サイト内の現在位置

ICSの特性と脅威対策 ~つながる社会のセキュリティ対策~

NECセキュリティブログ

2020年5月29日

NECサイバーセキュリティ戦略本部セキュリティ技術センターの日下部です。
当センターに配属される前はインフラ系の制御システムにおけるSCADA(Supervisory Control And Data Acquisition)の設計開発業務を行ってきました。また、IPA産業サイバーセキュリティセンター(ICSCoE : Industrial Cyber Security Center of Excellence)主催の1年間のセキュリティトレーニングである中核人材育成プログラム new window[1]に参加しました。
今回は上記の経験を踏まえて産業制御システム(ICS : Industrial Control System)にどのような特性があるか、どのようなセキュリティ対策があるか一例をご紹介致します。

ICSの特性

ICSにおいて、一般的に可用性やリアルタイム性が重視されると言われています。エネルギー分野や交通網などの重要インフラの運用を支えるICSでは、システム停止は社会インフラ機能の停止に直ちに繋がるため、ほとんどの場合において許容されていません。故障やメンテナンスによる停止に備えて、重要な機器は冗長化するなどして可用性を高めています。また、現場で発生した異常を速やかに監視センター内の監視員に通知したり、機器の制御を遠隔で瞬時に行えるようにするなどのリアルタイム性も求められています。
ICSのセキュリティについて、ITシステムと比べると対策が進んでいないと言われていますが、理由の一つとしてこのような可用性やリアルタイム性が求められることがあるのではないでしょうか。リアルタイム性に焦点を当てて次に考えてみます。

ICSに求められるリアルタイム性

ICSには具体的にどういったリアルタイム性が求められるのでしょうか。東京都水道局が公開する機械・電気設備工事標準仕様書 new window[2]の中に具体的に求める指標について記載がありましたので引用したいと思います。仕様書のP4-51 「4.6.3.2 (2) 監視画面表示切替時間」では監視制御システム(ICS)に下記のようなことを求めています。

  • 操作応答時間(操作指令により機器の応答が表示されるまでの時間)は、起動シーケンス時間を除き 3 秒程度とする。ただし、監視制御システムの構築上、通信速度等の機能的な制約により通信に一定の時間を要する場合は、監督員との協議による。

操作応答時間というのは操作卓上から制御を実施し、制御対象の機器へ制御指令が届き、「制御しました」という応答が操作卓上まで戻る時間のことを指します。(注1) この仕様書では制御操作を3秒以内に完了されることが求められていますが、操作卓から制御対象の機器までどのような機器構成になっているのでしょうか。水処理システムを例に下記に示してみます。なお、操作卓から制御対象の機器までの経路にある各種スイッチやメディアコンバータ等はここでは省略します。

  • (注1)
    制御対象の機器が応答を返さないような仕様の場合は、経路上のPLCが応答を返すなどの例外はあります。

図に記載の機器の説明を下記に示します。

機器名 説明
操作卓 操作員が操作する装置で、遠隔にある機器の監視や制御を行う
データベース装置 日々の操作記録や運転状況を蓄積するデータベース
制御サーバ PLC(Programmable Logic Controller)から収集するセンサ値を工学値に変換する演算を行ったり、PLCへの制御シーケンスを管理する装置
マスタPLC 遠隔地にあるスレーブPLCと通信を行い、センサ値の収集や制御指令の送信を行う
スレーブPLC 制御機器への制御出力や、センサ値の収集を行う
制御機器 ポンプや電動バルブなどの制御対象となる機器

ここで操作卓から制御を実施し、制御対象の機器から応答を受信して操作卓で確認できるようになるまでどのような処理があるのか図に追記していきます。

  • 制御サーバへ制御指令を送信する処理時間
  • 操作卓から制御指令を受信し、マスタPLCへ制御指令を送信する処理時間
  • 制御サーバからの制御指令を受信し、スレーブPLCへ制御指令を送信する処理時間
  • マスタPLCからの制御指令を受信し、制御機器へ制御出力するまでの処理時間
  • 制御機器からの応答/応動を確認する処理時間
  • スレーブPLCからの制御応答を収集する処理時間
  • マスタPLCからの制御応答を収集し、操作卓へ送信する処理時間
  • 制御サーバから制御応答を受信し、画面に表示するまでの処理時間

① + ② + ③ + ④ + ⑤ + ⑥ + ⑦ + ⑧ ≦ 3秒

仕様書の要求を満たすにはこれらの処理を全て3秒以内に完了させる必要があります。なお、通信速度による遅延はここでは無視します。

おそらく一つ一つは数ミリ秒から多くても数百ミリ秒の小さな処理時間です。ですがそれぞれの処理時間が最大になった場合の合計時間も考慮する必要があります。最大処理時間を考慮した場合、要求仕様ぎりぎりの応答時間になってしまうようなシステムもあるでしょう。ここにセキュリティ製品を導入することを検討した場合、発生するレイテンシが許容されない場合があると考えます。ICSで制御や監視の時間が遅延することは、設備やシステムに損害を発生させたり、場合によっては人命に影響を及ぼすことがあるため、厳密なリアルタイム性が求められます。

