第3回会合 脅威分析研究会 SIGSTA

橋 芳宏 ₍ 屋工業大学 ₎

制御 キュ

ン

威 析研究会

2016 ^年 7 22 ^{日 屋工業大学}

話

1. ^{制御系 キュ 解析 簡単？！}

攻撃 全状態 引 起

ン ン 操作 い

腐食 全解析 単純？

2. ^{Ｑ＿ｄｃｒｙ Ｑｃａｓｒｉｒｙ}

3. ^{攻撃 悪意 誤動作 悪意 誤操作}

＆ 時多点 異常 生 考慮

＇

4. ^{基 キュ 対策 議論}

解析構造

解析用 _CAD 開

Ｑ＿ｄｃｒｙ Ｑｃａｓｒｉｒｙ

• ^{議論 悪意 ほ 考慮}

• ^{キュ 対象 基 い 検討 ほ い い}

• ^{制御系 キュ 対 議論}

ン 部 険 いう ン 自

険 あ ン いう

制御対象 検討 い 例 ほ い

• ^{記 ン図 共通部 抜 い}

＆保 ＇

キュ

＆防犯＇

悪意

全破綻

防御

Ｃｙ ｅｒ Ｓｅ ｒｉ ｙと _Safety

• ^{攻撃 制御系}

全 破綻 多 要因 一

• ^{キュ 対象 攻撃 限}

制御系 影響 限定的 考慮

＆ ン ン あ 働 い＇

• ^{攻撃 悪意 誤動作 悪意 誤操作}

• ^徹底

キュ 効

時多点 異常 生 考慮 問

• ^{悪意 攻撃 対}

防御策 重 多重防御 い

• ^{知 手 弱性 対応 い}

チ 全 委 い

事故 起 方 い いえ い

時多 ･ ･

• ^{今 大 夫 知 弱性}

鍵 錠 監視 ？

今 大 夫 知 弱性 う 現 わ い

• ^{攻撃手 予想 い い い}

• ^{弱性 気 対策 開 適用 い}

→ ^{一 弱性 全滅 い多重 対策}

全 キュ 対策

攻撃 手 決

制御対象 特性 決

手 わ い対策検討 ？

全 通帳 鑑 ？

通帳 鑑 穴 異 壁 防御

統一化 ョン 確保

6

一 機能 実現 多数 構成要素 存在

Application, Firewall, OS, Mother Board, CPU, Network Card

Protocol, Certification scheme ^{弱性 能性}

高性能 管理 効率化 標準化 画一化

攻撃 全滅！

生物 生 残 ョン

＆自 遺伝子 差異 大 い人 好 ？＇

一 攻略 生 残 い 箇

検出＆対策 実行 い

ョン 確保 ば

様々 構成 得 一部 落

生 残 対策 能 期待出来

制御系 キュ 特異性

7

ン 重大事故 生 ！

IACS(Industrail Autmation &

Constrol Systems) ^対

攻撃 _Accident

生 重要 問

SAL ^ン

事故 生

評価

い う ？

外部

2

／

社内

ン

制御

SAL(Security Assurance Level) in IEC62443

IEC62443 ^等 SAL ^{議論 十}

社内

2

Zones ^＆ Conduits ^{いう視点 評価}

各装置 _SAL 以 ₇ 要件 ₄ 段階 管理 評価

1. Access control (AC) 2. Use control (UC) 3. Data Integrity (DI) 4. Data confidentiality (DC)

5. Restrict data flow (RDF) 6. Timely response to an event (TRE) 7. Resource availability (RA)

ン _SAL ン中 最弱 装置 _SAL

全体 _SAL ン

最 高い 壁 _SAL

攻略 いう点 理解 い

制御系 全性

重要 評価 _OK?

ン

悪い 指示

実行 う！！ 外部

／

制御

攻略 通常 通信

険 内容 入 ン 破壊 生 う

9

ン

Cloud

ン

Fog Local Contrtol

ン 設計 悪意 指示

え 想定 い い

高 考え

SAL ^{評価 適 ！}

ま ガオー、夜 イ イ ガオー

ダダダダ ダーン ま

ーン 破裂す

ューン 飛 鉄人28号

あ 正義 味方

あ 悪魔 手先

いいも わ いも モコンし い

鉄人! 鉄人! こへゆ

ューン 飛 鉄人28号

手 正義 味方

つぶせ 悪魔 手先

敵 渡す 大事 モコン

鉄人! 鉄人! こへゆ

ューン 飛 鉄人28号

ン 全

事故 起 操作 自 度 え い

ン 簡単 誤動作

ン キュ

ン い いう議論 必要

工大

攻撃 手 実演

対策 効性 確認

PM

PUMP W

FI

Ｈ LG

1 T

2

T 1 LI

2

LI 1

Tank2

Tank1

Valve1

Valve3

Valve4 ^Valve2

LG 1

LC1

FC

TC1

Zone1 [ LM1 T2 PI Valve2 Pump ] Zone2 [ LM2 T1 FI Valve1 Heater ]

