東京大学 情報学環
制御システムに対してサイバー攻撃が発生すると
何が起こり得るのか?
~水位・流量制御の模擬システムを用いた実演~
東京大学大学院 情報学環 特任准教授 満永 拓邦 1東京大学 情報学環
プロフィール
• 名前:満永 拓邦(みつなが たくほう) • 所属:東京大学情報学環 特任准教授 (独)情報処理推進機構 産業サイバーセキュリティセンター 専門委員 • 業務:・セキュリティに関する情報収集・分析・研究活動 ・大学での講義やセミナー等での講演活動 ・外部の組織や企業の経営層やシステム管理部門との連携 ・セキュリティに関連する書籍やレポートの執筆 「サイバー攻撃からビジネスを守る」 NTT主版, 監修/共著 NTT「CSIRT」主版,共著 2 Briefing SpeakerBlack Hat Europe 2018
“Real-Time Detection of Attacks Leveraging Domain Administrator Privilege”
東京大学 情報学環
制御システムセキュリティに関する活動
• 調査研究 – 制御システムに関わるユーザ企業、ベンダー企業、エンジニア リング企業などで構成されるコミュニティ VEC にて学術会員と して調査プロジェクトに参画 • 人材育成 – (独)情報処理推進機構 産業サイバーセキュリティセンターにて 中核人材カリキュラムに従事 – 2018年9月、経済産業省および情報処理推進機構と連携して、 ASEAN等向け日米サイバー共同演習を実施 http://www.meti.go.jp/press/2018/09/20180914008/20180914008.h tml東京大学 情報学環
突然ですが質問
サイバー攻撃が起因となり
プラントや工場が爆発しますか?
画像引用:Korban Ledakan Pabrik Baja Dibawa RS Krakatau Medika Hospital
東京大学 情報学環
回答(私見)
•
それほど簡単にはプラントや工場などは爆発しません
• 独立防御層、安全計装などの安全対策が施されているため、いわゆる 「保安事故」や「重大事故」というのは容易には発生しません • ただし、プラントの設計や運用管理体制などに依存するところもある ため、サイバーセキュリティに起因するリスクはゼロではありません • また、事故に至らなくてもサイバー攻撃によって操業停止に至る事例 は国内でも発生しており、経済的な損失になり得る • そのため、適切なリスクアセスメントを通じて、能動的にリスクをコ ントロールにすることが必要です • 本日は、制御システムに関するセキュリティや情報処理推進機構で実 施しているトレーニング内容について紹介します東京大学 情報学環
東京大学 情報学環
サイバーセキュリティ戦略
(2018年7月27日閣議決定) • サービス提供者の「任務保証」 – 業務・サービスを「任務」のために必要となる能力及び資産を確保する • リスクマネジメント – 事前にリスクを特定・分析・ 評価し、リスクを許容し得る程度まで低減する • 「参加・連携・協働」 – 情報共有や官民連携を通じて相互連携・ 協働を図る "新たな「サイバーセキュリティ戦略」について" 吉田 恭子 https://www.ituaj.jp/?itujournal=2018_10東京大学 情報学環
重要インフラの情報セキュリティ対策に係る
第4次行動計画
• 第4次行動計画では「機能保証」という考え方が取られており、 BCPと同様の考えのもと、重要インフラサービスを持続的に 提供できる体制の構築が求められている • 高度化したサイバー攻撃などは未然に防ぎきることは不可能である としたうえで、リスクアセスメント及び対処体制の整備も求められ ている 4.2 「機能保証」の考え方 重要インフラサービスは、それ自体が国民生活及び社会経済活動を支える基盤となっており、その提供 に支障が生じると国民の安全・安心に直接的かつ深刻な負の影響が生じる可能性がある。このため、各 関係主体は、重要インフラサービスを安全かつ持続的に提供するための取組(機能保証)が求められる。 4. リスクマネジメント及び対処態勢の整備 (略)未公開の脆弱性を狙ったゼロデイ攻撃のような高度化したサイバー攻撃や内部不正に関しては、 もはや「未然に防ぎきることは不可能である」ということを認識する必要がある。 こうした状況において、重要インフラ事業者等にあっては、情報セキュリティに係るリスクへの備え を経営戦略として位置付け、リスクアセスメントの結果を踏まえたリスク対応を戦略的に講じることが 必須の要件となっており、機能保証の観点からは、サイバー攻撃等に遭遇した場合であっても、重要イ ンフラサービスを安全かつ継続的に提供できるように、リスクアセスメントの結果を踏まえた適切な対 処態勢が整備されることも必要である。 https://www.nisc.go.jp/active/infra/pdf/infra_rt4_r1.pdfより抜粋東京大学 情報学環
重要インフラにおける機能保証の考え方に基づく
リスクアセスメント手引書 (第1版)
• 情報セキュリティ確保に係るリスクアセスメントの考え方や具体的 な作業手順(リスクの特定など)に関するフレームワークを提供 「重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書(第1版)」より抜粋東京大学 情報学環
ヒアリングや調査に基づく
制御システム・ITシステム間のギャップ
東京大学 情報学環
重要インフラが狙われる事例
• 調査やヒアリングの際に、制御システムを担当する方々に対して、 公開されているサイバー攻撃の海外事例などを紹介することがある が、スムーズにコミュニケーションが進まないことがある →制御システムとITシステムの考え方や文化の違い 重大な経営課題となる制御システムのセキュリティリスク https://www.ipa.go.jp/files/000051552.pdf東京大学 情報学環
そもそも工場やプラントのリスクとは?