工場の例でも考えてみます。1日あたり1000個の製品生産能力を持つ工場で、セキュリティ製品を導入したが故に生産スピードが低下し、1日あたり950個の製品生産能力に低下した場合、企業はこれを許容するでしょうか。品質向上などの付加価値があれば許容される可能性はありますが、セキュリティ対策によって製品の付加価値を向上させることは難しく、対策の導入は後ろ向きです。

ICSは10年~20年の長いライフサイクルで使用されます。そのため、なかなかシステム更新に至らない現状があり、更新のタイミングでセキュリティを見直すということでは対策があまりにも遅くなってしまいます。

近年ではセキュリティ・バイ・デザインという考え方が台頭しており、あらかじめシステムライフサイクルの要件定義の段階からセキュリティを組み込むことによって、こうしたリアルタイム性の要求仕様を満たすことができるようになると考えます。

ICSを脅威から守るためには

まずはサイバー攻撃をリスクの高い箇所について重点的に対策すべきと考えます。これは一般的なITシステムと同じです。サイバー攻撃のリスクが高い箇所の一つとして、ICSとITシステムの境界点があると考えます。企業のITシステムはほとんどの場合インターネットに接続されており、サイバー攻撃の脅威はインターネット上からも受ける可能性が高いためです。もしITシステムにマルウェア感染や不正侵入が発生した場合、ICSネットワーク内にも脅威が及ぶ可能性があります。

ICSとITシステムの境界をファイアウォールで守るという対策はもちろん有効ですが、ICSに使用される産業制御プロトコルは様々なものが使用されており、フィルタリングルールを適切に施さないと脅威に晒される恐れがあります。
一つの有効な手段としてエッジコンピューティングの概念を取り入れる方法があります。エッジコンピューティングは処理を現場に近い場所で行い、必要なデータのみクラウドシステムへ送信することにより、インターネットの通信帯域低減とクラウドシステムの負荷低減を実現する技術です。境界面にエッジコンピューティングを実施する装置(ここではエッジゲートウェイ装置と呼称します。)を導入することによって、下記のような効果が期待できます。

  • ファイアウォールのフィルタリングルールが容易になる(様々な産業制御プロトコルを一元的にまとめ、一般的な通信プロトコルに変換して外部へ送信するため)
  • エッジゲートウェイ装置から必要なデータのみ外部へ送信することで、ICS内の不用意なデータ流出を防ぐ
  • 脆弱性を狙った攻撃を低減(インターネットやITシステム側からICS側の装置と直接通信を行わないため)

なお、もちろんですがエッジゲートウェイ装置が脆弱性を持たないよう、セキュアに構築することが求められます。

日本が提唱するSociety5.0 new window[3]では、データ同士が繋がることで新たな価値が生まれると言われています。Society5.0時代では工場などで計測されたデータを有効活用するため、インターネットを通してクラウドシステムに送信する必要があり、セキュリティの観点からもエッジコンピューティングの考え方は導入されていくと考えられます。
エッジコンピューティングは一例ですが、ICSに求められる可用性やリアルタイム性を損なうことなく、脅威から守る手段は用意されています。

ICSCoEで学んだICSセキュリティ

前述しましたが1年ほど前にICSCoEの中核人材育成プログラムに参加してきました。このトレーニングでは企業に求めるセキュリティ対策を学ぶため、セキュリティに関する基礎的な内容のトレーニングから高度なペネトレーション手法やリスクマネジメント手法など様々な分野のカリキュラムを学ぶことができます。受講者も様々な企業から参加しており、ベンダやユーザ企業などの枠を超えて1年間という長い期間実施するトレーニングはなかなかないのではないでしょうか。
私はこのトレーニングを受ける前まではICSへのセキュリティ対策は敬遠される傾向にあると考えていましたが、ICSに関する各種レギュレーションやインシデント事例を学び、様々な業界の受講者の話を聞く中で、重要インフラや企業活動を支えるICSを脅威から守るため、システムを提供する立場としてセキュアなICSの構築を考えていかなければならないと思うようになりました。

まとめ

今回はICSに求められる特性の一つであるリアルタイム性と、ICSのセキュリティ対策の一つとして考えられるエッジコンピューティングについて紹介しました。紹介したセキュリティ対策はあくまで一例であり、外部からの脅威は守ることができますが、内部犯や施設内に不正侵入した場合の脅威については考慮していません。このような脅威が発生する可能性の高い施設では別の対策が必要になってきます。
昨今ではICS向けのセキュリティ製品やソリューションが数多くリリースされており、適切に導入することができればセキュアなICSを目指すことができると考えます。また、ICSCoEのような企業の枠を超えてICSのセキュリティを検討する場も設けられています。
Society5.0時代を迎えつつある今日において、ICSのセキュリティを考えてみるのはいかがでしょうか。

参考資料

執筆者プロフィール

日下部 孝太朗(くさかべ こうたろう)
セキュリティ技術センター セキュリティ実装技術チーム

2019年にセキュリティ技術センターに着任し、NECグループが提供するシステムやサービスのセキュア開発支援業務に従事。
IPA産業サイバーセキュリティセンターの中核人材育成プログラム(第二期)を修了。
情報安全確保支援士(RISS)を保持。