ISA-Japan Section

IS A - J a p a n S e c t i o n
NEWSLETTER
The International Society of
Automation
http://www.venus.dti.ne.jp/~isaj
Volume 16 No.39 2012
From the Vice President of
ISA Japan Section
支 部 役 員 巻 頭 言
ISA 日本支部 副支部長 神余 浩夫
Hiro Kanamaru
三菱電機株式会社
Mitsubishi Electric Corporation
昨年、多くの官庁や企業がサイバー攻撃を受け、情
Do you remember that many companies and
報流出の被害があったことを覚えておられるだろう
ministries had been damaged by Cyber-attack in the
か。多くの方は自分に関係も影響もない対岸の火事と
last year? Many of you didn’t mention it because there
思われたことだろう。だが、この攻撃対象が社会イン
was no influence to you. But if the targets were the
フラシステム(化学プラント、発電所、鉄道システム、
life-line system (power distribution, traffic and
通信網)で、プラントのトリップ、停電、暴走などが
communication), their trip or runaway might make you
起こるとしたら穏やかではいられない。事実、ウラン
panic. Actually, Stuxnet which disturbed an operation
濃縮工場の業務妨害を行ったウイルス Stuxnet が報
of Uranium enrichment plant have been reported. In
告されている。経産省も「制御システムセキュリティ
order to develop the counter measures to these threats,
検討タスクフォース」を立ち上げ、対策を急いでいる。
METI have started up “Task force to study the security
2 月の ISA-J 技術講演会では、制御システムセキュ
of control systems”.
リティの状況と ISA の取組みについて取り上げた。
In the ISA-J technical forum in Feb., we discussed
ISA-99 委員会は、2002 年から産業システムのセキュ
about the security of control systems and the related
リティ標準規格化を行っている。現在、制御システム
activities of ISA. ISA-99 committee has been
や社会インフラシステムのセキュリティ概念および
developing the industrial security standard since 2002.
技術に関する唯一の標準であるため、各国の制度や技
The systems and technical measures of each countries
術対応も ISA-99 を参照して進められるだろう。近く
would be developed by using ISA-99 which is the only
にこの問題に関わる方がおられたら、ISA への勧誘を
standards about this issue. Let you invite to ISA who is
お願いしたい。
facing to this issue.
＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜＜
June 2012
1
ISA-Japan Section Newsletter Vol.16 No.39
２.stuxnet
技術報告
まずは、stuxnet について簡単に振り返りたい。情
制御システムのセキュリティ動向
報系から制御系への攻撃は予想されていたが、現実化
A Trend on Control System Security
したものが stuxnet であった。その仕組みはエンジニ
アリングツール経由というところに特色がある。
電気通信大学 新
制御系はインターネットから隔離されているとい
誠一
うことが制御系の IT セキュリティを担保する一つの
University of
論拠であった。確かに、2000 年代には制御系をイン
Electro-Communications
ターネットに接続する必要性は認識されていなかっ
Seiichi SHIN
た。しかし、電子制御の特徴は制御アルゴリズムを簡
単に組み替えられるという点ある。この組み換えには
１.はじめに
エンジニアリングツールが不可欠である。あらゆる電
2010 年、2011 年と制御系に関わるものにとって衝撃
子制御系にツールが備わっている。
的な事件が続いて起こった。2010 年には stuxnet と
さて、このツールは制御系から見ると神様である。
呼ばれるマルウェアが出現した。これは、イランの核
制御系の全ての動作を書き換えることができる。実際、
施設を攻撃したと報道されているコンピュータウィ
stuxnet は制御アルゴリズムだけでなく、フェイルセ
ルスである a)。情報系から制御系が攻撃され、エン
ーフ機能も改変している。そして、改変をツールから
ジニアリングツール経由でフェイルセーフ機能が除
見えなくなるステルス化まで行っている。