Electric control valve

Ball valve Safety

valve Transmitter

Field instrument

Pipe

Flange Socket

2015 ^年 9 ^時点 300 ^{近 来訪あ}

計装 ワ 構成

攻撃 攻略手順

弱性 _Armitage 使用

1. Nmap ^{使 ワ 内}

端 探索

2. ^踏 PC ^乗

階層 ワ 見

出

3. ^{再び ワ 探索}

4. ^{目標 対象 見 攻撃}

5. ^送信 ,VNC, ^起

動

生 残

ン 画面

攻撃 生

変化 波及状

態 検知

攻撃 ン 画面

攻撃 変化 生 い

隠蔽 変化 観測 い

攻撃 挙動

正常時 計器

攻撃 計器

攻撃 ン 監視画面

攻撃 免 ン 監視画面

攻撃

ン 操作

険 状態

現場計器

生

写真 映

間 金庫 ！

困 いう視点 防御点 選択

ン

過熱事故

部事象 至

時間 確保

部事象 至 状態

作

ン ／内 液 Ｌｏｗ

ン ／内 温度High ン ／ ン ０

液 異常 あ

気 付 い

ン ／ ン ０ 温度 異常 あ

気 付 い

ン ₁ 流 出弁 全開

ン Auto Manu

al

出力 あ 一定 値以

ン 解 ン ０ 温

度 正常

あ う

隠蔽

ン ₁ 温 度 正常

あ う

隠蔽

Ｒ_{1i High} 解 監視画面 表示 い

ン ₁ 目 標設定値 正常 あ

う 隠蔽

ン 1 液 正常 あ

う 隠蔽

ン ₂ 液 正常 あ

う 隠蔽

L2i High 解 監視画面 表示 い ン 1液

Ｌｏｗ

解 監

視画面 表示 い

ン ₁水 ン 破綻

時 攻撃

ば 生確率

隠蔽 い 事故

至 異常 気

ば 生確率

ン ₁ 流入弁 閉

ン ₁水 設定値

LC1 _LI2

TI2 TC1

LC1 ^TC1

ン

洗い出

時 落 い ン 割

制御 ワ 複数 ン 割

ン 錠 ₍ 等＇ 設定

時 落 い ン

異 ン 配置 散

隠蔽工作 あ

一部 ン 生 残 ば

異常 検出 能

ン い 割 各 ン

う ン チュ

ン 振

減 異常検知能力 向

変わ

ン 設計手法 必要

ＮＬＡ

P Pi

T T2i

F Fi

L L2i L

L1i _H(Heater) W(Pump)

V2

V1 ＭＮＡ _Server／

ＮＬＡ ＮＬＡ

ＱＡＡＢＡ０

ＭＮＡ Server2

ＱＡＡＢＡ１

ＭＮＡ Server3 ＱＡＡＢＡ／

T T1i

Zone1 ^Zone2 Zone3

TC

LC _TI

FTA ^検知

LI

検知

ン ン 割例

PM

PUMP W

FI

Ｈ LG

1 T

2

T 1 LI

2

LI 1

Tank2

Tank1

Valve1

Valve3

Valve4 ^Valve2

LG 1

LC1

FC

TC1

Zone1 [ LM1 T2 PI Valve2 Pump ]

Zone2 [ LM2 T1 FI Valve1 Heater ]

Electric control valve

Ball valve Safety

valve Transmitter

Field instrument

Pipe

Flange Socket

Zone1

Zone2

Zone1 Zone2

ン ン

3 ^{ン 配}

各 ン _PLC1

新 設備 現場工事 要求

景気室内 配線 変更 工夫

計装 ワ ン 割工事

＆従来型計装＇

ン 配線

計器室内 配線 替工事 済

日 大半 ン

＆ 計装＇

複数設置

接 機器 配

［現地装置 工事）計器室］

全計装 重要 独立 ン

CAD ^ン設計

PM

PUMP W

FM ^Ｈ

LG 1 TM

2

TM 1 LM

2

LM 1

Tank2

Tank1

Valve1

Valve3

Valve4 ^Valve2

LG 1

電動 ン 弁

全弁

伝送器

現場計器

配管

ン

LC1

FC

TC1

人間 PFD (Process Flow Diagram) ^眺

片方 液 ン 変化 隠蔽 う片方 液 ン 検出

過熱 流 あ ば ン 温度計 検知

議論 対象 ン 数 多い 組 合わ 検討 い

ン ュ う 議論 ？

設計

動的 ュ ョン用

CAD(Computer Aided Design)

