制御システム

近年、OS/装置やネットワークの更新、新技術の発展などに合わせて、これまでクローズドなネットワークで運用されていた工場、ビル、プラント、発電所、浄水場などの制御システムネットワークが、インターネットなど外部ネットワークと接続する機会が増えています。
しかしこうしたネットワークは、もともとクローズドな環境で運用することを前提に構成されていることもあり、サイバー攻撃に対するセキュリティを考慮していないケースがほとんどです。その結果、攻撃を受けて工場やプラント等のネットワークが機能不全に陥ったり、操業停止に追い込まれたりする事件が国内外で多発しています。
ひとたび工場やインフラのネットワークが攻撃を受けると、莫大な損害が発生するのはもちろん、社会にも少なからず悪影響を与えてしまいます。このような惨事を未然に防ぐためにはどうしたらよいのでしょうか?

制御システムネットワークをサイバー攻撃から守る3つのポイント

  • 内部/外部の攻撃から情報漏洩を防ぐ体制の確立
  • サーバ・ネットワーク管理者の工数を増やさずセキュリティを強化
  • 長期間の運用やOSの更新がないという特性に合わせた対策

狙われる制御システムネットワーク

石油、化学、鉄鋼、自動車、製薬、食品などの工場/プラントや、電力、ガス、水道、鉄道などの社会インフラで利用されている制御システムネットワーク。かつては専用装置と専用線を使ったクローズドな独自のネットワークで構成されており、基本的には外部ネットワークへ接続することはありませんでした。しかし最近では、汎用の装置/OSが使われることも増え、ネットワークもイーサネット化。さらにモノのインターネットと言われるIoT(Internet of Things)や、機器同士が通信するM2M(Machine to Machine)など新技術の普及により、インターネットなど外部ネットワークと接続する機会が急激に増えています。

こうした状況の変化は、制御システムネットワークをウイルスや不正プログラムなど外部からの脅威へさらすことになりました。実際、工場やインフラのネットワークを狙ったサイバー攻撃は日に日に増えており、以下のような大きな事故も報告されています。

自動車工場で生産が50分間停止、約17億円の損害

米国の自動車工場で、外部から持ち込んだノートPCを生産システムに接続した。しかしそのPCにはウイルスが潜んでおり、生産システムも感染。おかげで13の工場のネットワークが制御不能に陥り、オフライン状態に。最終的には生産が50分間停止し、約1,400万ドルの損害を出してしまった。

自動車工場

石油パイプラインが爆発

サイバー攻撃によりトルコの石油パイプラインが爆発した。攻撃者は、パイプラインに設置されている監視カメラの通信ソフトの脆弱性を突いて内部のネットワークに侵入。動作制御系のシステムにアクセスして警報装置の動作を停止させ、爆発を引き起こしたとされている。

石油パイプライン

このように、制御システムネットワークがサイバー攻撃を受けて停止・暴走すると、大きな損害が発生するだけでなく、電気やガス、水道などのライフラインがストップすることで、社会に少なからず悪影響を与えるおそれがあります。また、原子力施設や化学工場など、ターゲットによっては国家の危機につながりかねません。
今後は、テロや金銭などを目的に、工場やインフラを狙うサイバー攻撃がますます増えてくることでしょう。ゆえに、制御システムネットワークのセキュリティ対策は待ったなしの状態といえます。

制御システムネットワークならではの諸問題

昨今、特定のターゲットを狙う標的型攻撃のように、セキュリティ対策を巧妙にすり抜ける、新しいタイプのサイバー攻撃が増えています。そのため、従来のように入口だけを守るやり方では防げないケースが増えてきました。よって、「入口ですべての攻撃を防ぐことは不可能」という前提のもと、ネットワークの内部にもウイルス感染や情報漏洩を防ぐ仕組みを用意する「多層防御」という考え方が有効です。