去された。しかも、インターネットセキュリティ会社
通常、このような改変には認証機能が備わってい
が解析するまで現場では感染していることも気が付
るが、このパスワードがツール上に書き込まれていた
いていないほど巧妙なウィルスであると報告されて
という脆弱性があった。
いる b)。
さらに、制御装置自体は制御用のリアルタイム OS
2011 年 3 月 11 日には東日本大震災が発生した。地
で動作していたが、ツール自体は汎用 OS である
震、津波による暴力的な破壊力はすさまじかった。そ
Windows 上で動作していた。このため、Windows の脆
れ以上に、震災を契機に発生した福島第一原子力発電
弱性はツールの脆弱性でもあった。
所の爆発、汚染は現在も大きな問題のままになってい
Windows の脆弱性もツール自体が持つ脆弱性も発
る。制御系という視点で見ると、1970 年以前のアナ
見される度に修正されるべきものである。いわゆる更
ログ計装システムであり、設置時の状況を知っている
新である。更新のためには何らかの手段で外部機器と
現役技術者がいないという設備と技術者の時定数の
接続する必要がある。すなわち、ツールはインターネ
差という問題を我々に突き付けている。
ット、DVD、USB などを通じて外部機器と接続されて
両方の事件を合わせて考えると、わずかなエネルギ
おり、常に感染する危険性がある。そして、ツールが
ーしか用いない情報が大きな影響を及ぼす現在の電
感染すれば制御機器も改変される可能性がある。
子制御システムという問題点と、設備という寿命の長
つまり、外部機器から遮断されている制御系とい
いものと情報技術という瞬の寿命しか持たないもの
うのは神話であり、実際的ではない。正に、stuxnet
の両立という問題点が浮き彫りにされていることに
は、この神話を打ち砕いた。
気が付く。
この神話と双璧をなす神話がエンジニア性善説で
この問題に対し、国を中心に制御系に関わる組織が
ある。エンジニアは悪さをしないというものである。
立ち上がりつつある。ここでは、制御システムセキュ
しかしながら、ここまでの説明でお分かりのように、
リティの動向という形で、この記録を残したい。
June 2012
stuxnet 作成には、Windows の専門家、エンジニアリ
2
ISA-Japan Section Newsletter Vol.16 No.39
４.情報セキュリティ対策
ングツールの専門家、そして、制御機器の専門家が必
要である。それに加えて、核施設の詳細を知っている
以上の二つの事件に対し、経済産業省の情報セキュ
専門家が必要である。フェイルセーフ機能を外し、ウ
リティ対策室はすばやい対応をした。まず、stuxnet
ラン濃縮のための数千台にのぼる遠心分離機を現場
であるが、これは 2010 年 12 月に設置された「サイバ
のエンジニアが気付かない程度に回転速度を変えて
ーセキュリティと経済の研究会」で議論された。2011
ダメージを与えている。
年 8 月には中間とりまとめ d)を発表している。中心
このように、1MB 弱のマルウェア作成は横断的に
の話題は標的型攻撃と制御系セキュリティである。こ
集められたエンジニアが十分な資金と時間をかけて
こでは、後者に話を絞って紹介していく。
作成した可能性が高い。たぶん、実際の動作を確認す
この中間とりまとめを受ける形で 2011 年 10 月末に
るためのテストベッドも所有していたと思われる。
第 1 図に示す制御系セキュリティ TF が設置された e)。
同年 11 月には震災対策の第二次補正予算として制御
３.福島第一原子力発電所
系セキュリティ事業で使用するテストベッド予算約
2011 年 3 月 11 日の東日本大震災は地震と津波で東
２０億円が国会で承認された。
日本の太平洋岸を破壊した。そして、福島第一原発は
セキュリティ TF の使命の一つは、この補正予算を
全電源を失い冷却機能が停止した。さらに、水素爆発
発注するための発注仕様書の設計である。いわば、テ
を起こした。これは「想定外」と言われている。
ストベッドの概念設計である。この役割をテストベッ
もっとも、第一原発から 10Km ほど南に位置する第二
ド WG が担当した。もう一つの使命は、このテストベ
原発は想定外の地震と津波に見舞われながら安定を
ッドを中心とした制御系セキュリティ体制の構築で
保っている。後にできた第二では、冷却水を吸い上げ
ある。標準化、評価認証、インシデントハンドリング、
るポンプに囲いがしてあるとともに、非常用発電機は
普及啓発、人材育成の各 WG がテストベッド WG と連携
原子炉建屋移されている c)。第一では、ポンプが裸
して体制案やセキュリティ強化へのロードマップを
のままである。そして、発電機も水密性が劣るタービ
作製した。そして、各 WG 間の調整をステアリングコ
ン建屋に設置されている。
ミティーが担った。
第一と第二を比べると、第二ではより安全サイドに
この TF の成果は二つである。その一つとして、概念
設計が変更されている。第一にも、このような変更が
設計をベースとした補正予算仕様の公募を 2012 年 1
なされていれば、現在のような困難な状況になってい
月に行った。もう一つは、各 WG からの報告書であり、
なかったかもしれない。
これは順次、経済産業省の HP で公開されていく予定
である。
図 1 制御系セキュリティ TF の構成
June 2012
3
ISA-Japan Section Newsletter Vol.16 No.39
さらに、稼働状態のコントローラを更新させていく
５.制御系セキュリティセンター
ために、二重化コントローラを片方ずつ更新する仕組
このような国の動きに対し、stuxnet に対する民間
みを構築していきたい。
の動きは鈍かった。2011 年の JPCERT/CC 主催の制御