多 存在

多 装置

ュ ン 接

PFD ^{作成 全体}

DAE(Differential Algebraic

Equations) ^{合成 数値積}

ュ ョン

実行 構造 い

DAE ^数値積

キュ ン

割 優劣 評価 い

全 検討 _CAD 支援

CAD ^{何 録 ば キュ 検討 ？}

全解析手法： _FT ＆ _{Fault Tree} ＇

攻撃 考慮 全解析用 _FT 自動生成手法 検討

重大事故

操作

故

操作

故

AND

多重性 考慮

生 望 い重大事故

頂 事象 設定

頂 事象 生要因

演繹的 状 展開

根 的 要因＆基 事象＇ 洗い出

論理記 ＆ _{AND, OR} 等＇ 用い

故 要因間 係 表現

ン 正操作 改竄 扱え う 工夫

攻撃 事故 生 構造

F1 F2

L2 L1

T

F4 F3

fault tree of safety

cause-effect model

mapping

L2 T L1

Tank2 fire Tank1 overflow

empty ^heat Level too high

V1 V2 _V3

V4

V5 L2

Tank2 overflow

Level too high

状態変化 伝搬

事故 引 起 状態変化

FC4

FC3 TC1

FC1 _FC2

自動制御以外

人間 操作 場合

Attacked controllers

Operating or Attacking

異常操作 隠蔽

ン 正動作 能

攻撃 対 _FT 表現

大事故 生

AND

．操作 _FT ：

険 状態

チュ 操作

．隠蔽 _FT ：

攻撃 成 遠隔操作

気付 い隠蔽工作

状 表現

何 注目 岐

ョン 生

操作 い 事故 生 い

検知 大事故 展 い

CAD ^チ

• ^{各装置 生 う 大事故 装置 ュ 録}

扱う物質等 捨選択 う

• ^{各装置 状態変化 係 Fault Tree 録}

伝播 原因 ン 洗い出

装置 伝搬 事故 生 あ

F1 F2

L2 L1

T

F4 F3

fault tree of safety

cause-effect model

mapping

L2 T L1

Tank2 fire Tank1 overflow

empty heat Level too high

V1 V2 _V3

V4

V5 L2

Tank2 overflow

Level too high

状態変化 伝搬

事故 引 起 状態変化

FC4

FC3 TC1

FC1 _FC2

CAD ^チ

• ^{各 ュ DAE ＆} Differential Algebraic Equation) ^録

装置 連結 得 連立方程式 定性的 因果 係

合成 _{＆鶏 先 卵 先 制約条件 ＇}

伝播経路 ン 扱い

事故原因 ン 洗い出 目的

探索 ？

楽観的解釈

ン 正常 _PV 変動 打 消 考え

ン 攻撃 初 変動 生 判断

場合 伝播路 遠い ン 正常 _/ 異常

係わ ＊頂 事象 生

⇒ _PV 変動以降 探索 い

悲観的解釈

大 外乱 生 ＊ ン 正常

維持 い 能性 あ ．

⇒ ン 正常＊異常 係わ ＊外乱 異常

能性 あ ＊ _PV 変動以降 探索

適用例

例：／ ン

Differential Equation

Algebraic Equation

F : Flow rate

P : Pressure

L : Tank ^’ s level

T : Temperature

Patm : Atmospheric pressure

V : Valve opening degree

H : Heater

FIC : Flow Indication Controller

LIC : Level Indication Controller

TIC : Temperature Indication Controller

blu : Value in front of System

bld : Value behind System

L

LIC

V

V

F

F

P

P

P

FIC

F

P

TIC

T

T

T

L

H

P

P

T

T

LIC

FIC

TIC H

⊿L1

Fire or breakage of tank heater

Tank Heater On

Tank level Low

Fa Fb

H>0

P1 Patm V2 P2 P3

TIC Attacked TIC

Alive

Ta

Fa ^⊿L1

LIC Attacked

FIC Attacked

V1 P1 Patm

LIC Attacked

Fa Fb

V1

⊿_{L1 Patm} Tblu

Pblu

Pblu P｀ｌｂ

稼働

＆ 液

提案手法 生成 攻撃用 _FT 例

頂 事象：

ン 空焚 事故

稼働：

. TIC ^異常

. TIC ^正常 &FIC ^異常

. TIC ^正常 &LIC ^異常

液 ：

.FIC ^異常

.LIC ^異常

Fire or breakage of tank heater

Tank Heater On

Tank level Low

TIC Attacked

TIC Alive

LIC Attacked

FIC Attacked

LIC Attacked

FIC Attacked

V1 V2

H>0

V1 V2

ン 攻撃 事故 生

頂 事象：

ン 空焚 事故

ン 異常 展開

FT ^{基 キュ 対策検討}

ン 全性 観点 ＊攻撃者目線 攻撃

考慮 _FT ＊ キュ 対策立案

操作 _FT ： _AND 条件 成立 い う 防御

