制御系システムのセキュリティ-制御系システムと人間系システムの共存のあり方-
7
0
0
全文
(2) 制御系システムと人間系システムの共存のあり方. 制御機能. 商品・サービス 利用者. 人間系システム 制御系システム ■ 制御情報ネットワーク ■ 監視・制御装置 ■ コントローラ ■ センサ・アクチュエータ など ■ 監視・モニタリング ■ 障害対応 ■ システム,運用ルールの改善活動 など. サービス提供システム ■ 製造装置 ■ 制御装置 ■ 通信装置 など. 他の制御系システム □ 制御情報ネットワーク 他の制御系システム □ 監視 ・制御装置 □ 制御情報ネットワーク □ コントローラ □ 監視 ・制御装置 □ センサ ・他の制御系システム アクチュエータ など □ 制御情報ネットワーク □ コントローラ □ 監視 ・制御装置 □ センサ ・アクチュエータ など □ コントローラ □ センサ・アクチュエータ など. 図 -1 制御における人間系システムと制御系システムの位置付け. 可用性や完全性とのバランスをどのようにとらえる. 金融といった多くの重要インフラ事業に導入されて. 必要があるのか,といった動的・柔軟的な情報セキ. いるが,それらの事業が実際に提供する商品・サー. ュリティ・マネジメントのあり方についての議論も. ビスの安全性,安定供給性など大きくかかわりを持. 展開する.. つことから,重要インフラ事業における重要システ ムとして位置付けることができる.. 制御系システムの定義と求められる システム要件 ■ 制御における制御系システムと 人間系システムの定義と役割分担. 我 が 国 は 内 閣 官 房 情 報 セ キ ュ リ テ ィ セ ンター (NISC : National Information Security Center)が, 重要情報インフラ防護(CIIP : Critical Information Infrastructure Protection)の観点から 10 の対象事. 先述の通り,制御という機能を司るのは人間系シス. 業分野を特定し(図 -2),事業者,有識者と所管省. テムと,人間によるオペレーションでは対応しきれな. 庁を集めた脅威分析と横断的演習の検討会を展開し. い量や速度,あるいはより微細な正確性が求められる. ている.その中で定義されるような重要システムに. データ処理やコントロールをコンピュータシステムが. は,さまざまな要件が求められる(図 -2).それら. 代行する制御系システムである.具体的には,人間系. の中でも,重要システムとしての制御系システムに. システムは,制御系システムに対する監視や障害対応,. は,特に障害時においても最低限の機能を維持でき. また,システムや運用ルールの改善活動のプロセスを. る堅牢性,緊急時でも利用者が使用したいときにい. 担当し,一方,制御系システムは制御情報ネットワー. つでも利用できる可用性,内部からの情報流出や外. ク,監視・制御装置,コントローラ,センサ,アクチ. 部からの侵入を防止する安全性,障害発生時にも素. ュエータなどで構成される機器群とともに,求められ. 早くリカバリーできる信頼性などがより求められる.. るパフォーマンスを実現するための制御機能を提供す る.そして,実際の制御は制御系システムと人間系シ ステムの組合せで行われる (図 -1) .. 台頭する制御系システムの セキュリティ関連リスク ■ 台頭する制御系システムの脆弱性. ■ 制御系システムに求められる要件. 前章で述べたように,制御機能は人間系システム. 制御系システムは,電気・ガス・水道・通信・運輸・. と制御系システムが協調して提供されるものである. 情報処理 Vol.52 No.11 Nov. 2011. 1435.