• 工場やプラントにおいて「重大なリスク」とは、事故発生による従 業員の身体や生命への影響や、有機化合物などの流出による環境汚 染などをイメージすることが多い • そのため、IT担当が言う「サイバーセキュリティのリスク」がス ムーズに認識され、対処されることは多くない 工場の事故に関するニュース記事の例 (一部筆者にて白抜き) HSE(衛生・安全・環境)への取り組み:JX石油開発株式会社http://www.nex.jx-group.co.jp/corporate/outline.html東京大学 情報学環
ICS
と IT の比較
13 Reference: https://www.jemima.or.jp/activities/file/2010-JEMIMA-Show_Security-WG.pdf をもとに、赤文字は筆者が修正 • ICS と IT について以下の様な比較を目にするが、ヒアリングや調査 を通じて得た知見としては、リスクに関する捉え方が大きく異なる こと • 両者のギャップを埋めるためには、相互理解を通じて信頼醸成を行 うことが必要 項目 ICS IT リスク ・健康/人命 ・環境 ・情報漏えい・提供サービスの停止 性能用件 応答性能が重要。遅延は重大問題 応答性能よりもスループットが要求される 可用性 システムの再起動は許されない場合が多い 運用上必要であればシステムの再起動が許容 即時性 人による緊急処置の操作を妨げてはならない 即時性を要求する緊急処置は少ない ライフタイム 15-20年と長い 3-5年が中心 通信 専用プロトコル、通信設備が含まれるため、 専門の技術者が必要。 標準的な通信プロトコルが使用される。 危機管理 人、環境の安全性が第一。次にプロセスの保 護。 データ機密性及び完全性が第一。東京大学 情報学環
関係者間のギャップ解消に向けて
・かつてITとセキュリティ間で散見されたギャップ ITエンジニア ITオペレータ (or 意思決定者) ITセキュリティは、 とても重要 セキュリティ 専門家や担当者 分からないこともないけ ど、{予算|人|技術力|体制 |xx}がね・・・ 相互理解、技術の進展、影響度の大きい インシデント発生、その他の理由により ギャップの解消が進んだ 制御系エンジニア 制御系オペレータ 制御システムの特徴や 制御系の文化を 理解しているのか? ITセキュリティは、 とても重要 セキュリティが新たな分野に進出するに あたり、当該分野における文化や特徴を 理解し、信頼醸成をすることが必要に セキュリティ 専門家や担当者 ・現在、ITと制御間で散見されるギャップ • 頭ごなしに何かを伝えても、重要性や必要性は伝わりにくい • 異なる分野で連携して成果を出すには相互理解や信頼醸成が必要となる東京大学 情報学環
制御システムのリスクアセスメント
東京大学 情報学環
プラント安全設計
• 安全(Safety)とは許容できないリスクから免れている状態[ISO・IEC Guide 51] • プラント安全設計 事故は設計,施工,操作,設備管理などの複数の不備が複雑に絡み 合って発生する。事故の発生を回避するために様々な対策が実施さ れている – プロセス安全 – 安全計装(IEC 61508等) – 装置の安全機能 – 操作の安全性 – インターロックシステム など東京大学 情報学環
リスク軽減のための分析手法
• Hazard and Operability(HAZOP)
– 英国ICI社が化学プロセスの安全性解析手法として開発 – 流量や圧力などのパラメーターを正常運転状態から逸脱した状態にした時の運転上のプ ロセスに関わる潜在的な危険の発見可能 • フォルトツリー解析(FTA)[JIS Z8115:2000] – 下位アイテム又は外部事象、若しくはこれらの組合せのフォールトモードのいずれが、 定められたフォールトモードを発生させ得るか決めるためのフォールトの木形式で表さ れた解析手法
画像引用:Training, Certification, Online Course in Hazard and Operability
東京大学 情報学環
安全とセキュリティ(1)