隠蔽 _FT ： _AND 条件 増 攻撃 気 箇 増

ン 全

攻撃 _FT ＊重要 基 要素 時 落 い う＊

Control & Monitoring Zone ^{割 防御性能向 法}

AND ^{条件 ＊ 時 攻撃 改竄 意味 い}

ン 正 動作 付 い ン ン え

鉄人 ₂₈ 鉄腕 ？

CE ^{行列 隠蔽検出能力評価}

R ^行列＆ Reachability Matrix: ^{到 行列＇}

D ^行列＆ Detectability Matrix ^{： 検出行列＇ 算出}

一部 ン 落 生 う 影響評価

生 残 い ン ン 値 攻撃 検知 能力 判定

ＮＬＡ

P

Pi

T

T2i

F

Fi

L

L2i

L

L1i H(Heater) W(Pump)

V2 V1

ＮＬＡ ＮＬＡ

T

T1i

ン ₁ ン ₂ ン ₃

侵入成 ！！

ン ₁ ン ₂ 操作 改

検出 ？

各 ン う

ン 振

ン 落

ン 挙動

異

ン構成 落状況

表現 _CE 行列 作成

隠蔽検出能力 チ

CE ^{行列 ン 落状況 表現} (1)

PV PV PV PV PV PV MV MV MV MV O.PV O.PV O.PV O.PV O.PV O.PV O.MV O.MV O.MV O.MV

L1 L2 T2 T3 F2 P2 V2 V3 H W O.L1 O.L2 O.T2 O.T3 O.F2 O.P2 O.V2 O.V3 O.H O.W

PV L1 1 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0

PV L2 1 1 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0

PV T2 1 0 1 1 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0

PV T3 1 0 1 1 0 0 1 1 1 1 0 0 0 0 0 0 0 0 0 0

PV F2 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0

PV P2 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0

MV V2 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0

MV V3 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0

MV H 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0

MV W 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0

O.PV O.L1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0

O.PV O.L2 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0

O.PV O.T2 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0

O.PV O.T3 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0

O.PV O.F2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0

O.PV O.P2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0

O.MV O.V2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0

O.MV O.V3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0

O.MV O.H 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0

O.MV O.W 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1

P

ン _CE 行列 _P 合成

観測値 偽装 操作 隠蔽 扱う

実 ン 値 示 _{PV MV} 以外

観測値 示 _{O.PV O.MV} 設定 い

P ^行列 20 ^× 20 ^正方行列

PV ^当 6 ^{行以外 単 行列}

ン ョン

示 う 代数 行列

用い ン 制御 特性 表現

ン チュ

攻撃 影響 解析 手法 開

CAD ^{中 利用 い いう}

示 い

解析手法 解説 キ い

列 列 い

ン ₂ 遠隔操作

ン ₂ 内 隠蔽

ン／

検知 能 判定

遠隔操作 隠蔽工作 検知能力評価

遠隔操作 隠蔽 影響 検知

� = � ∙ �� ∙ ��

H ^操作

温度 変化

環流 通

う片方 ン

温度 変わ

�� = ෍

�=1

∞

∙ ∙ � ^�

2 2

MV MV

V3 H

1 O.PV O.L1 1 0

1 O.PV O.T3 1 1

1 O.PV O.P2 0 0

1 O.MV O.V2 0 0

1 O.MV O.W 0 0

Zone

Zone Os

弁 _V3 操作 液

影響 流量

変わ 温

度 変わ

隠蔽 遠隔操作 検出用 ン 設計

32

{1} {2}

LIC

LIC

FIC FIC

F(1)

F( 7 )

L1{1} L1{2}

{3} {4}

{5 }

{5 }

{6 } {6 }

(1) (7)

(2)