(3) のセキュリティ. 解説・制御系システム. 情報通信. 金融. (通信・放送). 物流. 医療. 行政. 信頼性. 堅牢性. 鉄道. 重要 インフラ システム. 水道. 安定性. 航空. 必要要件. 電力 ガス. 柔軟性. 可用性. 安全性. 拡張性. 図 -2 我が国の重要インフラと重要システムに求められる必要要件. が,ICT 関連技術の急速な発達により,制御系シ. は急激に上がりつつあると言っても過言ではない.. ステムが複雑化・肥大化してきていることと同時に,. このような状況を考えると,もはや制御系シス. そのようなシステムの基本設計を理解し,さまざま. テムの不具合の未然防止には限界があるのは明ら. な障害に対応できるような運用のプロフェッショナ. かであり,事故前提で制御機能における人間系シ. ルの育成が追いついていないという状況に起因する. ステムと制御系システムに,柔軟性のある回復力. インシデントが散見されるようになっている.. (resilience:レジリエンス)を持たせることに経営. 2002 年あたりまで振り返ってみると,制御系シ. 資源をより投下し始める必要がある.. ステムの不具合とそれに伴う人間による初動の遅延. 事故前提で制御系システムの運用を考えた場合,. や復旧オペレーションにおける誤操作などの原因で,. インシデントが発生するまでの日々の改善活動から,. 国内だけでもダムの異常放流,銀行合併時のシス. インシデント発生時もしくは,インシデントに繋が. テム統合障害,航空管制システム障害,銀行 ATM. るような不具合(意図的攻撃も含む)が検知された段. ネットワーク全国規模障害,消防局通報制御システ. 階から開始される防護・防御活動,そして,障害対. ム障害,証券取引売買システム停止など,これまで. 応をしながら進められる原因究明に基づく回復活動. 堅牢性を誇っていた重要システム群にも不具合が発. の 3 つの活動フェーズ(図 -3)において,人間系シ. 生し,その発生分野や社会・経済活動への影響パタ. ステムが果たす役割は非定形的であり,かつ,第六. ーンは多様化している.. 感も含めたような熟練の知識と経験を持つプロフェ ッショナルが必要となる.. ■ 事前対策の限界と改善・防御・回復の. また,そのようなプロフェッショナルは,通常時. フェーズごとに求められるタスク. だけではなくインシデント発生時に利害関係の生じ. 上述の不具合はいずれも非意図的な障害である. る幅広いステークホルダ(利害関係者)や社会に対し. が,海外ではすでに問題となっており,我が国の重. て,適時に適切な情報を提供することも求められる.. 要システムの制御系システムの脅威となりつつある,. また,障害対応の状況や原因究明の進捗状況などに. Stuxnet(スタックスネット) のように,マルウェア. よっては,制御系システムを停止させる判断と行為. を利用した意図的なサイバー攻撃などの可能性が台. を行わなければならない.. 頭することを勘案すると,制御系システムの脆弱性. 1436 情報処理 Vol.52 No.11 Nov. 2011.
(4) 制御系システムと人間系システムの共存のあり方. 改善. 防御 検知. 回復 停止. 障害対応. 障害対応継続. 復帰. 改善. 原因究明 ユーザや社会に対するリスクコミュニケーション 図 -3 事故前提の考えに基づく制御システムの 3 つの障害対応フェーズとタスク. 高度に自動化・ネットワーク化された システム群の脆弱性. ■ 高速・大量処理を行う多数の制御系システム . ■ 高度に自動化・ネットワーク化された. ここでは制御系システムそのものではないが,プ. 制御系システムの現状. ログラムされたロジックに基づき,高速,高頻度,. 前章までは主に単独の制御系システムについての. かつ,広範囲でデータ交換や処理を行うシステム群. 議論を展開してきたが,本章では,多数の制御系シ. が連結された証券取引市場システムをアナロジー的. ステムが連結され,自動化・ネットワーク化するこ. な事例として取り上げる.. とにより顕在化してきた新しいタイプのリスク,特. 我が国の証券取引市場も近づきつつある状況であ. に単独の制御システムで発生した障害が,接続され. るが,米国の証券取引市場ではすでにミリ秒単位の. た他の制御システム群を介して連鎖増幅を引き起こ. HFT(High Frequency Trade:高頻度プログラム. すようなものに関する解説を行う.. 売買取引)が定着しており,小口取引の急増に伴う. 先述の通り,最近では複数の制御系システムを連. 取引件数激増,株価指数先物取引の構成銘柄の多様. 結してより広範囲に多くのパラメータを監視・制御. 化に伴う複雑性の増加といった状況に加えて,同じ. しながら,システム全体に求められるパフォーマン. 銘柄に対して複数の取引市場が存在する証券市場構. スを実現することが要求されつつある.しかし,接. 造の多重性が,全体システム全体の脆弱性として問. 続された複数の制御系システム群が個々の最適化の. 題視されつつあった.. ために判断をしたデータ処理が,全体システムとし. このように高度に自動化・高速化された株式売買. て統合された結果,社会・経済活動に不利益をもた. システムでは,膨大な売買注文データや価格データ. らす 「想定外」 の障害になってしまったようなインシ. がシステム内外を飛び交っており,さらにシステム. デントが発生している.個別最適の集合体は必ずし. が多数連結された状況では,微小な揺らぎが大量の. も全体最適にはなり得ない,とも言える.. データ交換の連鎖増幅を短時間に呼び起こし,全体. が連結されたシステミック・リスク . システムが大きくブレる結果となる. これは,初期の小さな差が大きな差へと拡大する ような状況を示すバタフライ効果が発生するリスク や,金融機関の破たんや大規模情報システム障害が. 情報処理 Vol.52 No.11 Nov. 2011. 1437.
