザ ID を設定し、ローカルで使用するユーザ間で共用する方式を許可する 場合である。この場合、リモートメンテナンスのユーザは個人管理である。 そして、RAS サーバへのユーザ登録とその他制御系コンピュータへのユーザ登録は分 離して管理しなければならない。 すなわち、 ローカル端末用のユーザ登録(各制御系コンピュータ上に登録) 1.システム管理者(root または administrator) + 解読困難なパスワード(共用) 2.システム管理者(常用) + パスワード(システム管理者個人) 3.システムユーザ(役割別×N ) + 共用パスワード(役割別×N) リモートメンテナンス用のユーザ登録(RAS サーバ上に登録) 1.システム管理者(root または administrator) + 解読困難なパスワード(共用) 2.リモートメンテナンス者(個人毎) + パスワード(個人毎) ちなみに、この時、リモートメンテナンス者は、RAS サーバにログインし、更に、制 御系コンピュータへ再ログインする方式である。RAS サーバへログインした状態はロー カル端末へのログインと同等の操作を行うことができ、従来の方式を踏襲できる。 システム管理者(root または administrator)用の解読困難なパスワード(共用)は、強固 なロッカー、金庫などに紙などで保管し、必要な時に手間をかけてシステムにログイン する方式を取るようにするものである。 (2) 情報 LAN 経由のリモートメンテナンスのケース ケーススタディ1のリモートメンテナンス端末に、現在最も利用度が高いと思われるダ イヤルアップ回線を使用した場合を想定して検討してきたのに対し、ここでは情報系 LAN 経由のリモートメンテナンスの場合について検討する。通常、OA システムは情報系シス テムと接続しているので、制御系システムのオープン化の進展と共に、OA 端末のパソコ ンは制御系システムと技術的には接続可能になってきた。そこで、OA 端末からリモート メンテナンスを行う場合を想定して、その運用方法を検討する。すなわち、イントラネッ トを活用したリモートメンテナンスのケースを検討する。 「セキュリティ・ポリシーの策定」の手順に従い、情報 LAN 経由のリモートメンテナン スのケースのセキュリティ・ポリシーを比較検討すると、「表 61 セキュリティ・ポリシー の策定手順」の通りとなる。基本的に差異はないと考えられる。 199 表61 セキュリティ・ポリシーの策定手順 No ① ② 項目 管理対象の明確化 役割とアクセス方法の 明確化 ダイヤルアップ接続 4.2.2(1)参照 4.2.2(2)参照 ③ ④ ⑤ ⑥ ⑦ 正規アクセスの定義 正規アクセスの条文化 被害規模の分析 発生可能性の分析 不正アクセスにおける 重大度の評価 不正アクセス重大度の 条文化 4.2.2(3)参照 4.2.2(5)参照 4.2.2(4)(i)参照 4.2.2(4)(ii)参照 4.2.2(4)(iii)参照 情報系 LAN 接続 同左 「リモートメンテナンス者」について、 「LAN リモートメンテナンス用端末経由」 の権限が「情報 LAN 経由」の権限に置 換され、他は同じ 同上 同左 侵入ルートに依存しないので、同左 有意差はないので、同左 同左 4.2.2(5)参照 同左 ⑧ 想定侵入ルートが、プロコンとの接続口になるので、セキュリティ上のシステム対策は ファイアウォールが中心になる。具体的なセキュリティ対策のためのシステム設計を「表 62 具体的なセキュリティ・システム設計」に示す。 表62 具体的なセキュリティ・システム設計 N0. ① 項目 想定侵入ルート ダイヤルアップ接続 ダイヤルアップ回線 ② 侵入防止システム ③ 危険度 ④ ⑤ ⑥ 認証機能 伝送路の暗号化 内部ファイルの暗号 化 ダイヤルアップ回線にリモートア クセスサーバ設置 パターンが比較的少なく、セキ ュリティホールは顕在化しやす いため、比較的低い 必要(リモートアクセスサーバ上) 推薦 制御応答性から困難 200 情報系 LAN 接続 情報系システム、OA LAN な どのイントラネット、インターネ ット、エクストラネット、無線 LAN 制御システムの出入口にファ イアウォール設置 種々の攻撃パターンがあっ て、セキュリティホールが内在 しやすいため、高い 必要(ファイアウォール上) 推薦 制御応答性から困難 本番系 社内情報系バックボーン プロコン OA LAN ルータ リモート アクセス サーバ Gate Way PC PLC DCS コ Firewall PBX 情報系 LAN ントローラ 本番系プロコン PIO PC (プロセスコンピュータ) ダイヤルアップ接続のリモー 情報系 LAN 接続の社内リモートメンテナ トメンテナンスの場合 ンスの場合(イントラネット) 図23 リモートメンテナンスのためのセキュリティ設備 以上の考察から、侵入ルートの差異はあるものの、セキュリティ・ポリシーの考え方は 同一の内容になる。従って、運用マニュアルもほぼ同じ内容になる。有意差はないと考え た方が分かりやすい。 しかし、情報系 LAN 経由のリモートメンテナンスの場合、制御システムのためのリモ ートメンテナンス用サービス機能が、情報系システムの他の目的のために設けられたルー タ、ゲートウェイ、ファイアウォールなどのサービス機能対応と整合性が取れるかどうか、 十分検討する必要がある。即ち、情報系システム上の、他の多くのシステムのセキュリテ ィ・ポリシーと整合性が取れるか、十分検討する必要がある。ファイアウオールや認証サ ーバーなどの価格が低下してくれば、他のシステムとの整合性の制約がない、インターネ ット直接接続のリモートメンテナンスが採用される可能性が今後高くなってくると期待さ れる。 (3) サイバーテロリズム対策に対する企業の対応 クラッカーによるクラッキングは日常犯罪であるのに対し、サイバーテロリズムは国家 間、組織間の戦争行為であると考えると、日常対策の延長線上で検討する考え方では対策 が不十分ではないかと考えることもできる。すなわち、クラッカー対策のように、脅威か ら被害額を見積もり、それに見合う対策費用を投資するという考え方は誤りではないが、 サイバーテロリズムの場合は、①直接被害にとどまらない。即ち、②公共的損害、③社会 的不安拡大を考慮にいれて総合的に被害を見積もりする必要がある。しかし、サイバーテ ロリズムの場合、その被害範囲が不明、重大度(深刻度)が不明などのため見積もりが困 難な内容であるので、投資対効果の基準では実質的に決めることはできず、戦略上から決 定せざるを得ないことになる。例えば、クラッカー対策の100倍を投資上限にする、経 常利益の1%を投資上限にする、国家予算からの補助費用分を上乗せする、などで決定す る方法が考えられる。国家の戦略的見地から、政府の指導のもとに対策が決定されること もあり得る。 