(4)

ン 割 提案

33

ン 色 表現

提案 表示

組 い キュ 研究

34

現在 ン 割 一部 ン 攻略

攻撃 検出 手法

攻撃 検出 対応 合成 手法

効率的 旧 手順

BCP/BCM ^{組織 教育}

活用 制御 高度化 キュ 化

い 研究 進 い

制御系 対象 キュ 対策製品 い い 出

キュ 対策 製品 導入 進

投資 提案者 投資 決定

投資 効果 潜在 理解 あえ 議論 手法

必要 あ 認識 観点 研究 進 い

制御 現場 攻撃 大事故 生

キュ 対策 祈念 い

キュ 対策 う 提案 ば？

攻撃 険性

う聞 い

う 対策

提案 え

多 投資 必要 いえば

あ いわ

中途半端 意味 い

程度 対策

始 ば い う ？

言

う 引

出 う？

いい え

始

言い い

何 聞 ば

う言え う？

弱点 入 一部 強化

Fig1: 複数工場を持つ生産ネットワークシステム例

侵入経路の分析例

表 _1: 対策 効能 基 要件 係 整理例

AC UC DI DC RDF TRE RA

○ ○ ○ ○ _{1, 2, 3} ^数

F a ○ ○ ○ _{1, 3} 数

○ ○ _{1, 2} 数千

○ ₂ 0

a ○ _{1, 2, 3}

数 ～数

十

○ ○ ○ _{1, 2} 0

○ ○ _{1, 2}

数千～十

数

F F a a ＇

SAL

７つの基本要件 _FR

1. Access control (AC)

2. Use control (UC)

3. Data Integrity (DI)

4. Data confidentiality (DC)

5. Restrict data flow (RDF)

6. Timely response to

an event (TRE)

7. Resource availability (RA)

4 ^段階の SAL ^{の ベ}

SAL1 ^： Protection against casual or coincidental violation

SAL2 ^： Protection against intentional violation using simple means

SAL3 ^： Protection against intentional violation using sophisticated means

SAL4 ^： Protection against intentional violation using sophisticated means

with extended resources

群 配置例

各 効能 相補 係 理解

表2: Fig.4の各階層及びシステムへの評価

Machine (1, j)M (1, 1) M (1, 2) M (1, 3) M (1, 1) M (1, 2) M (1, 3) M (1, 1) M (1, 2) M (1, 3) M (1, 1) M (1, 2) M (1, 3) M (1, 1) M (1, 2) M (1, 3) M (1, 1) M (1, 2) M (1, 3) M (1, 1) M (1, 2) M (1, 3)

Tool_ Level _ _ _ _ _ _ _ _ _

FR level 1 3 3 1 3 3 1 3 3

Level

Machine (2, j)M (2, 1) M (2, 2) M (2, 3) M (2, 1) M (2, 2) M (2, 3) M (2, 1) M (2, 2) M (2, 3) M (2, 1) M (2, 2) M (2, 3) M (2, 1) M (2, 2) M (2, 3) M (2, 1) M (2, 2) M (2, 3) M (2, 1) M (2, 2) M (2, 3)

Tool_ Level _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

_ _2

_ _2

_ _2

_ _

_ _

_ _

_ _

_ _

_ _

FR level 2 3 2 2 3 2 2 3 2 2 3 2 2 2 2 2 2 2 2 2 3

Level

Machine (3, j)M (3, 1) M (3, 2) M (3, 3) M (3, 1) M (3, 2) M (3, 3) M (3, 1) M (3, 2) M (3, 3) M (3, 1) M (3, 2) M (3, 3) M (3, 1) M (3, 2) M (3, 3) M (3, 1) M (3, 2) M (3, 3) M (3, 1) M (3, 2) M (3, 3)

Tool_ Level _ _ _

_ _2

_ _2

_

_2 ^{_ _ _ _ _ _ _ _ _}

FR level 2 2 2 2 2 2 2 2 2

Level

Machine (4, j)M (4, 1) M (4, 2) M (4, 3) M (4, 1) M (4, 2) M (4, 3) M (4, 1) M (4, 2) M (4, 3) M (4, 1) M (4, 2) M (4, 3) M (4, 1) M (4, 2) M (4, 3) M (4, 1) M (4, 2) M (4, 3) M (4, 1) M (4, 2) M (4, 3)