系セキュリティコンファレンスで stuxnet の詳細が
もちろん、制御系セキュリティは研究だけでは解決
公開されたにも関わらず、活動は活発とはいえなかっ
できない。先の TF の審議結果に基づき、他の組織と
た。その中でも、JPCERT/CC は早くから制御系の危険
連携していく予定である。国際標準化については、国
性に警笛をならしてきた。同様に、計測自動制御学会
内の審議団体である JEMIMA と連携。インシデントハ
産業応用部門の産業用ネットワーク部会や汎用の制
ンドリングは JPCERT/CC、認証については IPA と連携
御系セキュリティの標準化を進めている IEC TC65 の
してくことを前提にしている。普及啓発や人材育成に
国内審議団体である JEMIMA も制御系セキュリティの
ついては、ユーザやベンダーの各種工業会との連携を
研究・啓蒙を行っていた。
模索していきたい。合わせて、計測自動制御学会など
の学会とも連携していく予定である。
このような背景の下、国の動きに合わせて産業総合
研究所の協力の下、制御系セキュリティセンターとい
以上の連携を通して、制御系セキュリティを向上さ
う名称の技術研究組合が 2012 年 2 月に結成された。
せていくという使命と、制御系セキュリティに関する
これに合わせて、先の補正予算の公募に応募し、同年
標準化・認証体制の構築という使命を果たしていきた
3 月末に発注を受けた f)。
いと考えている。もちろん、ISA-J、ISA とも連携が
必須なので、ご協力をお願いしたい。
センターは短期間で設立されたために、当初の組合
員は少数である．しかし、制御系が重要インフラに限
らず、工場、交通、通信、自動車、家電など多岐に渡
参考文献
っている現実を踏まえて、関係するユーザ企業、ベン
a)朝日新聞、2011 年 11 月 16 日朝刊
ダー企業、工業会と連携しながら拡大していく予定で
b) http://www.vec-member.com/salon/111/salon111.htm
ある。
c) 朝日新聞、2011 年 4 月 6 日朝刊
d)http://www.meti.go.jp/committee/kenkyukai/sho
当面の活動は、経産省の受託を受けたテストベッド
ujo/cyber_security/report01.html
構築である。在、仙台市に近い多賀城の工場跡地に本
e)http://www.meti.go.jp/committee/kenkyukai/k_8
体を設置する予定である。この本体と産業総合研究所
.html
の筑波地区、お台場地区、関西地区を有機的に結び、
f)http://www.meti.go.jp/information/data/c12031
制御系セキュリティを向上させていく研究活動を始
9bj.html
める予定である。
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
著者略歴：新 誠一：1980
年東京大学大学院工学系研
究科修士課程修了。1987 年
工学博士(東京大学)。大学工
学部助手、筑波大学電子・情
報工学系助教授．東京大学大
学院情報理工学系研究科助
教授などを経て、2006 年よ
り電気通信大学教授．技術研究組合制御システムセキ
ュリティセンター理事長．計測自動制御学会副会長、
フェロー．製造科学技術センター評議員。
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
活動の始めは、容易に取り組める所から行いたい。
具体的には情報系で確立されているセキュリティ技
術の制御系への導入である。ファイヤーウォール、DMZ
の導入、ネットワークのブロック化に加えてエンジニ
アリングツールや制御機器のサービスポートの脆弱
性の調査と対策を行いたい。加えて、フェイルセーフ
機能のセキュリティ強化を図りたい。
また、リアルタイム OS を仮想環境で動かすことで、
情報系でいうサンドボックス化は必須だと考えてい
る。これによる侵入検知、検疫、フォレンジック、除
去などを行えるようにしていきたい。
June 2012
4
ISA-Japan Section Newsletter Vol.16 No.39
技術報告
ISA-99 と ISA Secure の概要
Summary of ISA-99 and ISA Secure
三菱電機株式会社/ISA-J 神余
浩夫
Mitsubishi Electric Corp./ISA-J
１.はじめに
Stuxnet 以降、産業システムのセキュリティリスク
への対策が注目されるようになった。ISA は 10 年前
から産業システムのセキュリティに関する標準化活
図 1.ISA-99 ドキュメント体系
動を進めている。ISA-99 委員会が標準規格としての
ISA-99(IEC/ISA-62443)シリーズを作成している。ま
ANSI/ISA-99.01.01-2007
た、ISA は、制御システムのセキュリティ関連製品の
“Security
for
試 験 お よ び 認 証 を 行 う ISCI(ISA Security
Industrial Automation and Control Systems – Part
Compliance Institute)と認証制度 ISASecure を立ち
1: Terminology, Concepts and models”は、ISA-99
上げた。本発表では、これらの ISA-99 の活動につい
シリーズの最初の標準であり、使用する用語と概念的
て報告する。
基礎の確立を目的とする。
ISA-99.01.01 は、プラント設備を保有するオーナ
ーが設備のセキュリティリスクを分析し対策を講じ
２.ISA-99 委員会