また、サイバーテロリズム対策は、主として、国家インフラ、ライフラインに関わるプ ラントに対し適用される対策であると想定しているが、サイバーテロリズムの攻撃範囲は 拡大する可能性が高いので、一般プラントが無縁であるとはいえず、攻撃範囲拡大の状況 201 変化をとらえて、一般プラントも企業責任としてサイバーテロリズム対策をとる必要がで てくる可能性がある。 202 5 今後の課題 本報告書では、プラント・ユーザ企業の立場から、セキュリティ運用ガイドラインを大 規模プラント現場に実際に適用するためには、何をすべきか、どのようにすべきか、に関 して検討した。 ここで我々のとったアプローチ方法は、 1. まず最初に、抽象的に記述された運用ガイドラインの抽象度を下げるため、具体的 な事象を設定し、制御系プラントユーザの立場から解釈を加えることにより、その 背景・思想・内容を理解し、 2. 次いで、セキュリティ・ポリシーおよび運用マニュアルの実際の策定方法、手順を 検討し、 3. 最後に、実際のプラントを前提としたケーススタディを実施した。 このようなアプローチにより、 1. 運用ガイドラインを具体化、補強した運用マニュアルテンプレート 2. セキュリティ・ポリシーおよび運用マニュアルの策定方法論 3. 策定方法論の実践例 が結果として本報告書に盛り込まれている。 ここで今一度ユーザ企業の視点で、それもプラント現場の第一線に従事する運転員、保 守員の目線でこれらの結果を振り返ってみたとき、彼らが日々の操業、保守作業の中で使 用するには、もう一段のブレイクダウンが必要であるという課題が認識される。しかも本 報告書で述べているセキュリティ対策は、被害の予防・早期発見を中心とする事前対策、 および拡大・再発防止に関する事後対策であり、今まさに不正アクセスによる重大かつ組 織的なセキュリティ侵犯、すなわちサイバーテロリズムが発生した場合などの緊急時の対 応方法については殆ど含んでいない。 また、本報告書は鉄鋼プラントを想定したものではあるが、策定方法論は業界に依らず 汎用的なものとなっている。しかし、運用マニュアルテンプレートの方はやはり鉄鋼業界 特有の条件が色濃く反映されていると思われ、このため、他業界にそのまま適用するには まだまだ問題が多いと予想される。 本章では、以上の点を中心に、以下の項目、すなわち、 1. セキュリティ作業標準の必要性 2. 緊急対応プログラムの必要性 3. 他業界現場へのヒアリング調査 4. セキュリティ・ポリシー・ジェネレータ を今後の課題と認識し、その理由・対策に関して考察を加える。 (1) セキュリティ作業標準の必要性 本報告書で提示している運用マニュアルは、いわば運用ガイドラインの実地適用マニュ アルとも言うべきものであり、生産現場の運転員、保守員が使用する運転マニュアル、保 守マニュアルなどの作業標準書とは性格を異にする。なぜならば、本報告書は対象読者と 203 して、これらの作業標準を作成する、いわゆる管理者層を指向しており、運用ガイドライ ンそのものを実際に適用するためにはどのようにすべきか、という具体的方法・手順につ いて力点を置いているためである。これは、セキュリティ・ポリシーおよびその運用規約 の策定の重要性を説く文献類は数多く見られるが、具体的にどのような手順でこれらを策 定するのかといいう具体的な方法について記述しているものは皆無であり、このため、本 実地適用研究においても、セキュリティ対策の出発点ともいえるセキュリティ・ポリシー をどのようにして作成するべきかという策定方法の検討に注力したことに起因している。 さて、策定したセキュリティ・ポリシーおよび運用マニュアルを運転員、保守員などの 実プラントの従事者に徹底させるためには、彼らが日常的に参照・遵守している作業標準 書のレベルまで記述内容を反映させる必要がある。 生産現場における最優先事項は、品質、生産性、原価、安全、環境であり、作業標準は これらを維持・向上させるために作成される。そこには、設備の起動・運転・停止方法、 プログラム更新手順などの設備ごとの日常的な作業手順はもとより、火災予防、人身事故 防止のための規約類も規定されている。これらは、企業の歴史、文化、技術、意思が色濃 く反映される、いわば企業の財産であるとも言える。従って、この作業標準のレベルまで、 セキュリティ対策を反映させないと現場に浸透させることは難しいと言える。 セキュリティ管理は、品質管理、生産性管理、原価管理とはやや趣きが異なり、むしろ 安全管理と同列で論じられるべきものであるように思われる。プラント現場においては、 安全管理は火災、人身事故に至るために歴史的に見ても非常に徹底されており、品質・生 産性・原価などの営業理念より上位に位置する概念である。すなわち、セキュリティ対策 をいかにして作業標準に反映し、セキュリティに関する考え方を安全のそれと同等レベル まで引き上げるかが今後の課題として残されている。 (2) 緊急対応プログラムの必要性 プラント現場においては、火災、人身等の重大災害発生時における対処プログラムが規 定され、それに基づく定期的な演習が実施されている。しかし、前述のように、本報告書 では、セキュリティ・ポリシー策定に始まる不正アクセスの予防・早期発見を中心とする 事前対策、および拡大・再発防止に関する事後対策については述べているが、今まさに不 正アクセスによる重大かつ組織的なセキュリティ侵犯、すなわちサイバーテロリズムが発 生した場合などの緊急時の対応方法については述べていない。 そもそもこれは運用ガイドラインの位置付けに起因するものである。運用ガイドライン の主旨文によると(付録 A 参照)その位置付けは下記のように整理される。 〔対象〕 大規模プラント・ネットワークの制御系システム 〔目的〕 コンピュータ不正アクセスによる被害の予防、早期発見および拡大・再発防止 〔内容〕 企業等の組織が実施すべき対策 ここで、運用ガイドラインの策定はコンピュータ不正アクセス対策基準を大規模プラン ト・ネットワーク向けに改定するという方法で行われ、その対策範囲も不正アクセスの事 前対策に力点が置かれた内容になっている。また、運用ガイドラインでは、不正アクセス 以外の対策については他の 4 種類の基準、すなわち、 コンピュータウィルス対策基準 情報システム安全対策基準 システム監査基準 ソフトウェア管理ガイドライン 204 を参照するという形態をとっている。これらの基準の参照関係を図示すると「図 24 セキ ュリティ運用ガイドラインに関連する基準の参照関係」のようになる。また、参考として これらの基準の主旨を「表 63 セキュリティ運用ガイドラインとそれに関連する基準の一 覧」に示す。 