(5) のセキュリティ. 解説・制御系システム. 1180. 80,000. 1160. 70,000. Volume Price. 60,000. 1140. 1100 40,000. Price. 1120. 50,000. 1080. 30,000. 1060. 20,000. 15:45. 15:30. 15:15. 15:00. 14:45. 14:30. 14:15. 14:00. 13:45. 13:30. 13:15. 13:00. 12:45. 12:30. 12:15. 12:00. 11:45. 11:30. 11:15. 11:00. 10:45. 10:30. 1020. 10:15. 0. 9:45. 1040. 10:00. 10,000. 9:30. Volume(contracts per minute). E-Mini Volume and price 90,000. http://sec.gov/news/studies/2010/marketevents-report.pdf. 図 -4 米国市場監督当局が公開した 2010 年のフラッシュ・クラッシュに関する報告書からの抜粋. 市場やネットワークを通じて決済システム全体を大. 取り引きされる市場構造からも,問題を増幅したと. 混乱させるような状況を引き起こすような,システ. いえる.その後,米国市場の監督当局と市場参加者. ☆3. ミック・リスク. を包含している可能性が高いと言. える.. は,特定の銘柄の価格が HFT の暴走により短時間 で大幅に変動した場合には,人間の意思によりあら かじめ組み込まれたプログラムで強制的に取引停止. ■ 事例考察:2010 年 5 月 6 日の米国 NY 株式. を行う,サーキットブレイカー(異常時緊急停止). 市場で見られたフラッシュクラッシュ. と呼ばれる仕組みを伴う運用ルールを制定すること. 2010 年 5 月 6 日,ニューヨーク株式市場ダウ平. で調整を進めている.. 均指数が 14:30 には 10,600 ドル前後だったものが,. そもそも個別の制御系システムには,暴走を防ぐ. 14:47 には 9,870 ドルと一挙に前日比 9.2% とブラッ. ようなフィードバック機能をベースとしたロジック. クマンデー以来の大暴落を記録.15:00 には 10,410. が組み込まれているが,連結されたシステム群にお. ドルまで回復したものの,それまで指摘されつつあ. いても,その個別ロジックの集合体が暴走を防げる. った,HFT が大きくブレ始めたときに,人間の操. とは限らない.そこには,さらなる制御のロジック. 作が関与することなく市場全体が大混乱に陥るとい. を組み込むよりも,ある閾値を超えた瞬間にオペレ. う可能性を実証したような事例となった (図 -4).. ーションを強制停止させる,という利害関係者間の. 原因究明は長期化し,その間,証券会社の誤発注. 合意に基づく運用ルールと仕組みが今のところ現実. やプログラム・ミスなどが原因として報道されたが,. 的な選択肢として考えられているが,将来的には市. いずれにしても何らかの理由で売買の需給バラン. 場全体の揺らぎや「ブレ」をモニタリングしながら,. スが瞬間的に崩れたことが引き金となり,HFT や,. 即時に価格や利率に反映させることで市場全体の安. 個別銘柄のボラティリティ. ☆4. を制御する仕組みが. 定性を維持する制御系システム群の制御をさらに司. 機能しなくなり,さらに,同一銘柄が複数の市場で. るような技術の開発が必要であろう.. ☆3. このような多数のシステムが連結された統合シス. ☆4. 1974 年に外国為替市場決済でマルクを受け取った後に,その対価 である米ドルを支払わないまま倒産した独国ヘルシュタット銀行が, ドルを受け取る予定だった銀行群を中心に外国為替市場全体に大混 乱を巻き起こしたことから, 「ヘルシュタット・リスク」 とも呼ばれる. 金融資産の価格変動の激しさを表す指数.. 1438 情報処理 Vol.52 No.11 Nov. 2011. テム(system of systems)の形態は,今後,多くの 制御系システムが連結されながら形成されるスマー.