ISA-99 委員会は、ANSI/ISA-99 シリーズ「産業シス
る。一方、攻撃者は設備に対する攻撃を行う。安全設
テムのセキュリティ」の作成、発行を行っている。現
計と異なり、セキュリティでは攻撃手法が技術的に進
在、ユーザ/機器メーカー/政府機関など 200 社超から
歩するので、オーナー側の対策も攻撃にあわせて進歩
260 余名(日本からは 11 名)が参加している。ISA99
させる必要がある。例えば、Windows を使用していれ
は、フィールド機器による安全システムと、ISO17799
ば、その脆弱性対策を講じる必要がある。
等の IT セキュリティの間、工場/プラントのフィール
プラント/工場システムのうち、特に SCADA、コン
ドエリアを主な対象とする。セキュリティ技術は、他
トローラ、各種サーバを含むフィールドエリアを保護
の標準規格(ISA-84 安全、ISA-100 無線通信など)およ
対象とする点が特徴的である。このゾーンに対する出
び 、 IEC や MSMUG(Microsoft Manufacturing User
入り口モデルにより、外部からのアクセス経路とアク
Group)などと連携して標準化作業を行っている。
セス対象の保護を検討する。ゾーン分離例を図 2 に示
す。
ISA-99 シリーズは 11 種類のドラフトを含み、うち
2
件 が 発 行 済 み で あ る (ISA-99.01.01 、
３.ISCI
ISA-TR99.03.01)。各ドキュメントは、それぞれワー
キンググループにより議論およびドラフト作成され
ISA Secure Compliance Institute(ISCI)は、ISA
ている。かつては、ISA-99.xx.xx の規格番号であっ
の下に設立された制御システム製品の試験と認証を
たが、IEC との共通化のため ISA-62443.xx.xx の番号
行う機関である。ISA99関連企業および関連機関がメ
に切り替える。ISA-99 のドキュメント体系を図 1 に
ンバーになっている。
示す。
June 2012
5
ISA-Japan Section Newsletter Vol.16 No.39
Enterprise Zone
Laptop computer
Workstation
Mainframe
Plant A Zone
Server
Plant B Zone
Plant C Zone
Router
Laptop computer Workstation
File/Print
Server
App.
Server
Router
Laptop computer Workstation
Data
Server
File/Print
Server
Plant A Control Zone
App.
Server
Data
Server
Maint.
Server
Router
Laptop computer Workstation
Data
Server
File/Print
Server
Plant B Control Zone
Firewall
App.
Server
Server
App.
Server
Data
Server
Plant C Control Zone
Firewall
App.
Server
Data
Server
Maint.
Server
Firewall
App.
Server
Data
Server
Maint.
Server
Controller
Controller
Controller
Controller
Controller
Controller
I/O
I/O
I/O
I/O
I/O
I/O
図 2.ISA-99.01.01 のゾーン分離例
制御システムのセキュリティ機能は多岐に及ぶた
定中である。SDSAはソフトウェア開発プロセスにおい
め、調達において要求項目をまとめることが高度に技
てセキュリティ脆弱性が発生しないための要求であ
術的となる。従って、ISCIは調達におけるセキュリテ
る。SDSAは、IEC61508やISO/IEC15408の要求を流用し、
ィ機能基準と基準に合格した製品である証明を一本
開発ライフサイクル全体に対して適用される。EDSA
化することを目的とする。このロゴがISASecureであ
の認証スキーマの構成図を図3に示す。
る。現在発行されている試験基準はEDSA(Embedded
Device Security Assurance)であり、2製品が認証済
４.Security Assurance Level (SAL)
みである。
EDSAの認証スキーマは、CRT(Communication
セキュリティ対策において、その脆弱性がどの程度
Robustness Test)、FSA(Functional Security
の被害に及ぶかを分析しなければ、技術的に妥当な対
Assessment)およびSDSA(Software Development
策にはなりえない。安全システムでは、リスクアセス
Security Assessment)の3つから構成される。CRTはネ
メントに基づくSIL(Safety Integrity Level)という
ットワークの低階層における通信堅牢性である。一般
指標があり、セキュリティにおいても同様の指標とし
的なEthernetに関する試験仕様は完成しており、各種
てSALが提案された。SAL1~4はSIL1~4とほぼ同等の被
フィールドバスに対する試験仕様を開発中である。
害規模になっている。産業システムのセキュリティ脅
FSAはデバイスに要求されるセキュリティ機能であり、
威に対する対策立案において、安全性を前提とするの
デバイス種類により異なる。ISA-62443.01.03にて策
は妥当だろう。SALの概要を図4に示す。より高レベル
June 2012
6