Tool_ Level _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

_ _

_ _

_ _

_ _

_ _

_ _

FR level 2 3 2 2 3 2 2 3 2 2 3 2 1 2 1 2 2 3

Level

2

共通階層

： 数

～数十

Machine (5, j)M (5, 1) M (5, 2) M (5, 3) M (5, 1) M (5, 2) M (5, 3) M (5, 1) M (5, 2) M (5, 3) M (5, 1) M (5, 2) M (5, 3) M (5, 1) M (5, 2) M (5, 3) M (5, 1) M (5, 2) M (5, 3) M (5, 1) M (5, 2) M (5, 3)

Tool_ Level _ _ _

_ _2

_ _2

_

_2 ^{_ _ _ _ _ _ _ _ _}

FR level 2 2 2 2 2 2 2 2 2

Level

Machine (6, j)M (6, 1) M (6, 2) M (6, 3) M (6, 1) M (6, 2) M (6, 3) M (6, 1) M (6, 2) M (6, 3) M (6, 1) M (6, 2) M (6, 3) M (6, 1) M (6, 2) M (6, 3) M (6, 1) M (6, 2) M (6, 3) M (6, 1) M (6, 2) M (6, 3)

Tool_ Level _ _ _ _ _ _

_ _1

_ _1

_

_2 ^{_ _ _ _ _ _}

_ _

_ _

_ _

_ _

_ _

_ _

FR level 2 3 2 2 3 2 2 3 2 2 3 2 1 2 1 2 2 3

Level

Machine (7, j)M (7, 1) M (7, 2) M (7, 3) M (7, 1) M (7, 2) M (7, 3) M (7, 1) M (7, 2) M (7, 3) M (7, 1) M (7, 2) M (7, 3) M (7, 1) M (7, 2) M (7, 3) M (7, 1) M (7, 2) M (7, 3) M (7, 1) M (7, 2) M (7, 3)

Tool_ Level _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

_ _2

_ _2

_ _2

_ _

_ _

_ _

_ _

_ _

_ _

FR level 2 3 2 2 3 2 2 3 2 2 3 2 2 2 2 2 2 2 2 2 3

Level

Machine (8, j)M (8, 1) M (8, 2) M (8, 3) M (8, 1) M (8, 2) M (8, 3) M (8, 1) M (8, 2) M (8, 3) M (8, 1) M (8, 2) M (8, 3) M (8, 1) M (8, 2) M (8, 3) M (8, 1) M (8, 2) M (8, 3) M (8, 1) M (8, 2) M (8, 3)

Tool_ Level _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

FR level 2 3 2 2 3 2 2 3 2 2 3 2 2 2 2 2 2 2 2 2 2

Level

2

総 ：

数十 ～

数百

共通 含 全体

共通 2 2 2 2 2 2 2

適用 能階層

共通

Fac- tory

制御

Foundational Requirements [FR (n)]