緊急時の対処方法については「情報システム安全対策基準」について触れられているが、 これらは主として自然災害あるいは設備の偶発故障に起因する災害であり、サイバーテロ リズムとは同一に論じられるべきものではなく、何らかの緊急対応用のガイドライン制定 が望まれる。また、このガイドラインに基づいた緊急対応プログラムの策定も急務である。 すなわち、サイバーテロリズムによる重大な被害を想定した緊急対応用のガイドライン をまず制定し、次いで、実際の組織的な行動シーケンスを記述した、汎用あるいは業界別 の対応プログラムを制定し、これを各企業ごとの対応プログラムにブレイクダウンしてい くというトップダウン的なアプローチによる取り組みが必要である。特に、電気、ガス、 上下水道などのライフライン系についてはその影響も大きく、一企業を超えた国家的な取 り組みが必要であると思われる。 (3) 他業界現場へのヒアリング調査 本研究によって作成した運用マニュアルテンプレートは、鉄鋼プラントを想定したもの であり、鉄鋼プラント従事者の経験・思想が色濃く反映されているが、鉄鋼以外の他業界 にもある程度有用ではないかという期待を抱いている。 ただし、やはり他業界に適用するには未知の部分が多く、このため、運用マニュアルテ ンプレートの現場における実用性を広く調査するために、石油、石油化学、電力などの他 業界のユーザ企業に対してヒアリングを実施し、テンプレートの充実、あるいは業界ごと のテンプレート作成の活動を行なうことにより、本報告書の成果が広く適用可能となり、 ユーザ企業にとっての有用性の広がりが期待できる。 (4) セキュリティ・ポリシー セキュリティ・ポリシー・ジェネレータ ・ポリシー・ジェネレータ 本報告書で提示しているセキュリティ・ポリシーの策定方法論は、システムの構成機器 とそのネットワーク構造およびユーザ業務内容をベース前提として、主として作表作業を 行なうことにより、論理的に展開できる手法となっている。 しかし、ここでのセキュリティ・ポリシーはプラント単位の具体的なポリシーを想定し ているため、システムが大規模になり、その構造が複雑になるとともに、作業負荷は指数 的に増大する。 そこで、本報告書のセキュリティ・ポリシー策定方法論を基に、種々の前提情報からセ キュリティ・ポリシーを作成するアプリケーションツール、すなわちセキュリティ・ポリ シー・ジェネレータを開発・公開することにより、セキュリティ・ポリシーの作成がより 簡便なものとなり、プラント・ユーザ企業におけるセキュリティ対策の実践意欲の向上に 貢献できると思われる。 205 [凡例] ガイドラインの名称 コンピュータ不正アクセス対策基準 (大規模プラント・ネットワーク向けに修正) 参照元 参照する内容 参照先 セキュリティ運用ガイドライン ウイルス対策の実施 ソフトウェア管理の実施 システム自体の安全対策の実施 システム監査の実施 コンピュータウイルス対策基準 ソフトウェア管理ガイドライン システム監査の実施 206 システム自体の安全対策の実施 ウイルス対策の実施 ソフトウェアの利用状況の監査 ウイルス対策の監査 システム監査の実施 情報システム安全対策基準 システム監査基準 安全対策の監査 図24 セキュリティ運用ガイドラインに関連する基準の参照関係 表63 セキュリティ運用ガイドラインとそれに関連する基準の一覧 名称 発表年月日 主旨 1998 年 3 月 本ガイドラインは、「大規模プラント・ネットワーク」の制御系システムに おいて、コンピュータ不正アクセスによる被害の予防、早期発見及び拡 大・再発防止のために、企業等の組織が実施すべき対策をとりまとめ たものである。 情報システム安全対策基準 1977 年 4 月 1995 年 8 月改訂 本基準は、情報システムの機密性、保全性及び可用性を確保すること を目的として、自然災害、機器の障害、故意・過失等のリスクを未然に 防止し、また、発生したときの影響の最小化及び回復の迅速化を図る ため、情報システムの利用者が実施する対策項目を列挙したものであ る。 システム監査基準 1985 年 1 月 1996 年 1 月改訂 本基準は、情報システムの信頼性、安全性及び効率性の向上を図り、 情報化社会の健全化に資するため、システム監査に当たって必要な事 項を網羅的に示したものである。 コンピュータウイルス対策基準 1990 年 4 月 1995 年 7 月改訂 本基準は、コンピュータウイルスに対する予防、発見、駆除、復旧等に ついて実行性の高い対策をとりまとめたものである。 ソフトウェア管理ガイドライン 1995 年 11 月 本ガイドラインは、ソフトウェアの違法複製等を防止するため、法人、団 体等(以下「法人」という。)を対象として、ソフトウェアを使用するに当た って実行されるべき事項をとりまとめたものである。 コンピュータ不正アクセス対策基準 1996 年 8 月 本基準は、コンピュータ不正アクセスによる被害の予防、発見及び復旧 並びに拡大及び再発防止について、企業等の組織及び個人が実行す べき対策をとりまとめたものである。 セキュリティ運用ガイドライン 207 参考文献 [1] 通商産業省 大規模プラント・ネットワーク・セキュリティ対策委員会、大規模プラン ト・ネットワーク・セキュリティについて ∼重要システムのサイバーテロリズム・ク ラッキング対策のあり方∼ 中間報告書、March,1998 [2] 通商産業省 大規模プラント・ネットワーク・セキュリティ対策委員会、大規模プラン ト・ネットワーク・セキュリティについて ∼重要システムのサイバーテロリズム・ク ラッキング対策のあり方∼ 最終報告書、March,2000 [3] 通商産業省告示第 362 号、コンピュータ不正アクセス対策基準、August 8,1996 [4] 通商産業省告示第 535 号、コンピュータウイルス対策基準、September 24,1997 [5] 通商産業省機械情報産業局、コンピュータ不正アクセス対策基準解説書、財団法人 日 本情報処理開発協会、1996 [6] 通商産業省機械情報産業局、コンピュータウイルス対策基準解説書、財団法人 日本情 報処理開発協会、1995 [7] Charles Cresson Wood、Information Security Policies Made Easy、Baseline Software Inc.、1997 [8] 情報処理振興事業協会セキュリティセンター、ISO/IEC 15408 情報技術セキュリティ 評価基準のご紹介、Version1.02、May,1999 208 付録A 付録 セキュリティ運用ガイドライン Ⅰ 主旨 従来、エネルギー・製造業等大規模プラントの制御系システムは、専用の閉鎖系システムとして構築されて いたが、近年、利便性、発展性、ビジネスにおける競争上の要請等により、開放系の情報系システムと接続さ れる機会が多くなってきている。 