~ 目次 ~ 第 1 章タスクフォースの検討概要タスクフォースの趣旨目的制御システムセキュリティ対策の方向性とタスクフォース及び各 WG 間の関係第 2 章各 WGの検討概要テストベッドWG (1) テストベッ

(1)

制御システムセキュリティ

検討タスクフォース

報告書

中間とりまとめ（案）

2012 年 4 月 24 日

経済産業省

資料４

(2)

～目次～第１章タスクフォースの検討概要... 10 １．タスクフォースの趣旨・目的... 10 ２．制御システムセキュリティ対策の方向性と、タスクフォース及び各ＷＧ間の関係... 10 第２章各ＷＧの検討概要... 13 １．テストベッドＷＧ... 13 （１）テストベッドに関する要求事項 ... 13 （２）テストベッドが備えるべき機能 ... 14 （３）海外テストベッドの動向 ... 16 ２．標準化ＷＧ... 18 （１）標準化活動 ... 18 （２）既存規格の翻訳 ... 20 （３）既存規格の活用に関する検討 ... 20 ３．評価認証ＷＧ... 21 （１） ISA Secure 評価・認証スキームの調査 ... 21 （２） IEC62443 評価認証スキームの確立の検討 ... 22 ４．インシデントハンドリングＷＧ... 24 （１）検討の背景と目的 ... 24 （２）インシデントハンドリングの対処手順ガイドライン ... 24 （３） ICS 調整機関の提供サービス ... 25 ５．人材育成ＷＧ... 26 （１）既存のセキュリティ教育を利用できる教育プログラム ... 27 （２）制御システム独自のセキュリティ教育プログラム ... 28 （３）演習による訓練 ... 29 ６．普及啓発ＷＧ... 30 （１）普及啓発対象 ... 30 （２）組織内の責任分担 ... 31 （３）普及啓発内容 ... 32 第３章今後の展望... 33 １．サイバーセキュリティテストベッドの構築... 33 ２．国際標準化活動... 36 ３．評価認証制度の確立... 38 ４．インシデントハンドリング体制の整備... 39

(3)

はじめに制御システムにおけるインシデントの推移は、世界的には年々増加傾向にある。サイバー攻撃の影響を受けづらいとされてきた制御システムであったが、 Stuxnet の登場によって、重要インフラや工場プラントで使用される制御システムに対するサイバー攻撃が現実に発生し、重要なインシデントとなることが認知された。我が国においても、プラント設備や各種製造装置はインターネットへの接続が進んでいる。制御システムを各種エンジニアリングツールを活用することで、そのプログラムを簡便に変更、修正できるという利点もある。これらは Windows や Unix 系 OS といった汎用の OS 上で利用されているため、制御システムに対するサイバー攻撃の脅威が現実化してきた。また、欧米において、汎用製品（Windows や Linux）や標準プロトコル（TCP/IP 等）の利用によるオープン化が進んでおり、制御機器の納入に際し、セキュリティについて一定の証明、検査結果の提示が必要となる場合が報告されはじめている。同様の動きは国内でも始まっている。このように、我が国から海外への輸出や国内利用に関してもセキュリティが重要視されてきている。また、我が国に制御システムに関するセキュリティ評価の仕組みが存在しない中、民間企業が国内外市場へ出荷等する際に、セキュリティ評価が求められる事例も出てきている。経済産業省では、制御システムセキュリティにおけるテストベッドの構築、国際標準化、認証評価体制の整備、インシデントハンドリング体制の整備、人材育成・普及啓発等に関する実務検討を進めていくことを「サイバーセキュリティと経済研究会」において決定し、このため、「制御システムセキュリティ検討タスクフォース」（以下、「タスクフォース」という）を 2011 年 10 月に立ち上げた。タスクフォースでは、それぞれのテーマごとのワーキンググループ活動を通して、制御システムセキュリティ強化のあり方等の検討を行うとともに、国内外の動向調査やアンケート調査を実施した。本報告書では、タスクフォース及び各ワーキンググループにおける検討結果を報告する。本報告書で示した制御システムセキュリティ強化促進に向けたあるべき姿や

(4)