さて、制御システムネットワークのセキュリティ対策を考える前に、まずはこのネットワークの主な特徴を押さえておきましょう。

隔離されたネットワーク

独自にクローズドなネットワークを構成しており、情報系ネットワークとは隔離されていることが多いです。

規模や特性からセキュリティ対策は困難

各機器はそれぞれの業務に特化しており、特定の通信を行います。またシステムの規模も大きく、それゆえネットワーク構造を全面的に変更するようなセキュリティ対策は困難です。

長期運用されるネットワーク

基本的には数年〜20年の長期にわたって更新しないことがほとんどです。サポートが切れた装置/OSをそのまま使い続けるケースも多く、ネットワーク内にそうした攻撃に弱い端末が存在することも少なくありません。


そして、制御システムネットワークを狙う脅威の代表的な侵入経路としては、以下の4つが挙げられます。

制御システムネットワークを狙う脅威の代表的な侵入経路

制御システムネットワークを守るのに最適なホワイトリスト機能

こうした内外部の攻撃から制御システムネットワークを守る手段として効果的なのが「ホワイトリスト機能」です。ホワイトリスト機能とは、ネットワークを構成する各スイッチに、正常な通信フローを登録。それ以外の通信はすべてシャットアウトするもの。これなら、外部からの攻撃はもちろん、内部の不正にも対処することが可能になります。通常、特定の通信しか行われないクローズドなネットワークはホワイトリスト機能を活用するのにぴったりの条件であり、導入にあたっても機能を備えたスイッチを入れるだけ。ネットワーク構造を大幅に変更する必要はありません。また、通信フローを監視するので、たとえネットワーク内の端末がウイルスに犯されても、それ以上の2次感染を防ぐことができます。

ホワイトリスト機能

アラクサラでは、技術研究組合制御システムセキュリティセンター(CSSC)と共同で独自のホワイトリスト機能を開発し、評価を実施しました。アラクサラのボックス型L2スイッチ「AX2500Sシリーズ(※)」に2015年11月以降に実装される予定で、通常のスイッチ機能も備えていますので、既存のスイッチと入れ替えるだけでセキュリティレベルを向上させることが可能です。

※既存のAX2500Sシリーズをお使いのお客様はファームウェアのバージョンアップで対応可能です。

簡単でわかりやすく、かつ効果的なセキュリティ対策を実現

一般的なホワイトリスト機能は、通常のLANスイッチが搭載している「アクセス制御リスト(ACL)機能」を利用することで実装が可能ですが、ネットワークが複雑なほど設定などにかかる負荷が増えてしまうのは避けられません。

一方、アラクサラのホワイトリスト機能なら、通信の許可リストを自動で生成・登録することが可能です。ネットワークを行き交う通信フローを一定期間監視・学習することで、リストを自動で生成。その後モードを切り替えて、リストをもとに正常な通信/不正な通信を判断。不正なものを排除します。スイッチのコンフィグ等の知識も必要ないため、工数を増やすことなく、誰でも簡単に利用することができます。

古い装置/OSがあっても、ネットワーク全体の安全を確保

センサー、スイッチ、リレー等の制御デバイスは、一度運用を開始すると装置/OSとも長期間更新されないケースがほとんどです。その結果、サポートが終了した装置/OSを使った制御デバイスがネットワーク内に数多く存在し、高いセキュリティリスクにさらされることになります。

アラクサラのホワイトリスト機能は、メンテナンスは一切不要。たとえどこかの端末がウイルスに感染しても、そこから先の不正な通信は止めてしまうため、ネットワーク全体の安全を確保します。

ホワイトリスト機能

スイッチ

L2ボックス

AX2500Sシリーズ

フロアからディストリビューションまでレイヤ2環境のあらゆる悩みを解決する、高機能と高信頼性をめざしたハイエンドのギガビットレイヤ2スイッチ。

ホワイトリスト機能
ネットワーク上でやりとりされる通信を学習し、許可リストを自動で作成。許可リストにない不正な通信をすべてシャットアウトすることで、さまざまな攻撃からネットワークを効果的に守ります。