2017年11月14日

ICSとは?保護の手段は?

ビジネス 特別プロジェクト

今回の記事では産業用制御システムを取り上げたいと思います。なぜ産業用制御システムについて知らなければならないのか、なぜ守る必要があるのかを解説しましょう。

Kaspersky DailyではICSをテーマにいくつか記事掲載してきましたが、より幅広い読者層にもっとうまく全体像を伝えるための切り口を考えていました。そこで今回は、Kaspersky Labの重要インフラ保護ビジネス部門のエキスパートであるマトヴェイ・ヴォイトフ(Matvey Voytov) に話を聞きました。

ICSとは?

ICSとは、Industrial Control System(産業用制御システム) の略称で、さまざまなITシステムやIT技術を総称する言葉です。「ICS」に含まれるのは、監視制御システム(SCADA:Supervisory Control And Data Acquisition)、分散制御システム(DCS:Distributed Control System)、プログラム可能論理制御装置(PLC:Programmable Logic Controller)など、産業プロセスの管理と制御を目的とするシステムや技術です。情報を管理する従来の情報システム(ERP、コラボレーション、メールサーバー、OSなど)に対し、物理的なプロセスを管理するICSは「サイバーフィジカルシステム」とも呼ばれます。ICSは、石油・ガス、送電網、製造、スマートビルやスマートシティなど、多様な業界で幅広く導入されています

想定される最悪な事態とは?

最悪のシナリオは、産業プロセスの混乱です。プロセスの重要度によりますが、多額の損失(製造現場のダウンタイムなど)や実社会の物理的な損害をもたらす可能性があります。実際、2014年にドイツの製鉄所がハッカーによる攻撃で溶鉱炉制御に混乱が生じています。ウクライナでは2015年と2016年に複数の変電所がサイバー攻撃を受け、電力供給が停止。何千人もの顧客に影響が及びました。

情報セキュリティを特に意識する必要があるのはどの業界か、その理由は?

ICSのセキュリティを語るときは、「情報セキュリティ」ではなく「サイバーセキュリティ」という言葉を使うべきでしょう。保護する対象が情報ではなく、サイバーフィジカルプロセスまたは資産であることが大半であるからです。

どの重要インフラにもリスクがありますが、特にリスクが高いのは発電、送電、配電各社、あらゆる公共設備、石油・ガスの供給設備です。これら重要インフラだけでなく、「重要性の低い」産業組織も、外部ネットワークとの接点が多いことからサイバー攻撃に苦しめられています。当社の最新の調査結果によれば、過去12か月に1回以上のサイバーインシデントを経験している産業組織は54%に上ります。

攻撃の経路やタイプは?

一般的に、ICSへの攻撃経路は主に2種類です。1つは、外部ネットワークからの産業インフラへのアクセス(予測メンテナンスの目的で産業ネットワークに接続してデータをやり取りするERPを配した企業ネットワークなど)、もう1つは従業員の不注意や内部犯行によるICS領域への侵入です。たとえば、隔離されたネットワーク内に、ウイルス感染したUSBメモリまたは個人デバイスをエンジニアが持ち込むかもしれません。本当に隔離されたネットワークというものは今どき重要インフラにもほぼ存在しないのだ、と認識することが重要です。産業ネットワークが外部と接続してしまう背景には、設定の不備という理由もありますが、従業員の認識不足、すなわち従業員が意図せずエアギャップをまたいでしまうという理由もあります。インフラの近代化も1つの要因です。産業IoTと呼ばれる取り組みでは、フィールドデバイスのレベルでも産業ネットワークと外部接続することが前提となっています。

ICS環境でのインシデント要因は、4つ考えられます。

  • 一般的なマルウェア。産業ネットワークに侵入して Windowsコンピューターに感染します。WannaCryやExPetrランサムウェアが良い例で、流行の過程で世界中の多くの産業分野に損害をもたらしました。
  • Stuxnet、Havex、Industroyerなどによる標的型攻撃、マルウェアプラットフォーム、ICS攻撃に特化したキルチェーンなど。
  • 内部の者による不正行為。ハッキング技術は一切使わず、ICSの知識だけで産業組織に損害を与えます。石油・ガス業界でよく見られます。
  • ICSソフトウェア/ハードウェアのエラーおよび設定の不備。

解決策は?

まず手を付けるべきなのは、産業組織の現場でサイバーセキュリティの意識向上を図ることです。ほとんどの場合で、現場の従業員が攻撃の発端となっています。どのような産業組織であっても、サイバーセキュリティや安全対策のトレーニングは必要不可欠です。

技術的な観点では、「標準的な情報セキュリティ対策は産業ネットワークに適さない」と理解することが大切です。標準的な対策は、誤検知に寛容であり、リソースの消費が高く、常時インターネット接続が必須なものとして設計されています。こうした側面はICS環境に適合せず、むしろ、標準的な対策を導入することで産業プロセスの混乱を招きかねません。

だからこそ、産業向けに特化したサイバーセキュリティ対策を導入することが重要です。産業向けソリューションには、産業用エンドポイントの強化(アプリケーションのホワイトリスト運用は必須)や、産業ネットワークの受動監視(産業向けディープパケットインスペクション(DPI)による産業プロセスのコマンドフロー内における異常検知など)といった要素が含まれます。当然ながら、Siemens、ABB、Emersonなどの産業自動化メーカーの認定を受けていなければなりません。

Kaspersky LabによるICSのセキュリティ対策について詳しく知りたい方は、 当社の産業向けサイバーセキュリティのページをご覧ください。