(6) 制御系システムと人間系システムの共存のあり方 ト・グリッド,スマート・ビルディング,さらには. Management)が求められる.また,情報セキュリ. スマート・シティといった巨大システム群にも存在. ティ・マネジメントを取り巻く経営環境や技術環境. することになり,扱うデータの意味するところ(経. の多様化や変化のスピードが急増している状況,そ. 済価値など)や制御の目的,また,関与する産業そ. して,今後はサイバー攻撃を中心に「新しいタイプ. のものは異なるものの,本事例で発生したような状. の攻撃」の出現が続く可能性が高いことを考えると,. 況に陥る可能性があることを示唆していると考える.. 事前対策や水際作戦にはもはや限界があり,原因事 象にとらわれずに結果事象を中心に対策を考える事. 動的なセキュリティ・マネジメントの必要性. 業継続マネジメント(BCM)の考え方に基づいた体 制構築が急がれる.その際,事故前提のレジリエン. ■ 制御系システムにおける. ス(柔軟性のある回復力)を制御系システムと人間系. 情報セキュリティ・マネジメントの現状. システム,さらには商品・サービスの提供にかかわ. 多くの制御系システムは今のところ,ネットワー. るシステム全体で構築することが肝要である.. クなどで外部との接続がない「閉じた(closed:クロ. 重要インフラにおける制御系システムへのサイバ. ーズドな)」システムが多いという事由で,その情. ー攻撃に対するセキュリティ確保に関する研究は,. 報セキュリティ・マネジメントの取り組みは一般. 特に多くの汎用システムを制御系システムとして重. 的なアプローチにとどまり,制御機能の事業継続. 要インフラに導入している米国は,国防省(DoD). (business continuity)という観点からの懸念を持つ. と国土安全保障省(DHS)が国立研究所や主要ベン. 重要インフラ事業者は多くはなかった.しかしなが. ダとともに,実際の運用環境により近づけた大規模. ら,従来型の「閉じた」システムであったとしても,. な試験用プラットフォーム(テストベット)に制御系. その基本設計や初期導入後に追加開発された機能プ. システムを実装しながら,セキュリティ強化の研究. ログラム群との依存関係などを熟知した運用者(オ. を積極的に推進しており,我が国でも同様の体制構. ペレータ)がそう多くは存在しないという状況が想. 築の検討が開始されている.. 定され,そうなると人間系システムと制御系システ ムが協調することを前提に設計されている制御機能 全体に求められる要件が,実際には満たせていない. 今後の制御系システムと人間系システムの 共存のあり方. という状況に陥っている可能性が高いと言える.. ■ 自動化されたシステムと人間の役割 自動化されたシステムの特徴とその「落とし穴」に. ■ これからの制御系システムにおける. ついて英国のエンジニアリング心理学者,Lisanne. セキュリティ・マネジメントのあり方. Bainbridge は下記のように定義している. ☆5. 上述の情報システム全般向けの情報セキュリテ. .. ➤➤人間の仕事の容易な部分をとってしまい,難. ィ・マネジメントでは,C (Confidentiality:機密性),. しい部分をさらに難しくしている.. I(Integrity:完全性) ,A(Availability:可用性). ➤➤システム設計者は人間を信頼できない,非能. の順で重点が置かれることが多いが,制御系システ. 率的なものとみている一方で,自動化できな. ムに特に求められる堅牢性,可用性,安全性,信. い仕事を人間に負わせている.. 頼性といった視点を勘案すると,A(Availability:. ➤➤高度に自動化されたシステムにおける人間の. 可用性)ベースにインシデントの状況に応じて可. 仕事は,自動装置が設計どおりに動いている. 変 的 に セ キ ュ リ テ ィ・ レ ベ ル や C.I.A. の バ ラ ン. ことを確認するだけ.モチベーションの低下. スを変更できる柔軟な運用(動的情報セキュリテ ィ・マネジメント:Dynamic Information Security. ☆5. Bainbridge, L.:Ironies of Automation, Automatica, Vol.19, No.6, pp.775-779(1983).. 情報処理 Vol.52 No.11 Nov. 2011. 1439.