適用 能

階層 a

Level ^{＆ JPY＇} FR(7)=RA

Gatway 1 0 数

0 0 1 0 1 0

FR (1)=AC FR (2)=UC FR (3)=DI FR(4)=DC FR(5)=RDF FR(6)=TRE

1

Enterprise

Machines ²

数 ～

数十

2 2 2 2 2 2 2

Gatway 2 0 数

0 0 1 0 2 2 2

Managemen

t Machines ⁰

数 ～

数十

2 2 2 2 0 1 2

Gatway 3 0 数

0 0 1 0 2 2 2

HMIs 0 ^{数 ～}

数十

2 2 2 2 0 1 2

Control

Servers ²

数 ～

数十

2 2 2 2 2 2 2

Controllers 2 ^{数 ～}

数十

2 2 2 2 2 2 2

2 2 2 2 2 2 2

階層 5

階層 6

階層 7

階層 8 階層

1

階層 2

階層 3

階層 4

拡大

○内 数値 番

機能 異 利用 キュ 性能 高

対策 商品 ョン例

AC UC DI DC RDF TRE RA

Gatway 1

Enterprise PC , , ,

Gatway 2 , , ,

OPC

SCADA , ,

PLC

異質 設定 知 攻撃 対策

鍵 多重 効果 期待 い

導入

導入個

User Control

Firewall

Anti-Virus

USB port Block

Backup Server

Com. shut

Firewall DataExProtocol OS ^NetDevice

Gatway 1 CISCO OSI-PI CISCO CISCO

Enterprise PC McAfee OSI-PI, OPC-2.0 Windows 7 Aried

Gatway 2 Linux OPC-2.0 CENT-OS Catalyst

OPC Windows Profi-net, OPC-2.0 Windows XP Intel

SCADA TrendMicro OPC-2.0 Server 2008 Intel

PLC Profi-net Siemens

FileExchange

SMB

SMB

全社的 キュ 対策 評価

AC UC DI DC RDF TRE RA

Gatway 3_2

₀

HMIs

₀

Control Servers

₀

Controllers

₁

Gatway 3_1

₀

HMIs

₀

数十 3

Control Servers

₂

数十 3

Controllers

₂

数十 3

Gatway 3_3

₀

HMIs

₀

Control Servers

₀

Controllers

₁

各_Factory 制御

＆_n＝ ＇

Factory (2) 制御

F F a a ＇

Sal Level

＆ JPY＇ ン

数

Factory (1) 制御

Factory (3) 制御

各工場の Achieved SAL

と要求された _{Target SAL}

キュ 対策立案

キュ 対策 制御対象 険性

企業 経営状態 係 一意 定 い

対策立案者 評価者 視化 情報

論 望

提案 用い

段階的 投資 考慮

提案側 側

い 議論

大規模 予算 い

着実 対策 進展 い

攻撃 大事故 生

回避 体制 充実 い 期待 い

Tables are convenient

to discuss.

Wonderful!

Let’s do it!

$

工大制御系 キュ _WS(1)

実 攻撃 対策 効性 体験 演習

43

制御 ワ

ン 割工事

400 ^程

来訪者 議論＆ ₂₀₁₆ 年 ₄ ＇

＆ ／＇ ₂₀₁₅ 年 _{3 19,20} 日 ₁₃ 社 ₁₈ 参 ＆ ０＇ ₂₀₁₅ 年 _{8 26,27} 日 ₃₀ 社 ₇₄ 参

＆ １＇ ₂₀₁₅ 年 _{3 29,30} 日 ₂₆ 社 ₄₇ 参

工大制御系 キュ _WS(2)

い 前提 対策

全 事業 _(BCP/BCM)

組織全体 連携 体制 構築 演習 準備

生産現場 計装 設備 情報 営業 総務 経営 社外 連動

ン ン 生 対応 具体的想定 検討

実験装置 地域冷暖 企業 想定

攻撃 検知 旧

想定 利用 ョン

異常 生 原因 攻撃 判断 い？

現在 内 府 記 参 教育 拡充 図 い

戦略的 ョン創造 _(SIP)/ 重要 ン 等 キュ 確保

(b4) ^{キュ 人材育成＆ キュ 人材育成 研究開 ＇}

工大制御系 キュ _WS(3)

現場 ン ン 対応 多 部門 連動 演習

屋工業大学 キュ チ キュ 対策 連研究 ₍₁₎

[1]^{制御系 キュ 対策 全解析 開 ＊森谷 祥貴＊浜 孝 ＊越島一郎＊橋 芳宏＊}

計測自動制御学会第₃回制御部門 チ ン ₍₂₀₁₆₎

[2] Strategic Security Protection for Industrial Control System,

H. Takagi, T. Morita, M. Matta, H. Moritani, T. Hamaguchi, S.Jing, I. Koshijima, Y. Hashimoto, SICE Annual Conference, pp.1215-1221 (2015)

[3] Industrial Control System Monitoring Based on Communication Profile

Masafumi Matta, Masato Koike, Wataru Machii,Tomomi Aoyama, Hidemasa Naruoka, Ichiro Koshijima, Yoshihiro Hashimoto, Journal of Chemical Engineering of Japan, Vol.48, No. 8, pp.609-618 (2015-08)

[4] ICS Honeypot System (CamouflageNet) Based on Attacker's Human Factors,

Hidemasa Naruoka, , Masafumi Matsuta,Wataru Machii, Tomomi Aoyama, Masahito Koike, Ichiro Koshijima, Yoshihiro Hashimoto, Procedia Manufacturing, Vol.3, pp,1074?1081 (2015)

[5] How Management Goes Wrong? ? The Human Factor Lessons Learned from a Cyber Incident Handling Exercise, Tomomi Aoyama, , Hidemasa Naruoka, Ichiro Koshijima, Kenji Watanabe,

Procedia Manufacturing, Vol.3, pp.1082?1087 (2015)

[6] Dynamic Zoning Based on Situational Activities for ICS Security, Wataru Machii, Isao Kato, Masahito Koike, Masafumi Matta, Tomomi Aoyama, Hidemasa Naruoka, Ichiro Koshijima, Yoshihiro Hashimoto,

the 10th Asian Control Conference 2015 (ASCC 2015), pp.1242-1246 (2015)