提言、そして今後の展望等については、重要インフラ等における制御システムユーザ、民間の制御システムベンダ等が、自らの責任として必要な対策を実施することを期待するとともに、日本全体の制御システム環境が、内外の新しい情報セキュリティ上のリスクに対する耐性を高め、我が国のインフラの輸出促進のための共通基盤強化に資することを願う。 2 0 1 2 年 4 月 2 4 日制御システムセキュリティ検討タスクフォース座長新誠一

(5)

制御システムセキュリティ検討タスクフォース

委員名簿

座長新誠一電気通信大学大学院情報理工学研究科教授委員尼崎新一三菱電機株式会社名古屋製作所技師長大津秀伸三菱重工業株式会社原動機事業本部プラント事業部制御システム技術部企画グループ主席技師岡庭文彦株式会社東芝社会インフラシステム社府中事業所計測制御機器部部長斧江章一トレンドマイクロ株式会社執行役員事業開発部部長北浦史郎社団法人日本ガス協会技術部保安技術グループ部長北川卓志電気事業連合会情報通信部副部長木元正孝 JX 日鉱日石エネルギー株式会社製造技術本部製造部プロセスシステムグループ担当マネージャー久保智富士電機株式会社技術開発本部製品技術研究所制御技術開発センターソリューション技術開発部部長小西信彰横河電機株式会社システム事業部執行役員事業部長小林偉昭独立行政法人情報処理振興機構セキュリティセンター情報セキュリティ技術ラボラトリーラボラトリー長沢俊裕株式会社安川電機常務取締役技術開発本部長庄司慎吉東洋エンジニアリング株式会社エンジニアリング統括本部電計エンジニアリング部部長高宗直人三井化学株式会社大牟田工場技術部制御グループ２チームチームリーダー竹田浩伸三菱化学株式会社黒崎事業所設備技術部プロセス制御技術グループグループマネージャー谷岡雄一清水建設株式会社エンジニアリング事業本部情報ソリューション事業部上席マネージャー土屋徹ハネウェルジャパン株式会社取締役土井良彦出光興産株式会社生産技術センターエンジニアリング室室長付プロセス制御担当中野利彦株式会社日立製作所情報制御システム社制御装置設計部主管技師松井俊浩独立行政法人産業技術総合研究所セキュアシステム研究部門長村上正志 VEC 事務局長

(6)

吉田雅美アズビル株式会社アドバンスオートメーションカンパニーマーケティング部副部長ソリューション事業担当米田尚登村田機械株式会社犬山Ｒ＆Ｄセンター東京分室室長渡部宗一森ビル株式会社管理運営本部管理運営部ＢＡシステムグループ上席参事オブザーバー岩本佐利一般社団法人日本電機工業会技術部長越島一郎名古屋工業大学大学院ながれ領域教授佐川浩二社団法人日本電気制御機器工業会技術委員会委員長佐藤吉信東京海洋大学海洋工学部教授芹澤善積財団法人電力中央研究所システム技術研究所領域リーダー上席研究員高野一志一般社団法人電子情報技術産業会高野正利公益社団法人計測自動制御学会産業応用部門ネットワーク部会瀧田誠治社団法人日本電気計測器工業会技術・標準部部長橋本芳宏名古屋工業大学大学院ながれ領域教授宮地利雄 JPCERT/CC 渡辺研司名古屋工業大学大学院工学研究科社会工学専攻教授事務局永塚誠一経済産業省商務情報政策局長中山亨経済産業省商務情報政策局審議官（第３回）三又裕生経済産業省商務情報政策局情報政策課長江口純一経済産業省商務情報政策局情報処理振興課長（第３回）経済産業省商務情報政策局情報セキュリティ政策室長（～第２回）上村昌博経済産業省商務情報政策局情報セキュリティ政策室長（第３回）乃田昌幸経済産業省商務情報政策局情報セキュリティ政策室課長補佐佐藤明男経済産業省商務情報政策局情報セキュリティ政策室課長補佐野田直史経済産業省商務情報政策局情報処理振興課課長補佐（第３回）

(7)