ISA-Japan Section Newsletter Vol.16 No.39
図3.EDSA認証スキーマ構成図
ISA-84(Safety)との連携ワーキン
ググループが、SALに関する標準策
定を進める予定である。
５.おわりに
Stuxnet以降、産業システムのセ
キュリティ対策は急務となり、
ISA-99標準およびISCIの役割はよ
り重要となった。日本でも経産省を
中心に対策を急いでいるが、技術的
および制度的にISA-99を参照する
ことが多いだろう。ISA-Jは、この
技術分野の動向について情報発信していきたい。
図4.SALの概要
のSALには、冗長性やアクセス制御などより多くの防
参考URL
護が必要になる。
(1) ISA99 Committee,
http://isa99.isa.org/ISA99%20Wiki/Home.as
SALに基づくセキュリティ対策プロセスは、脅威分
析から始まり目標SALを設定し対策検討とその検証を
px
繰り返す。これは安全システムのプロセスと類似して
(2) ISASecure (ISCI),
おり、将来的には安全とセキュリティの統合が進むだ
http://www.isasecure.org/
ろう。
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
June 2012
7
ISA-Japan Section Newsletter Vol.16 No.39
２.制御システムの主なセキュリティ・インシデント
技術報告
事例
制御システムの
2000 年 3 月前後に発生した、解雇した社員による
セキュリティ・インシデントと対策
豪州 Maroochy 社の汚水処理システムへの侵入事件は、
Security Incidents and Countermeasures
古典的な事故事例である。裁判記録を通じて詳細が明
on Industrial Control System
らかになっており、無線 LAN 経由で制御システムの不
正操作が約 3 ヶ月間繰り返され、大量の処理前の汚水
が流出して環境被害を発生させた。この事例では、シ
一般社団法人 JPCERT コーディネーションセンター
ステムの不正動作がサイバー攻撃によるものと判断
宮 地 利 雄
するまでに時間を要し、事件を長引かせた。
JPCERT Coordination Center
Toshio MIYACHI
2003 年前後には、オフィス用や家庭用 PC をネット
ワーク経由で短時間に大量に感染させるコンピュー
１.はじめに
タ・ウィルスが頻繁に出現した。同年 8 月には、米国
21 世紀が始まる頃までは「制御システムはサイバ
オハイオ州の原子力発電所の監視システムに
ー攻撃とは無縁」と言われていた。限られた専門家し
Slammer と呼ばれるものが侵入し、数時間にわたって
か知らない特殊技術に基づいて、ベンダーごとに異な
システムが停止し、運転中の原子炉が安全監視のない
るハードウェアとソフトウェアで構成され、他のネッ
状態におかれた。
トワークから切り離して運用されていたためだ。オフ
こうした事例があっても根強く横っていた「制御シ
ィス用のコンピュータの世界では、さらに 10 年度遡
ステムはサイバー攻撃とは無縁」の固定観念を吹き飛
る 1990 年前後から、UNIX などの汎用 OS とインター
ばし、制御システムのセキュリティに対する関心を高
ネットの普及と歩調を合わせるように、ネットワーク
める契機となったマルウェアが次章で述べる
経由でのコンピュータへの侵入や改ざんあるいはコ
Stuxnet であった。
ンピュータ・ウィルスの流行が目立つようになり始め
ていた。今日までの十数年の間に、オフィス用コンピ
３.Stuxnet がさらけ出した制御システムの課題
ュータの世界の変化を追うように、制御システムの世
Stuxnet は 2010 年の 6 月にベラルーシの情報セキ
界でもまた高機能化と低価格化の双方を実現すべく、
ュリティ関連企業により発見された。日々報告される
Windows や Linux のような汎用 OS を採用し、イーサ
多数の新種のマルウェアの中に埋もれて、当初は注目
ネット上の TCP/IP で代表される汎用のネットワーク
されることもなかったが、初報から約 1 か月が経過し
技術を広く採用するようになった。さらに、情報開示
て以降、詳細分析の報告やニュース報道など次々と驚
や経営効率化の要請を実現するために、制御システム
くべき発表がなされた。
内の情報を他の情報システムに受け渡す必要が高ま
もっとも世界を驚かせたことは、特定の構成の制御
って、制御システムと他のシステムとの相互接続も珍
システムだけをシャープに狙った標的型のマルウェ
しくなくなった。こうした変化を直視して、制御シス
アであった点である。これまでも制御システムが、オ
テムをサイバー攻撃に耐えられる堅牢なものに強化
フィスや家庭用 PC を狙うマルウェアに感染して、正
することが喫緊の課題となっている。
常な動作が阻害される事例がしばしば聞かれたが、そ
本稿では、制御システムに関するセキュリティ事故
れらは言わば流れ弾による被害であった。「制御シス
(インシデント)事例を紹介するとともに、それらに対
テムを本気でサイバー攻撃の標的とする者などいな
する対策について述べる。
い」との従来の固定観念が Stuxnet により打ち砕かれ
たのである。
June 2012
8
ISA-Japan Section Newsletter Vol.16 No.39
標的とされた制御システムは、イランのナタンツに
ーネットとは直接的も間接的にも接続していないの
ある核燃料の濃縮施設であり、その正常な運用を阻む
でサイバー攻撃とは無縁だと、特殊なシステム厚生で
ために Stuxnet が送り込まれたと信じられている。実