(7) のセキュリティ. 解説・制御系システム. が発生したり,きわめて稀にしか起こらない. も変化しつつある.このような状況下,今後発生す. 異常を見つけることが難しくなる.. るであろう複合的かつ多くのシステムをまたがった. ➤➤めったに故障することのない自動化システム. ような「広域」障害に対応するためには,制御系シス. の,緊急時に必要なスキルを人間が実践する. テムのセキュリティにかかわる技術的な部分にも増. 機会を奪っている.. して,人間系システムを司るオペレータや運用統括. ➤➤最終的に,人間の訓練に膨大な費用がかかる 仕事だけを残す.. 者の専門性を集中的に強化することが,最優先の課 題であると考える.. この定義に制御系システムを照らし合わせてみる. 人間が自らの作業を効率化したり,処理能力以上. と,情報システムと人間が担う機能の再整理と障害. の作業を可能にすることで豊かな生活を得るために. 発生時の初動・復旧手順の整備に着手しながら,制. 開発された情報処理技術や制御システムの仕組みは,. 御系システム運用分野のプロフェッショナルを育成. その存在自体が脆弱性を生み出しているわけではな. することの重要性が浮かび上がってくる.特に人間. い.技術やシステムのリスクはその使い方に依存す. 系システムにおける監視・検知,および障害対応に. るものであり,脆弱性を生み出すと同時に,それを. おける専門人材育成の強化と国内外の人的ネットワ. 克服できるのは使い手である人間そのものである.. ークの構築は,我が国のみならず,これから制御系 システムにかかわる技術を共有したり,連結するこ とが見込まれる海外諸国と連携して取り組むべき喫 緊の共通課題であると言える.. ■ 情報処理技術のリスクと ネットワーク型社会の課題. 参考文献 1) FINDINGS REGARDING THE MARKET EVENTS OF MAY 6, 2010, 米国商品先物取引監視委員会・米国証券監視委 員会(Spt. 2010). 2) The Code War, Bloomberg Businessweek 記事 , pp.52-57(July 25th-31th. 2011). 3) 中部電力(株)大井川水力発電所大井川ダムに係る指示文書に 対する報告,経済産業省原子力安全・保安院(Apr. 2006). 4) Reason, J.:組織事故―起こるべくして起こる事故からの脱出, 日科技連出版社(Apr. 1999). (2011 年 8 月 10 日受付). 高度化され連結されつつある制御系システム群は, 我々の日常生活や社会・経済活動の大前提となる重 要インフラのサービス・レベルを大きく左右する存 在となりつつある.その制御系システム群は,遠隔 監視や自動化技術の大幅な採用により,人間系シス テムの役割を分散型の肉体労働から集約型の頭脳労 働に変え,システム障害に伴い発生する事故の特徴. 1440 情報処理 Vol.52 No.11 Nov. 2011. 渡辺研司 [email protected] 名古屋工業大学大学院工学研究科教授.1986 年京都大学卒業後, 富士銀行入行.プライスウォーターハウス・クーパースを経て 2003 年より長岡技術科学大学助教授,2010 年より現職.内閣官房重要イ ンフラ専門委員会委員,経済産業省 ISO セキュリティ統括委員会委員, ISO/TC 223(社会セキュリティ)WG1 国際議長などを兼務.工学博士, MBA..
(8)
関連したドキュメント
会 員 工修 福井 高専助教授 環境都市工学 科 会員 工博 金沢大学教授 工学部土木建設工学科 会員Ph .D.金 沢大学教授 工学部土木建設 工学科 会員
大学教員養成プログラム(PFFP)に関する動向として、名古屋大学では、高等教育研究センターの
金沢大学学際科学実験センター アイソトープ総合研究施設 千葉大学大学院医学研究院
東京大学 大学院情報理工学系研究科 数理情報学専攻. [email protected]
東京工業大学
東京工業大学
鈴木 則宏 慶應義塾大学医学部内科(神経) 教授 祖父江 元 名古屋大学大学院神経内科学 教授 高橋 良輔 京都大学大学院臨床神経学 教授 辻 省次 東京大学大学院神経内科学
東北大学大学院医学系研究科の運動学分野門間陽樹講師、早稲田大学の川上