[7] Studying Resilient Cyber Incident Management from Large-scale Cyber Security Training, Tomomi Aoyama, Hidemasa Naruoka, Ichiro Koshijima, Wataru Machii and Kohei Seki,

the 10th Asian Control Conference 2015 (ASCC 2015), pp.2890-2893 (2015) [8] Business Process Model Approach for Management of Plant Alarm System,

K. Takeda, T .Hamaguchi, N. Kimura, M. Noda:

J. of Chemical Engineering of Japan, Vol.48, No.8, pp.641-645 (2015)

[9] Development of CAD for Zone Dividing of Process Control Networks to Improve Cyber Security, H. Moritani, S. Yogo, T. Morita, M. Kojima, K. Watanabe, J. Sun, I. Koshijima, Y. Hashimoto^＊ ICCAS 2014, Oct. 22-25, Korea (2014)

[10] ^{制御系 キュ 対策 立案 評価},

橋 芳宏_, 越島一郎_, ュ ン , Vol.19(1), pp.18-25 (2014) [11] Industrial Control System Monitoring based on Communication Profile,

Masafumi Matta, Masato Koike, Wataru Machii, Tomomi Aoyama, Hidemasa Naruoka, Ichiro Koshijima, Yoshihiro Hashimoto, The 5th World Conference of Safety of Oil and Gas Industry, Okayama, Japan, Paper No. 1092435, (2014)

[12] Dynamic Zoning of the Industrial Control System for Security Improvement, Wataru Machii, Tomomi Aoyama, Ichiro Koshijima, Yoshihiro Hashimoto,

The 5th World Conference of Safety of Oil and Gas Industry, Okayama, Japan, Paper No. 1065756 (2014)

屋工業大学 キュ チ キュ 対策 連研究 ₍₂₎ [13] Framework for Life Cycle Security and Safety for Critical Infrastructures,

Tomomi Aoyama, Ichiro Koshijima, Yoshihiro Hashimoto,

The 5th World Conference of Safety of Oil and Gas Industry, Paper No. 1092680 (2014)

[14] ^{ン 制御 キュ 対策},

橋 芳宏

化学工場･研究 事故･災害対策 管理 ₄章₁₉節 pp.461-472,^{技術情報協会}(2015)ISBN^：978-4-86104-584-4 [15] Detection of Cyber-Attacks with Zone Dividing and PCA,

T. Morita, S. Yogo, M. Koike, T. Hamaguchi, S. Jing, I. Koshijima, Y. Hashimoto,

17th International Conference in Knowledge Based and Intelligent Information and Engineering Systems, Vol.22, pp.727-736 (2013) [16] A Unified Framework for Safety and Security Assessment in Critical Infrastructures,

T. Aoyama, M. Koike, I. Koshijima, Y. Hashimoto,

Proc. of Safety and Security Engineering V, pp.67-77 (2013)

[17] Safety Securing Approach against Cyber-Attacks for Process Control System, Y. Hashimoto, T. Toyoshima, S. Yogo, M. Koike, T. Hamaguchi, S. Jing, I. Koshijima, Computers & Chemical Engineering, Vol.57, pp.181-186 (2013)

[18] Conceptual Framework for Security Hazard Management in Critical Infrastructures, Y. Hashimoto, T. Toyoshima, S. Yogo, M. Koike, S. Jing, I. Koshijima,

The 11th International Symposium on Process Systems Engineering, CDROM (2012)

[19] ^{想定 場合 解析 対策 構築},

豊 剛史_, 孫晶_, 越島一郎_, 橋 芳宏_,

J. of Human Factors in Japan, Vol.15, No.2, pp.4-9 (2011)

[20] ^{キュ 考慮 ン 全設計},

語修一_, 豊 剛史_, 孫晶_, 越島一郎_, 橋 芳宏_,

化学工学会秋季大会₍₂₀₁₁₎

[21] Abnormal situation correction based on controller reconfiguration, T. Hamaguchi, Y. Hashimoto, T. Itoh, A. Yoneya, Y. Togari,

Journal of Process Control, , Vol.13, No.2, pp.169-175 (2003)

[22] An Approach to Potential Risk Analysis of Networked Chemical Plants Akio Shindo, Hiroshi Yamazaki,Akifumi Toki, Ichiro Koshijima, Tomio Umeda 7th International Symposium on Process Systems Engineering (PSE 2000) Keystone, Colorado, USA, July 16-21 (2000)

[23] ^{大規模 ン ワ キュ い ～重要 キン 対策 あ 方～}

梅 富雄＆委員長＇編 越島一郎 委員会 ン 多数

大規模 ン ワ キュ 対策委員会最終報告書＆通商産業省＇₍₂₀₀₀₎