あり外部の攻撃者が攻撃の手掛かりを得ることなど
際 に 、 イ ラ ン 政 府 や 国 際 原 子 力 機 関 (IAEA:
ありえないとか、マルウェア感染については事前対策
International Atomic Energy Agency)などの発表か
を講ずるよりも異常が見つかった時に対処する方が
ら、同施設の遠心分離器のローターが大量に故障して
無駄なコストをかけずにすむ、等々の固定観念を抱い
使えなくなっていたことも判明している。
てきた。Stuxnet の事例は、挙動の詳細を調べれば調
Stuxnet は、Windows システムが稼働するコンピュ
べるほど、そうした固定観念を打ち砕き、制御システ
ータ上で動作するマルウェアである。最初の報告時点
ムのセキュリティ課題の深刻さを白日の下にさらけ
では、一般には知られていなかった 4 件の脆弱性を悪
出した。
用した複数の感染経路を用意するなどして、強い感染
さらに、これまで制御システムに関心を寄せてこな
力を帯びていた。日本国内の感染事例はきわめて限定
かったセキュリティ研究者も、セキュリティ研究の対
的だったが、米国の電力会社の半数近くで、社内にお
象として制御システムに注目するようになった。これ
ける感染事例が見られた。
により、制御システムを構成する製品に存在する脆弱
標的とする構成をもつ制御用ソフトウェアがない
性が次々と報告されている。報告件数は 56 件だった
環境では、Stuxnet は他のコンピュータへ感染を拡大
2010 年から、2011 年には 215 件に急増し、その後も
するのみで、感染したコンピュータに影響を及ぼすこ
同様の傾向が続いている。発見される脆弱性の多くは、
となく潜在し、一定の時間が経過後に動作を停止する。
クロス・サイト・スクリプティング攻撃に屈するウェ
標的とする制御用 HMI のソフトウェアを見つけると、
ブ・アプリケーションや各種のバッファ・オーバーフ
認証の弱さを悪用してログインし、乗っ取りをはかり、
ローのようなプログラミング上の初歩的なミスに起
制御している装置の異常検知センターの警報信号を
因するものや、認証や権限管理の不備のような設計上
止めるとともに、ローターの回転数を異常に変化させ
のミスに起因するものが多くを占め、制御システム用
ることを頻繁に繰り返す勝手なコードを、配下の PLC
製品の開発ベンダーにおけるセキュリティ対策の立
のラダー・ロジックに書き加えるとともに、HMI ソフ
ち遅れを示している。
トウェア中の PLC との通信モジュールの一部を置き
４.制御システムにおけるセキュリティ対策
換えることによって、そうした PLC 上の書換えを操作
画面からは見ることができないようにしてしまう。こ
セキュリティ対策に「魔法」はない。悪意を抱く者
のようにして、操作員が気付くこともなく、異常な運
どもは、人間組織を含めたシステムの弱点を探し回り、
用が続くこととなる。イランの核施設では 1 年以上の
そこを突いた攻撃を試みる。攻撃への耐性を高めるた
長期にわたって Stuxnet が操業を攪乱したと推定さ
めには、自らの弱点を体系的に洗い出し、そのすべて
れている。
に対して悪用を許さないような対策を施す、城門の石
オフィス用 PC から制御システムへの感染にあたっ
垣を築くような努力と投資が必要である。
て、USB メモリを経路とし、Windows の脆弱性が悪用
４.１ 製品ベンダーにおける脆弱性対策
したことも、巧妙だったと言えよう。ファイアウォー
これまでは、制御システム用の製品の開発において、
ルあるいは完全な隔離により手堅く制御システムが
サイバー攻撃に対する耐性を確保あるいは高めるた
守っている場合にも、設定情報の導入やログ情報の採
めの検討が充分にはなされていなかった。そのため、
取などの保守運用作業などのために USB メモリの利
多数の初歩的な脆弱性が作り込まれていることが、こ
用は広くなされているからである。
れまでに公表された脆弱性の事例から推測される。
それまでは、制御システム関係者の多くが、インタ
June 2012
製品の設計・開発者に対するセキュリティについて
9
ISA-Japan Section Newsletter Vol.16 No.39
じておくべきである。
再教育を実施するとともに、開発プロセスの中に、セ
キュリティの観点からのレビューや試験を組み込ん
的確に異常を察知するためには、正常時の状態を掌
でおく必要がある。また、製品利用者やセキュリティ
握できていなければならい。また、ハードウェア障害
研究者から脆弱性が見つかった場合の製品ベンダー
と扱われたものについても、原因が究明できなかった
としての対応についても、体制と手順を明確にし、外
ものについては、その情報を管理して、サイバー攻撃
部にも公表しておくことが望まれる。脆弱性情報や脆
による被害を見逃さないよう努めたい。
弱性の攻撃コードを公開でもしないと、製品ベンダー
５.まとめ
が脆弱性を放置しかねないとの義憤から、製品利用者
に実態を伝えようとなされているケースも少なくな
制御システムのセキュリティ対策は、米国では国土
a)
いからである。
保安省が中心になって数年前から着手されており
４.２ 利用者側における脆弱性対策
わが国でも経済産業省が 2011 年度のタスクフォース
、
b)
デフォールトのアカウントの放置など、システム構
における検討をベースに、2012 年以降に施策を本格
築時に脆弱性を作り込まない注意に加えて、コンポー
化している。同省の委託を受けた JPCERT/CC も情報提
ネントとして組み込まれている製品の脆弱性につい
供を行ってきている c)。
ても情報を収集し、パッチなどの対策の適用時期の判
標準化団体においても、制御システムのセキュリテ
断を含む「パッチ管理」を実施することが望ましい。