このような、制御系システムと情報系システムとが階層的に接続された「大規模プラント・ネットワーク」は、 社会的に重要で高信頼性が求められる一方で外部からの不正アクセスや攻撃に対する脆弱性が増大してき ている。 本ガイドラインは、このような状況に鑑み、「大規模プラント・ネットワーク」の制御系システムにおいて、コン ピュータ不正アクセスによる被害の予防、早期発見及び拡大・再発防止のために、企業等の組織が実施すべ き対策を取りまとめたものである。 本ガイドラインで想定している「大規模プラント・ネットワーク」のモデルを図 1 に示す。本ガイドラインは図 1 中の制御系システム(点線で囲まれた範囲)を対象としている。 インターネット/公衆回線 インターネット/公衆回線 工場情報管理システム 設備診断 OAシステム PC 全社システム ホストコンピュータ *1 設備管理LAN F i re wa l l *1 OA LAN 情報系 システム 情報系LAN イーサネット-1( *3) 情報系 システム WA 制御系 システム F i re wa l l プロコン *4 (プロセスコンピュータ) F i rewa l l リモートメンテ ナンス用端末 制御系情報LAN イーサネット-2( *3) コンソール DCS (プラントの 運転監視) 別プラントDCS Ga te Wa y R/M Ga te Wa y コンソール R/M :Remote Maintenance RAS :Remote Access Server WAN :Wide Area Network EWS :Engineering Work Station PBX :Private Branch eXchange PC :Personal Computer PLC :Programmable Logic Contoller コンソール (生産管理・データ収集) R/M EWS エンコン (プラントの 運転支援) (エンジニア用 コンソール) (DCS用プログラム 開発環境) Ga te Wa y PLC PLC RAS 制御LAN PBX A社製制御LAN (メーカ独自LAN) コントローラ B社製制御LAN *2 (プラントの制御) 基地局 保守用コンソール (コントローラの修理・監視) コントローラ 現場 公衆回線 無線専用ネットワーク (無線LAN、 構内PHS を含む) ←フィールドバス 運転員用の 携帯端末 現場 ダイヤルアップ接続 *1 : 情報系LANとOALANは同一 の場合が多いが、プラントに よっては別に設置される場合 もある *2 : 必要に応じて接続 *3 : イーサネット-1,2は統合され る傾向にある *4 : ファイアウォールを入れて接続 される場合がある PC (・リモートエンジニアリング) (・リモートコンソール) 図1 Ⅱ 用語の定義 本ガイドラインで用いられる用語の定義は、以下のとおりである。 1. コンピュータ不正アクセス(以下「不正アクセス」とする。) システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介し て意図的に行うこと。 2. ソフトウェア システムプログラム、アプリケーションプログラム、ユーティリティープログラム等のプログラム及びそれに付 随するデータ。 3. コンピュータ 209 ネットワークに接続され得るコンピュータであり、プロセスコンピュータ、コンソール、コントローラ、携帯端末 等の制御用コンピュータ、ルーラ、交換機等の通信用コンピュータ及びその他専用コンピュータを含むもの。 4. ネットワーク 通信回線(電話回線、無線回線も含む)及び通信機器の複合体 5. システム コンピュータ及びネットワークの複合体 6. 情報系システム 企業等の経理、人事、販売、物流等の業務を対象としたシステム。 7. 制御系システム プラント機器の制御とプラント・データ処理を目的として設置されたシステム 8. 大規模プラント・ネットワーク 複数のプラントの制御系システムが相互接続され、またそれらが企業内外の情報系システムとも接続され て形成される大規模な階層的システム。 9. ファイル 記憶装置又は記録媒体上に記録されているプログラム、データ等 10.機器 .機器 10 ハードウェア、通信回線又は通信機器 11.バックアップ 11.バックアップ プログラム、データ等と同一の内容を別の媒体に記録すること。 12.保守機能 12.保守機能 システムを正常な状態に維持するための機能 Ⅲ 構成 本ガイドラインは、制御系システムユーザ基準、制御系システム管理者基準、ハードウェア・ソフトウェア供 給者基準、リモートメンテナンス事業者基準及びネットワークサービス事業者基準からなり、その構成及び内 容は以下のとおりである。 1. 制御系システムユーザ基準 制御系システムを利用する者(以下「制御系システムユーザ」とする。)が実施すべき対策についてまとめた もの。 2. 制御系システム管理者基準 制御系システムユーザの管理並びに制御系システム及びその構成要素の導入、維持、保守等の管理を行 う者(以下「制御系システム管理者」とする。)が、実施すべき対策についてまとめたもの。 3. ハードウェア・ソフトウェア供給者基準 ハードウェア及びソフトウェア製品の開発、製造、販売等を行う者(以下「ハードウェア・ソフトウェア供給者」と する。)が、実施すべき対策についてまとめたもの。 4. リモートメンテナンス事業者基準 ネットワークを介して、制御系システムに対する診断、修復等を行う事業者(以下「リモートメンテナンス事業 者」とする。)が、実施すべき対策についてまとめたもの。 5. ネットワークサービス事業者基準 ネットワークを利用して、情報サービス及びネットワーク接続サービスを提供する事業者(以下「ネットワーク サービス事業者」とする。)が実施すべき対策についてまとめたもの。 大規模プラント・ネットワークでは、事業所間の通信及びリモートメンテナンスのための通信にネットワークサ ービス事業者が関わる可能性があるため、この基準を設けた。 Ⅳ 他基準の参照 制御系システムのセキュリティを確保するため、本ガイドライン以外に以下に示す各基準も遵守することが 望ましい。 1. コンピュータウィルス対策基準 コンピュータウィルス対策の実施については、「コンピュータウィルス対策基準」(平成 7 年 7 月 7 日付 通産 省告示第 429 号)に準拠すること。 2. 情報システム安全対策基準 210 システム自体の安全対策実施については、以下の点を考慮の上「情報システム安全対策基準」(平成 7 年 8 月 29 日付 通産省告示第 518 号)を活用すること。 (1) 電源設備:制御系システムには災害時の停電対策としてバックアップ電源設備を設置すること。 (2) 地震対策:制御系システムは地震の際も極力停止しないよう考慮すること。 (3) 設置環境:制御系システムの運用に関する機器の為の防水カバー常備は不要とする。 (4) 災害対策:制御系システムでは災害の際の遠隔地バックアップ機能は不要とする。 3. システム監査基準 システム監査の実施については、「システム監査基準」(平成 8 年 1 月 30 日付 通産省広報)を活用すること。 なお活用に際しては多くのプロセス制御システムが無人運転のオンライン・リアルタイム・システムであることを 考慮の上、適用する項目の取捨選択を行うこと。 4. ソフトウェア管理ガイドライン ソフトウェア管理の実施に付いては、「ソフトウェア管理ガイドライン」(平成 7 年 11 月 15 日付 通産省広報) を活用すること。 Ⅴ ガイドライン 1. 制御系システムユーザ基準 (1) パスワード及びユーザID管理 ① ユーザIDは、複数の制御系システムユーザで利用しないこと。 ② ユーザIDは、パスワードを必ず設定すること。 ③ 複数のユーザIDを持っている場合は、それぞれ異なるパスワードを設定すること。 ④ パスワードは、容易に推測されないように設定すること。 ⑤ パスワードは、随時変更すること。 ⑥ パスワードは、紙媒体等に記述しておかないこと。 ⑦ パスワードを入力する場合は、他人に見られないようにすること。 ⑧ 他人のパスワードを知った場合は、速やかに制御系システム管理者に通知すること。 ⑨ ユーザIDを利用しなくなった場合は、速やかに制御系システム管理者に届け出ること。 (2) 情報管理 ① 重要な情報は、パスワード、暗号化等の対策を図ること。 ② 重要な情報を送信する場合は相手先を限定し、宛先を十分に確認すること。 ③ ファイルの属性は、内容の重要度に応じたアクセス権限を必ず設定すること。 ④ コンピュータ及び通信機器を維持、保守するために必要なファイルは、盗用、改ざん、削除等されない ように厳重に管理すること。 ⑤ 重要な情報を記録した紙、磁気媒体等は、安全な場所に保管すること。 ⑥ 重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏えいしない方法で行うこと。 ⑦ ファイルのバックアップを随時行い、その磁気媒体等を安全な場所に保管すること。 (3) コンピュータ管理 ① コンピュータ、通信機器及びソフトウェアの導入、更新、撤去等を行う場合は、制御系システム管理者 の指導の下で行うこと。 ② コンピュータを管理するために与えられた最上位の権限(以下「特権」とする。)によるコンピュータの利 用は、必要最小限にすること。 ③ 特権によりコンピュータを利用する場合は、コンピュータ、場所、期間等を限定すること。 ④ コンピュータが無断で利用された形跡がないか、利用履歴等を随時確認すること。 ⑤ コンピュータを入力待ち状態で放置しないこと。 (4) 事後対応 ① システムの異常を発見した場合は、速やかに制御系システム管理者に連絡し、指示に従うこと。 ② 不正アクセスを発見した場合は、速やかに制御系システム管理者に連絡し、指示に従うこと。 (5) 教育及び情報収集 ① 制御系システム管理者からセキュリティ対策に関する教育を随時受けること。 ② セキュリティ対策に関する情報を入手した場合は、制御系システム管理者に随時提供すること。 (6) 監査 ① 制御系システムユーザが行う不正アクセス対策の実効性を高めるため、システム監査の報告を受け、 必要な措置を講ずること。 2. 制御系システム管理者基準 (1) 管理体制の整備 ① システムのセキュリティ・ポリシーを確立し、周知・徹底すること。 ② システムの管理体制、管理手順を確立し、周知・徹底すること。 211 (2) (3) (4) ③ 緊急時の連絡体制及び復旧手順を確立し、周知・徹底すること。 ④ システム管理の業務上知り得た情報の秘密を守ること。 ⑤ 制御系システム管理者の権限は、業務を遂行する上で必要最小限にすること。 ⑥ 制御系システム管理者は2人以上かつ必要最小限の管理者で、その業務は定期的に交代すること。 ⑦ 制御系システム管理者の資格を喪失した者の権限は、速やかに停止すること。 制御系システムユーザ管理 ① 制御系システムユーザの登録は、必要な機器に限定し、制御系システムユーザの権限を必要最小限 に設定すること。 ② ネットワークを介して制御系システムの外部からアクセスできるユーザIDは、必要最小限にすること。 (以下「外部」とは、制御系システムの外部を指す) ③ ユーザIDは、個人単位に割り当て、パスワードを必ず設定すること。 ④ 長期間利用していないユーザIDは、速やかに停止すること。 ⑤ ユーザIDの廃止等の届出があった場合は、速やかに登録を抹消すること。 ⑥ パスワードは、当該制御系システムユーザ以外に知らせないこと。 ⑦ パスワードのチェックを随時行い、安易なパスワードは、速やかに変更させること。 ⑧ パスワードが当該制御系システムユーザ以外に知られた場合又はその疑いのある場合は、速やかに 変更させること。 ⑨ 特権を付与する場合は、当該制御系システムユーザの技術的能力等を考慮すること。 ⑩ 必要としなくなった制御系システムユーザの特権は、速やかに停止すること。 情報管理 ① 制御系システムと外部を繋ぐ通信経路上の情報は、漏えいを防止する仕組みを確立すること。(以下 「通信経路」とは、制御系システムと外部を繋ぐ通信経路を指す) ② 通信経路上で情報の盗聴及び漏えいが行われても、内容が解析できない機密保持機能を用いること。 ③ 通信経路上で情報の改ざんが行われても、検出できるような改ざん検知機能を用いること。 ④ 通信経路上で情報の改ざんが検出された場合に、プラント運転に不要なネットワークと切り離す機能を 設けること。 ⑤ ネットワークを介した外部からのアクセス情報を管理する機能を設けること。 ⑥ システム関連のファイルは、制御系システムユーザがアクセスできないように管理すること。 ⑦ 重要な情報は、削除、改ざん、漏えい等による被害が少なくなるように分散化すること。 ⑧ 重要な情報を記録した紙、磁気媒体等は、安全な場所に保管すること。 ⑨ 重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏えいしない方法で行うこと。 ⑩ ファイルのバックアップを随時行い、その磁気媒体等を安全な方法で保管すること 設備管理 ① すべての機器及びソフトウェアの管理者を明確にすること。 ② 重要な情報が格納されているか又は重要な処理を行う機器は、許可を与えられた者以外立ち入れな い場所に設置し、厳重に管理すること。 ③ 移動可能な機器は、盗難防止策を行うこと。 ④ システム構成を常に把握しておくこと。 ⑤ 機器及びソフトウェアを導入する場合は、セキュリティ機能がセキュリティ・ポリシーに適合していること をあらかじめ確認してから行うこと。 ⑥ 機器及びソフトウェアの設定情報がシステムに適合していることを随時確認すること。 ⑦ 機器及びソフトウェアは、供給者の連絡先及び更新情報が明確なものを利用すること。 ⑧ セキュリティ上の問題点が解決済みの機器及びソフトウェアを利用すること。 ⑨ 外部と接続する機器はファイアーウォール機能を持たせる等、十分なアクセス制御機能を有したものを 利用すること。 ⑩ アクセス制御機能に障害が起きた時には、外部との通信を制限する等フェール・セーフ対策を行なうこ と。 ⑪ システム構成の変更を行う前に、セキュリティ上の問題が生じないことを確認すること。 ⑫ ネットワークを介して外部からアクセスできる通信経路、コンピュータ及び使用できるプロトコルは、必 要最小限にすること。 ⑬ ネットワークを介して外部からシステム管理を行う場合は、認証機能、暗号機能及びアクセス制御機能 を設定すること。 ⑭ 長期間利用しない機器は、システムに接続しないこと。 ⑮ 機器及びソフトウェアの廃棄、返却、譲渡等を行う場合は、情報の漏えいを防ぐ対策を行うこと。 ⑯ ソフトウェア及びシステムファイルの改ざんが生じていないことを随時確認すること。 ⑰ システムが提供するパスワード強化機能は最大限に活用すること。 212 ⑱ ネットワークの負荷状況を監視すること。 ⑲ システムの利用形態等に応じて、ネットワークを分離すること。 (5) 履歴管理 ① システムのセキュリティ・ポリシーに基づいたシステムの動作履歴、使用記録等を記録すること。 ② システムの動作履歴、使用記録等を記録する場合は、改ざん、削除、破壊及び漏えいの防止措置を施 すこと。 ③ 記録したシステムの動作履歴、使用記録等を随時分析すること。 ④ 記録したシステムの動作履歴、使用記録等は、安全な方法で一定期間保管すること。 (6) 事後対応 ① 異常の連絡を受けた場合又は異常を発見した場合は、速やかに原因を追究すること。 ② 不正アクセスであることが判明した場合は、関係者と協調して被害の状況を把握すること。 ③ 外部からの不正アクセスが発見された場合は、すみやかに情報系ネットワークとの接続の切り離しを 行なうこと。 ④ 関係者と協調して不正アクセス被害の拡大を防止するための処置を行うこと。 ⑤ 事前に確立した復旧手順を遂行し、関係者と協調して不正アクセス被害の復旧に努めること。 ⑥ 不正アクセス被害の原因を分析し、関係者と協調して再発防止策を行うこと。 ⑦ 不正アクセス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が別に指定する者に 届け出ること。 (7) 情報収集及び教育 ① セキュリティ対策に関する情報を随時収集すること。 ② 収集した情報を分析し、重要な情報については速やかに対応すること。 ③ 制御系システムユーザがセキュリティ対策を行う場合に必要な情報を提供すること。 ④ 制御系システムユーザに、セキュリティ教育を随時実施すること。 (8) 監査 ① 制御系システム管理者が行う不正アクセス対策の実効性を高めるため、システム監査の報告を受け、 必要な措置を講ずること。 3. ハードウェア・ソフトウェア供給者基準 (1) 管理体制の整備 ① ハードウェア・ソフトウェア供給者の要員の業務範囲を明確にすること。 ② 設計文書等の管理体制、管理基準を確立し、周知・徹底すること。 ③ 不正アクセスを発見したときの連絡体制及び復旧手順を確立し、周知・徹底すること。 (2) 設備管理 ① 開発業務に係る機器は、許可を与えられた者以外立ち入れない場所に設置し、厳重に管理すること。 ② 開発業務に係るネットワークは、他の業務のネットワークと分離すること。 (3) 開発管理 ① 製品のセキュリティ機能の実装に関する方針を明確にすること。 ② 製品は、機密保持機能、認証機能、改ざん検知機能等のセキュリティ機能を設けること。 ③ 製品のネットワークに係る機能は、セキュリティ上の重要な情報の解析を防ぐ機能を組み込むこと。 ④ 製品の保守に係る機能は、利用する者を限定する機能を組み込むこと。 ⑤ セキュリティの設定を行わないと製品が利用できない機能を設けること。 ⑥ 製品の開発に使用したデバッグ機能等は、出荷前に削除しておくこと。 ⑦ 製品のセキュリティ機能が仕様どおり動作するか検査すること。 (4) 販売管理 ① 製品は、流通段階における改ざん等を防止するための措置を施すこと。 ② 製品は、利用上の制限事項及び推奨事項を明示の上、販売等を行うこと。 ③ 製品は、供給者の連絡先を明示しておくこと。 ④ 製品にセキュリティ上の問題が発見された場合は、製品のユーザ及び関係者に情報を通知するととも に、問題を解決するための適切な処置を行うこと。 (5) 事後対応 ① 製品開発システムにおける異常を発見した場合は、速やかに原因を追究すること。 ② 不正アクセスであることが判明した場合は、関係者と協調して被害の状況を把握すること。 ③ 関係者と協調して不正アクセス被害の拡大を防止するための処置を行うこと。 ④ 事前に確立した復旧手順を遂行し、関係者と協調して不正アクセス被害の復旧に努めること。 ⑤ 不正アクセス被害の原因を分析し、関係者と協調して再発防止策を行うこと。 ⑥ 不正アクセス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が別に指定する者に 213 届け出ること。 (6) 情報収集及び教育 ① 製品のセキュリティ対策に関する情報を随時収集し、その情報を製品の開発に生かすこと。 ② 製品の販売を通じてセキュリティ対策の情報を提供し、必要に応じて教育を行うこと。 (7) 監査 ① ハードウェア・ソフトウェア供給者が行う不正アクセス対策の実効性を高めるため、システム監査の報 告を受け、必要な措置を講ずること。 4. リモートメンテナンス事業者基準 (1) 管理体制の整備 ① リモートメンテナンス事業者の要員の業務範囲を明確にすること。 ② 保守・開発用ドキュメント等の管理体制、管理基準を確立し、周知・徹底すること。 ③ 不正アクセスを発見したときの連絡体制及び復旧手順を確立し、周知・徹底すること。 (2) リモートメンテナンスユーザ管理 ① リモートメンテナンス事業者及びリモートメンテナンスユーザの責任範囲を明確にすること。 ② リモートメンテナンス事業者が提供できるセキュリティサービスを明示すること。 ③ リモートメンテナンスユーザとの連絡体制を複数確立し、周知・徹底すること。 ④ リモートメンテナンスユーザへの不正アクセスを監視できる仕組みを確立すること。 ⑤ リモートメンテナンスの実施状況等を記録できる仕組みを確立すること。 (3) 情報管理 ① リモートメンテナンスユーザの情報は、厳重に管理すること。 ② ネットワーク構成等の重要な情報は、公開しないこと。 ③ リモートメンテナンスの対象以外の情報にアクセスできないための仕組みを確立すること。 ④ リモートメンテナンスを実施する者を限定する機能を組み込むこと。 (4) 設備管理 ① リモートメンテナンスに係る機器は、許可されたもの以外立ち入れない場所に設置し、厳重に管理する こと。 ② リモートメンテナンスに係る機器の管理が常に可能な仕組みを確立すること。 ③ リモートメンテナンスに係る機器を遠隔管理する通信回線は、複数確保すること。 ④ リモートメンテナンスユーザにサービスを提供するネットワークは、他の業務と分離し、セキュリティ対策 を確実に実施すること。 ⑤ 特定のサービスに関連する情報は、そのサービスに関連した機器に限定して流すこと。 (5) 事後対応 ① 異常の連絡を受けた場合又は異常を発見した場合は、速やかに原因を追究すること。 ② 不正アクセスであることが判明した場合は、関係者と協調して被害の状況を把握すること。 ③ 関係者と協調して不正アクセス被害の拡大を防止するための処置を行うこと。 ④ 事前に確立した復旧手順を遂行し、関係者と協調して不正アクセス被害の復旧に努めること。 ⑤ 不正アクセス被害の原因を分析し、関係者と協調して再発防止策を行うこと。 ⑥ 不正アクセス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が別に指定する者に 届け出ること。 (6) 情報収集及び教育 ① セキュリティ対策に関する情報を随時収集すること。 ② リモートメンテナンスユーザがセキュリティ対策を行う場合に必要な情報を提供すること。 ③ ネットワークのセキュリティ上の問題点及びその対策に関する十分な情報を提供し、必要に応じてその 情報を活用するための教育をすること。 (7) 監査 ① リモートメンテナンス事業者が行なう不正アクセス対策の実効性を高めるため、システム監査の報告を 受け、必要な措置を講ずること。 5. ネットワークサービス事業者基準 (1) 管理体制の整備 ① ネットワークサービス事業者の要員の業務範囲を明確にすること。 ② 不正アクセスを発見したときの連絡体制及び復旧手順を確立し、周知・徹底すること。 (2) ネットワークサービスユーザ管理 ① ネットワークサービス事業者及びネットワークサービスユーザの責任範囲を明確にすること。 ② ネットワークサービス事業者が提供できるセキュリティサービスを明示すること。 214 (3) (4) (5) (6) (7) ③ ネットワークサービスユーザとの連絡体制を複数確立し、周知・徹底すること。 ④ 不正アクセスを行ったネットワークサービスユーザに対するサービスを制限できる仕組みを確立するこ と。 ⑤ ネットワークサービスユーザから要求があった場合、本人の利用情報等を開示すること。 ⑥ ネットワークサービスユーザへの不正アクセスを監視できる仕組みを確立すること。 ⑦ ネットワークサービスユーザの利用情報等を記録できる仕組みを確立すること。 情報管理 ① ネットワークサービスユーザの情報は、厳重に管理すること。 ② ネットワークサービスユーザの情報を公開する場合は、本人の了解を得ること。 ③ ネットワーク構成等の重要な情報は、公開しないこと。 設備管理 ① ネットワークサービスに係る機器は、許可を与えられた者以外立ち入れない場所に設置し、厳重に管 理すること。 ② ネットワークサービスに係る機器の管理が常に可能な仕組みを確立すること。 ③ ネットワークサービスに係る機器を遠隔管理する通信回線は、複数確保すること。 ④ ネットワークサービスユーザにサービスを提供するネットワークは、他の業務のネットワークと分離する こと。 ⑤ 特定のサービスに関する情報は、そのサービスに関連した機器に限定して流すこと。 事後対応 ① 異常の連絡を受けた場合又は異常を発見した場合は、速やかに原因を追究すること。 ② 不正アクセスであることが判明した場合は、関係者と協調して被害の状況を把握すること。 ③ 関係者と協調して不正アクセス被害の拡大を防止するための処置を行うこと。 ④ 事前に確立した復旧手順を遂行し、関係者と協調して不正アクセス被害の復旧に努めること。 ⑤ 不正アクセス被害の原因を分析し、関係者と協調して再発防止策を行うこと。 ⑥ 不正アクセス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が別に指定する者に 届け出ること。 情報収集及び教育 ① セキュリティ対策に関する情報を随時収集すること。 ② ネットワークサービスユーザがセキュリティ対策を行う場合に必要な情報を提供すること。 ③ ネットワークのセキュリティ上の問題及びその対策に関する十分な情報を提供し、必要に応じてその情 報を活用するための教育をすること。 監査 ① ネットワークサービス事業者が行う不正アクセス対策の実効性を高めるため、システム監査の報告を 受け、必要な措置を講ずること。 215 付録B 付録 用語集 情報系システム 企業の経理、人事、販売などの業務を対象とした情報システム。 (プラントの)制御系システム プラント内のバルブ、ポンプ、圧縮機などの操作を (プラントの)制御系システム 制御するために整備されたシステムであり、主として設備、装置の制御 データを処理の対象にしているシステム 大規模プラントネットワーク 複数のプラントの制御系システムが相互接続され、 またそれらが企業内外の情報系システムとも接続されて形成される大規 模な階層的ネットワーク。 (Distributed Control System) ) DCS( 制御系システムの基幹部であり、コントロ ーラ、コンソール、エンコン、Gateway および制御 LAN、制御系情報 LAN で構成されている(プロセス・コンピュータは含まない) 。 DCS コントローラ DCS の構成要素の 1 つであり、生産装置を直接制御する。DCS コ ントローラは、生産装置の機器(センサ)からの流量、温度、圧力など の電気信号(測定値)を読み込み、制御ロジックに従い電気信号(出力 値)を装置側にあるバルブその他の操作端末に送り出して制御する。 情報系 LAN 事業所の情報系システムのネットワークであり、ホストコンピュータ、 その端末およびスタッフの OA 用パソコンを接続している。本社および 外部との接続にも用いられている。 制御系情報 LAN 事業所内の工場ごとに構築されているネットワークであり、主としてエ ンジニアリング機能をよりよく果たすために、プロコン、EWS および コンソールを接続している。スタッフ用のパソコンを接続している場合 もある。 制御 LAN プラントの制御単位に分割されて、コントローラとコンソールを接続し ているネットワークである。工場内には複数の制御 LAN が設けられて いる。 フィールドバス コントローラと制御対象である機器を接続しているネットワークであ る。 