各ＷＧメンバー ○ ステアリングコミッティー座長新誠一電気通信大学委員佐藤吉信東京海洋大学渡辺研司名古屋工業大学越島一郎名古屋工業大学橋本芳宏名古屋工業大学村上正志 VEC 小林偉昭独立行政法人情報処理振興機構古田洋久 JPCERT/CC 遠藤直樹東芝ソリューション株式会社中野利彦株式会社日立製作所米田尚登村田機械株式会社オブザーバー松井俊洋独立行政法人産業技術総合研究所古原和邦独立行政法人産業技術総合研究所 ○ テストベッドＷＧ座長越島一郎名古屋工業大学委員遠藤直樹東芝ソリューション株式会社伊藤博樹横河電機株式会社木元正孝 JX 日鉱日石エネルギー株式会社古原和邦独立行政法人産業技術総合研究所佐内大司セキュリティフライデー株式会社土岐明史千代田アドバンスト・ソリューションズ株式会社オブザーバー鵜飼裕司株式会社フォティーンフォティ株式会社大西作幸三菱電機株式会社斧江章一トレンドマイクロ株式会社中野利彦株式会社日立製作所 ○ 標準化ＷＧ座長佐藤吉信東京海洋大学委員内山宏樹株式会社日立製作所小田原育也東芝ソリューション小松透ハネウェルジャパン株式会社鈴木和也横河電機株式会社高柳洋一株式会社東芝武部達明横河電機株式会社松本巌有限会社ジール山田勉株式会社日立製作所オブザーバー村上正志 VEC 渡辺創独立行政法人産業技術総合研究所宮地利雄 JPCERT/CC

(8)

中野利彦株式会社日立製作所 ○ 評価・認証制度ＷＧ座長新誠一電気通信大学委員伊藤聡株式会社東芝鵜飼裕司株式会社フォティーンフォティ技術研究所河野克己株式会社日立製作所澤田賢治電気通信大学鈴木剛東洋エンジニアリング株式会社高宗直人三井化学株式会社野口大輔 NRI セキュアテクノロジー株式会社松尾耕三出光興産株式会社松林龍彦清水建設株式会社オブザーバー渡辺創独立行政法人産業技術総合研究所宮地利雄 JPCERT/CC ○ インシデントハンドリングＷＧ座長渡辺研司名古屋工業大学委員村上正志 VEC 寺田真敏株式会社日立製作所桑村竜太郎株式会社安川電機大津秀伸三菱重工業株式会社梅田裕二株式会社東芝新井貴之横河電機株式会社木内舞財団法人電力中央研究所佐内大司セキュリティフライデー株式会社佐藤健トレンドマイクロ株式会社塩月誠人合同会社セキュリティ・プロフェッショナルズ・ネットワーク横内豊樹株式会社 Ji2 杉谷洋幸三菱化学エンジニアリング株式会社オブザーバー高木浩光独立行政法人産業技術総合研究所小林偉昭独立行政法人情報処理推進機構渡辺貴仁独立行政法人情報処理推進機構高野正利公益社団法人計測自動制御学会渡部宗一森ビル株式会社土井良彦出光興産株式会社竹田浩伸三菱化学株式会社高宗直人三井化学株式会社松林龍彦清水建設株式会社

(9)

○ 人材育成ＷＧ座長橋本芳宏名古屋工業大学委員中野利彦株式会社日立製作所山田勉株式会社日立製作所上石紀彦ハネウェルジャパン株式会社北内義弘財団法人電力中央研究所平林純一独立行政法人情報処理推進機構鈴木伸 NRI セキュアテクノロジーズ株式会社高橋孝一独立行政法人産業技術総合研究所オブザーバー山田秀和 JPCERT/CC 功力ゆみ JPCERT/CC 村上正志 VEC ○ 普及啓発ＷＧ座長村上正志 VEC 委員米田尚登村田機械株式会社大西康教株式会社東芝佐藤尚史日揮株式会社高橋孝一独立行政法人産業技術総合研究所渡部宗一森ビル株式会社オブザーバー阿部倫也一般社団法人日本電機工業会新井貴之社団法人日本電気計測器工業会菊嶋隆史一般社団法人電子情報技術産業協会北浦史郎一般社団法人日本ガス協会北川卓志電気事業連合会木元正孝公益社団法人石油学会鈴木剛公益社団法人計測自動制御学会宮坂好治公益社団法人化学工業会山田秀和 JPCERT/CC 山本博社団法人日本電気制御機器工業会

(10)