ィ標準 IEC (ANSI/ISA) 62443 シリーズの策定が進め
また、汎用製品を利用する場合には、不要な機能を
られているほか、制御システム用のプロトコルについ
利用できたいよう設定しておくことも重要だ。
てもセキュリティ機能の追加や強化が進み始めてい
４.３ 防御を固める
る。また、制御システム用製品を対象とする、標準に
操作者の本人性と操作権限を確認するアクセス制
基づいたセキュリティ認定も発行され始めた。
御や、ネットワーク全体を外部の脅威から守るファイ
さらに、制御システム・ベンダーにおいても、利用
アウォールなど、制御システムを攻撃から守るための
者への適切な情報開示と新たな事業機会の双方の観
基本的な仕組みを用意する必要がある。
点から、セキュリティ情報の提供が一部で始まった。
また、施設内のネットワークを、フラットな構造と
とは言え、こうした諸施策の効果が顕在化するまで
せず、適切なサブネットワークに分離し、必要に応じ
には、なお相当の時間を要すると見込まれる。それま
てサブネットワーク間の通信を必要最小限に制限す
での間は、制御システム・ベンダーと利用者が協力し
ることにより、攻撃を受けた際の影響範囲が広がりに
つつ、可能な対策を組み合わせて乗り切っていくこと
くくしておきたい。この考え方はゾーニングとも呼ば
が期待されている。
れている。
参考文献
a) DHS: Control Systems Security Program,
http://www.us-cert.gov/control_systems/
b) 制御システムセキュリティ検討タスクフォース,
http://www.meti.go.jp/committee/kenkyukai/mon
o_info_service.html
c) JPCERT/CC, https://www.jpcert.or.jp/ics/
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
著者略歴：宮地利雄 東京工業大学情報工学科、日本
電気株式会社を経て、2007 年より一般社団法人
JPCERT コーディネーションセンター理事。工学博
士。
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
USB メモリや保守用 PC のような制御システムに持
ち込んで利用される機器や、常時は利用されないエン
ジニアリング環境や遠隔保守環境のセキュリティ管
理も忘れてはならない。
４.４ 侵入などの異常を早期に検知する
システム・ログの定期監視や、システム的に許され
る場合には侵入検知システム(IDS)を導入するなどの
方法により、万一システムへの攻撃や侵入があった場
合に、それを見逃すことなく早期に察知する方策を講
June 2012
10
ISA-Japan Section Newsletter Vol.16 No.39
2012 年
The 2012 proposed tracks are as follows:
• Operational Excellence Tracks •Control
Performance
• Asset Performance
• Human Performance
• Safety/Environmental
• Technology Excellence Tracks •Wireless
• Security
ISA 会告
Conferences and Exhibits
○ISA Automation Week 2012
24-27 September 2012
Orange County Convention Center,
West Concourse
Orlando, Florida USA
Technical Program
ISA Automation Week provides you with the
opportunity to get the best unbiased knowledge
available to help you in your job and your future
regardless of where you are in your automation career.
Pathfinder
Attending sessions targeted to your job function or
career path will further develop your professional skills.
Using the PathFinder tool to create a unique
combination of sessions covering topics across all
technical tracks, you’ll get a comprehensive look at
your profession across several disciplines.
The quality of the technical program is ISA’s top
priority and serves as the cornerstone of the event. This
world-class conference will cover the latest and hottest
topics in automation and control across several
technical tracks. Each track will offer in-depth
sessions—ranging from basic to advanced—with
information critical to several identified automation
and control career paths.