• 制御システムにおいて一つの機能や装置が異常停止しても、必ずし も安全に影響を与える訳ではない • 制御システムで培われた安全(Safety)という考え方への理解を深めつ つ、セキュリティの観点からリスクを洗い出す リスクの洗い出し リスクの評価 リスクの優先順位付け リスクマネジメント目標設定 リスクマネジメント計画の策定 モニタリング 情報管理 復旧活動 危機対応組織の構築 危機発生 狭義のリスク マネジメント クライシス マネジメント 広義のリスク マネジメント 引用:経済産業省「先進企業から学ぶ事業リスクマネジメント 実践テキスト」 木村 真 “原理原則に基づく化学プラントの安全化に関する考察” , Safety & Tomorrow No152, 危険物保安技術協会東京大学 情報学環
安全とセキュリティ(2)
• 具体的には、例えばPLCやRTUは容易にサイバー攻撃が可能である が、それをもってシステム全体の安全が失われるわけではない (「セキュリティ」の問題 ≠ 「安全」の問題) • どのような事象が発生すれば、システム全体への影響が生じるかを 制御システムの担当を含めて議論する東京大学 情報学環
フォルトツリー解析(FTA)
• JIS Z8115:2000にて以下のように定義されている • 「下位アイテム又は外部事象、若しくはこれらの組合せのフォール トモードのいずれが、定められたフォールトモードを発生させ得る か決めるための、フォールトの木形式で表された解析。」 島田行恭, "プロセス産業における安全管理の体系化と具体的な進め方" サイバー攻撃のリスクを 考慮したFTAを検討する東京大学 情報学環
VEC
・名古屋工大と連携した
制御システムへのサイバー攻撃実証
東京大学 情報学環
制御システムへのサイバー攻撃実証
• 名古屋工業大学の越島先生・橋本先生およびVECとの連携のもと、制 御システムに係るサイバーセキュリティのリスク評価を模擬プラント を用いて実施 • 前述のPLC単体に対する攻撃とは異なり、システム全体(OPCやHMI 等あるいは人的な誤認識・誤動作を含む環境)に対するサイバー攻撃 の影響を検証 電力大手も新電力も、既にサイバー攻撃の“的”にされている http://www.itmedia.co.jp/smartjapan/articles/1509/01/news094_3.html東京大学 情報学環 攻撃起点: 踏み台PC ※Supervisory Zoneの感染PCを起点に攻撃を 実施 1. 感染PCからOPC Serverに侵入 2. OPC Serverのパスワードを窃取 3. 窃取したパスワードを用いて感染PCから OPC ServerにPsexecで侵入 4. OPC Serverからコントローラへリプレイ 攻撃 5. OPC Serverの設定値を不正に変更 101 1,2,3 4 5
攻撃シナリオ:概要図
23東京大学 情報学環
攻撃例:OPC Server設定ファイル改ざん
• 不正なタグを追加し、PV/SVに割り当てられていたコントローラの アドレスを割当て 24 変更前:<TAG Name="tank1_PV" LibType="ModbusEthernet" Type="TAG"
ParentName="LC1"><Info>tank1_PV,,2,1,0,1,0,0,0,4,2003,0,1,0,#OPTION#,0,0.000000,1000.000000,0.000000,10 .000000,"",0,0,0,"|0|0|0|1|0|0|1|0|0|1|0|0|1|0|0|0|0|0|1|0|0|1|0|0|0|0|1|0|1|0|1"</Info></TAG>
<TAG Name="tank1_SV" LibType="ModbusEthernet" Type="TAG"
ParentName="LC1"><Info>tank1_SV,,2,1,0,1,0,0,0,4,2501,0,1,0,#OPTION#,0,0.000000,1000.000000,0.000000,10. 000000,"",0,0,0,"|0|0|0|1|0|0|1|0|0|1|0|0|1|0|0|0|0|0|1|0|0|1|0|0|0|0|1|0|1|0|1"</Info></TAG>
変更後:
<TAG Name="tank1_fake_PV" LibType="ModbusEthernet" Type="TAG"