OA LAN 事業所内のスタッフが情報系システム、および、制御系システムのデー タを利用する際に用いるパソコンなどが接続されているネットワークで あり、情報系 LAN とは別に設けられている場合がある。 設備管理 LAN 事業所内の設備管理機能を統合的に遂行するために、専用のパソコンな どが設置、接続されているネットワークであり、情報系 LAN、制御系 情報 LAN とは別に設けられている場合がある。 216 コントローラ(及び コントローラはプラントの制御を司るハードウェアであ コントローラ(及び PLC) り、現時点では各社独自の構成である。コントローラ内部には温度・流 量等のアナログ制御、工程歩進等の順序制御(制御理論)が格納されてい る。コントローラ∼現場(フィールド機器)間は電気的な接続(4∼20MA アナログ、デジタル信号など)であり、本報告書では検討対象外である。 近年フィールドバス等に代表される各種フィールドネットワークが標準 化されつつあるが、これらのネットワークはプラント内に設置されるロ ー カ ル な ネ ッ ト ワ ー ク と 位 置 づ け る 。( 検 討 対 象 外 と す る ) PLC(Programmable Logic Controller)についても従来の単独設置機器か らネットワーク接続機器へ移行しつつある。本報告では PLC について も広義のコントローラとしての位置づけとする。 コンソール(プロセス プラントの運転状況を監視す コンソール プロセス・オペレータ用コンソール プロセス・オペレータ用コンソール: ・オペレータ用コンソール:POC) るための装置であり、CRT によるプラント状況の集中監視を行う。 (本 コンソールはプラント単位に複数台の POC が設置されるのが一般的で ある)初期の DCS では各メーカ専用の OS を採用していたが、近年では UNIX,Windows 等の汎用 OS を採用した機器に移行しつつある。プラン トの運転員は必要に応じ、POC よりコントローラに対する制御理論の 起動/停止、設定値変更操作を実施する。従来コンソール並びに後述する EWS,エンジニア用コンソール等、各種制御 LAN 接続機器は直接イー サネット等の情報系 LAN に接続されるケースは希であったが、近年で はより密接な情報系とのデータ交換のニーズ/必要性が高まっておりイー サネットへ直結される傾向にある。 保守用コンソール 保守用コンソールは、コントローラ単体の起動/停止/制御理論の修 正・監視を行うための専用装置である。本装置は通常コントローラに接 続されている機器ではない。(本装置を常時接続するシステムでは、汎 用ネットワークとは隔離した専用回線として運用されることを前提とし ている) エンコン/エンジニア用コンソール コントローラ内制御理論の修正、コ エンコン エンジニア用コンソール( エンジニア用コンソール(ENGS) ンソール内監視情報(主に CRT への表示内容、警報様式)の修正を行 う為の「DCS 用プログラム開発装置」である。運転監視用コンソールと 同様、汎用的な OS を搭載した機種に移行しつつある。DCS 用プログラ ムの開発作業を複数のエンジニアにより並行して進める場合には EWS を汎用 LAN に接続して PC 等を入力端末として使用する。 エンジニアリングワークステーション) EWS(エンジニアリングワークステーション コンソールが運転監視を主体とした エンジニアリングワークステーション 業務を司るのに対して、本装置ではプロセスの状態解析/最適な運転パラ メータを決定するためのシュミレーション等、各種運転支援機能を分担 する。ハードウェア的には後述する「プロコン機能」と共用する場合が多 い。 リモートメンテナンス) R/M(リモートメンテナンス R/M(リモートメンテナンス)とはハードウェア装置 リモートメンテナンス を示すものではなく、制御系システムに対する各種の診断業務の総称で ある。具体的な接続方式としては、従来「モデム接続」による専用手順 を用いていたが、近年では各種汎用手順(イーサネット、Telnet、 FTPプロトコル等)を用いるケースも多い。診断業務の内容としては 217 当初、メーカによるシステム機能の健全性/障害情報の収集が主体であっ たが、近年では「部分的な障害の修復(DCS 内プログラムの修正:メー カ提供部分)」も可能になっている。以下は R/M により実現される診断 業務の代表例である。・コントローラ、コンソール、制御バス等の障害 情報収集(障害発生時の一次対応に必要な情報の収集) ・制御 LAN 使用 状況の把握・コンソール内補助記憶装置等、有寿命品の稼働状況把握・ コントローラ負荷率、コンソール負荷率の把握・温度、湿度等環境情報 の収集 Gateway(G/W) G/W は DCS 独自の制御 LAN(メーカ LAN)と汎用 LAN(イーサネッ ト)との中継を行うハードウェアであり、プロコンや EWS 等が G/W 経 由で各種プラント情報を参照/設定する事が出来る。G/W は通常各社独 自プロトコル(プラント情報の参照/設定の手順)により外部システムと の情報交換を行うが、本プロトコルは「メーカ図書(取り扱い説明書)」 に記載されているため秘匿性は低い。本装置は、本来外部システムとの I/F 装置として位置付けられるため「ネットワークセキュリティ」の面 では最も配慮が必要な DCS 構成要素である。 プロコン(プロセスコンピュ プロコン(プロセスコンピュータ) (プロセスコンピュータ) DCS が「プラント制御機能」を分担することに対 し、プロコンでは生産管理機能、データ収集機能を主体とする情報管理 機能を司る。システムによってはプロセスモデルなどによるセットアッ プ制御/ダイナミック制御を実施している場合もある。ネットワークセキ ュリティの観点から見ると、本機器は「汎用技術(UNIX、Windows)」 を採用したコンピュータとして位置づけられる。 無線応用ネットワークおよび携帯端末(現場パトロール用端末) 無線応用ネットワー 無線応用ネットワークおよび携帯端末(現場パトロール用端末) クの発達/実用化に伴い、運転員用の携帯端末∼プロセス制御システム間 を無線接続する形態が普及しつつある。携帯端末の主な機能としては・ 現場指示計の遠隔読み込み:コントローラが直接プロセス状態を計測す る代替として現場端末経由情報をコントローラに取り込むことが可能に なる。 ・運転員に対する各種指示:コンソール、EWS から携帯端末(現 場パトロール員)に対して、 「点検ルート指示」(コントローラが収集し ている)プロセス状態」等を補助情報として提供する。等が上げられる。 現時点では「限定された用途」での使用法であるが将来的には「携帯端 末からの設定値変更」等、プラント制御機器の一部として用いられる可 能性がある。 218