Follow the Pathfinder across the ISA Automation
Week 2012 technical program using one or more of the
five career paths:
•Engineer
•Technician
•Management
•Academia/R&D/Scientist
•Marketing
2012 Track Chairs
Control Performance: George Buckbee, ExperTune
Asset Performance: John Mitchell
Human Performance: Maurice Wilkins, Yokogawa
Safety/Environmental Performance: Paul Studebaker,
Putman Media
Security Technology: Graham Speake, Yokogawa
Wireless Technology: Brad Carlberg, Invensys
Poster Sessions: Mitchell Sepaugh, Cleveland
Community College
○2012 ISA Water/Wastewater and Automatic
Control Symposium
7-9 August 2012
Holiday Inn Castle Resort
Orland, Florida USA
Presented by the Water and Wastewater Division
of ISA, the WWAC Symposium helps
professionals in the water and wastewater industry
understand how automatic control applications
affect processing and distribution of water
treatment and provide an outstanding opportunity
to gain valuable technical information and
training.
•2 full days of speakers/presentations
•Track 1 – Instrumentation, System Integration,
Automation, Plant Case Studies, New
Technologies, Optimization
•Track 2 – SCADA, HMI, Human Factors,
Alarm Management
•1 full day ISA Training Course
To enhance your experience at this knowledge-packed
technical conference and to get every possible benefit
from the event, it is recommended that you choose
from one of these two options:
Technical Tracks
Following a single technical track option will help you
gain an in-depth appreciation of the subject area
through comprehensive presentations and tutorials on
that particular topic.
June 2012
11
ISA-Japan Section Newsletter Vol.16 No.39
•Plant Tour of a local Water/Wastewater Facility
•Trade Show, Reception & Networking Event
•Affordable Professional Development for Plant
Operations/Maintenance Staff, Plant Managers,
Plant Designers, Engineers, System Integrators
•CEUs – Continuing Education Units
•PDHs – Professional Development Hours
本 号 目 次
支部役員巻頭言（英・和）
(副支部長・神余 浩夫）
―――１
技術報告
制御システムのセキュリティ動向
（電気通信大・新 誠一） ―――２
技術報告
ISA-99 と ISA Secure の概要
（三菱電機・神余 浩夫） ―――５
Symposium Location, Size and Target Audience
The WWAC Symposium is a “niche symposium”
that caters specifically to the needs of automation
professionals, technicians and engineers in the
water/wastewater sector.
The event has a
traditional attendance of 75-100 attendees, and
attendees come from across the USA, Canada and
Mexico. The symposium is held in Orlando
because the area traditionally has water/wastewater
challenges, hotels are plentiful and inexpensive, and
there are many airline flight options to the Orlando
area. Also, with Walt Disney World right next
door the Orlando location provides attendees an
opportunity to bring their families along for the trip.
The symposium organizing committee sees value in
our “niche format” because it allows for a very
focused, worthwhile event where all the participants
get a chance to get to know each other.
技術報告
制御システムのセキュリティ・インシデ
ントと対策
（JPCERT・宮地 利男） ―――８
ISA 会告
―――１１
ISA 役員連絡先
―――１２
2012
事務局（会報担当） 小川和彦
大阪産業大学工学部交通機械工学科
TEL:072-875-3001 (Ext:7535)
FAX:072-871-1289
e-mail: [email protected]
事務局（Web 担当） 小野寺 薫
横河電機株式会社 IA ﾏｰｹﾃｨﾝｸﾞｾﾝﾀｰ
ﾃｸﾉﾛｼﾞｰﾏｰｹﾃｨﾝｸﾞ Gr/
TEL：0422-52-5519 FAX：0422-52-5772
e-mail:[email protected]
支部役員連絡先
事務局（会員担当） 南雲 睦
富士電機ホールディングス株式会社
経営企画本部 経営企画室
TEL: 03-5435-7205 FAX: 03-5435-7485
mail：nagumo-mutsumi@ fujielectric.co.jp
支部長 出町公二
横河電機株式会社
IA 事業部ﾏｰｹﾃｨﾝｸﾞｾﾝﾀｰ ﾃｸﾉﾛｼﾞｰ MKGr
TEL：0422-52-5519 FAX：0422-52-7048
e-mail：[email protected]
副支部長 神余浩夫
三菱電機株式会社名古屋製作所 FA ｼｽﾃﾑ部
TEL:052-712-2348 FAX:052-712-2391
e-mail：Kanamaru.Hiroo@
db.MitsubishiElectric.co.jp
ISA 日本支部ニューズレター
会計担当 西村啓典
三菱電機株式会社 FA システム事業本部
TEL: 03-3218-6149 FAX: 03-3218-6819
e-mail: Nishimura.Keisuke@
dc.MitsubishiElectric.co.jp
ISA Japan Section
Newsletter,Vol.16,No.39
2012 年 6 月 30 日発行/ June 30, 2012
事務局（企画担当） 三宅 豊
株式会社ノーケン 海外事業本部
TEL:06-6386-8427 FAX:06-6386-6195
e-mail: [email protected]
June 2012
http://www.venus.dti.ne.jp/~isaj
E-mail: [email protected]
12
ISA-Japan Section Newsletter Vol.16 No.39