ParentName="LC1"><Info>tank1_PV,,2,1,0,1,0,0,0,4,2003,0,1,0,#OPTION#,0,0.000000,1000.000000,0.000000,10 .000000,"",0,0,0,"|0|0|0|1|0|0|1|0|0|1|0|0|1|0|0|0|0|0|1|0|0|1|0|0|0|0|1|0|1|0|1"</Info></TAG>
<TAG Name="tank1_fake_SV" LibType="ModbusEthernet" Type="TAG"
ParentName="LC1"><Info>tank1_SV,,2,1,0,1,0,0,0,4,2501,0,1,0,#OPTION#,0,0.000000,1000.000000,0.000000,10. 000000,"",0,0,0,"|0|0|0|1|0|0|1|0|0|1|0|0|1|0|0|0|0|0|1|0|0|1|0|0|0|0|1|0|1|0|1"</Info></TAG>
東京大学 情報学環
• OpenOPCを使って、タグtank1_PV , tank1_SVの値を1200(平常 運用時の値)に設定
※この時、OPC Server 0号機(Enterprise zoneにあるOPCサーバ) が起動していないと、connectに失敗する事象が発生 25
攻撃例:OPC経由でHMIに表示されるPV/SV値を改ざん
opc = OpenOPC.client() opc.connect(u'Takebishi.Dxp.5','localhost') time.sleep(15) opc['LC1.tank1_PV']=1200 opc['LC1.tank1_SV']=1200 ※具体的な攻撃手法の公開を避けるため一部黒塗り東京大学 情報学環 • 攻撃の結果、タンク内の水は空になっているが、HMIの表示上は、 攻撃前のPV値に近い値: 1,200となっており、攻撃の影響を隠蔽 26
攻撃例:OPC経由でコントローラのSV値を不正に変更
攻撃前のHMI (PV値は1,200あたりを 変動している) 攻撃後のHMI (PV値は1,200を 継続して表示) 攻撃後のタンクの様子 HMI表示のみをベースとして運用するとリスクとなり得る東京大学 情報学環
本日は、簡易なポンプシステムを用いて
サイバー攻撃のデモを実演します
東京大学 情報学環
サイバー攻撃への備え
(人材育成の面から)
東京大学 情報学環
OT
とITを繋ぐ人材
• 2017年4月、情報処理推進機構内に産業サイバーセキュリティセン ターを開設 • 制御システムのサイバーセキュリティ対策を担う中核人材を育成 画像引用:産業サイバーセキュリティセンター事業案内 https://www.ipa.go.jp/files/000069940.pdf東京大学 情報学環
育成する人材像
• 社会インフラ・産業基盤事業者において、サイバー攻撃によるリスク を認識・評価し、必要なセキュリティ対策について判断を行う人材 • サイバーセキュリティに係る企画立案を行い、経営層と現場の橋渡し を通じて、必要な対策を素早く確実に実行に移すことできる人材 • 幅広い知識と技術を習得 – 攻撃技術および防御技術、マネジメント、法律、BCP、クライシスマネ ジメント、国際標準、内部統制 – 安全(Safety)とセキュリティ(Security) – 局所的リスクとシステム全体のリスク – 海外の政府、関係業界、専門家等の連携 – 最新情報技術の調査研究 産官学連携により、サイバーセキュリティ人材育成・技術調査の中核拠点を目指す東京大学 情報学環
提案できる知恵を付ける
–
制御システムセキュリティという新たな領域に関して
理解し対策を自発的に提案できるための能力を養う
31 知識/理論 (Knowledge) 経験/実践 (experience) 知恵 (wisdom) ・知識や理論だけだと 頭でっかちになる危険性 (例:多数のレシピを学ぶ) ・経験や実践だけだと 近視眼的になりがち (例:調理経験を磨く) ・知識と経験に基づく知恵を得ること で新たな事象に対しても柔軟かつ 効果的な思考が可能になる (例:新しい料理を考案)東京大学 情報学環