制御システムセキュリティ検討タスクフォース検討経緯

第１回日時：2011 年 10 月 28 日（金）場所：経済産業省共用会議室（本館 2 階東 6）議題：（１）制御システムセキュリティ検討タスクフォースにおける検討課題（２）評価認証ツールの脆弱性検証について（３）海外プラント市場における制御システムセキュリティに関する要求の動向変化について（４）その他第２回日時：2012 年 1 月 27 日（金）場所：経済産業省共用会議室（本館 2 階東 6）議題：（１）サイバーセキュリティテストベッド構想（２）各ＷＧの進捗報告（３）その他第３回日時：2012 年 4 月 24 日（火）場所：経済産業省共用会議室（本館 2 階西 8）議題：（１）中間とりまとめ（案）について

(11)

第１章タスクフォースの検討概要１．タスクフォースの趣旨・目的 2010 年 12 月に立ち上げた「サイバーセキュリティと経済研究会」において制御システムセキュリティ対策に関する実務検討を進めていくことを決定し、そのための「制御システムセキュリティ検討タスクフォース」（以下、「タスクフォース」という）を 2011 年 10 月に発足した。本タスクフォースでは、国内の重要なインフラに対する情報セキュリティ対策の強化及び海外の貿易障壁となり得る制御システムセキュリティ認証への対応、スマートコミュニティの導入促進を含めたインフラ輸出促進のための共通基盤の強化策について検討する。２．制御システムセキュリティ対策の方向性と、タスクフォース及び各ＷＧ間の関係制御システムセキュリティ対策の方向性は、大きく分けて 3 つの対策がある。 1 点目は、国際標準化の推進、実証実験の実施及び評価・認証スキームの構築など未然防止に向けた取組である。次は、インシデント等への対応としての事後対策であり、また、これを支える共通基盤として、人材育成や普及啓発が考えられる。まず未然防止対策として、北米、欧州において制御システムセキュリティ基準が業界主導で策定され、国が支援するという連携した形で推進されている。また、共通の検証設備（テストベッド）については、業界と国の共同という形で認証スキームを含め実施されている。そこで、日本において、欧米の体制、動向を注視しつつ、戦略的な標準づくりをする必要がある。さらには、諸外国との相互承認を視野に、日本においても評価・認証スキームを立ち上げることが重要である。また、インシデント対応体制においては、実際にインシデントがあったときに、米国では、産業用の制御システム向けのインシデント対応チーム（ICS-CERT）が稼働しており、インシデント対応のための技術者の派遣等を実施している日本国内においては、一般の情報システムに対する CERT は既に運用されているが、産業用の制御システムについては今後の検討課題である。また、脆弱性が判明した場合のパッチ適用の動作検証試験の実施、脆弱性情報の注意喚起、情報発信のための仕組みや体制について改めて検討すべきである。さらに、制御システムセキュリティについては高度な知識が要求され、制御システムと情報セキュリティの両方を理解する人材を育成する必要がある。ま

(12)

た、安全性確保に対するリスクとコストの意識醸成を含めたユーザ企業等への普及啓発が必要である。図１-１制御システムセキュリティ対策の方向性出典：経済産業省「サイバーセキュリティと経済研究会報告書」（2011 年 8 月）そこで、我が国の制御システムセキュリティ対策の実現に向け、以下の WG を編成し、具体的課題について検討した。テストベッド検討 WG テストベッドの構築準備標準化 WG IEC62443 等の国際規格への対応検討評価・認証制度 WG 評価ツールの検討、国際相互承認インシデントハンドリング体制 WG 脆弱性・インシデントハンドリング体制、国際連携普及啓発 WG 普及啓発方法の検討日本北米欧州セキュリティ基準欧米の体制、動向をにらみながら、戦略的な標準作成、及び、評価・認証スキームの立ち上げを推進。業界主導、国支援共通の検証設備（テストベッド）業界と国の共同（一部重要インフラは国主導、政府機関におけるテストベッドにおいて蓄積された検証データ、知見、ノウハウ等が民間機関による評価認証と連携）評価認証 _{欧米の制御システムの評価・認証} は、民間単独事業だったものが、公的評価・認証や標準適合のためのテスト結果提供という形を取りながら公的性格を強めつつある。ハイエンド人材等の育成、安全性確保に対するリスクとコスト意識醸成を含めたユーザ企業等への普及啓発

未然防止対策

事後対策

•米国の工業用制御システムのレスポンスチーム（ICS-CERT）においては、インシデント現場への技術派遣を実施。我が国も要検討。 •また、パッチ適用の動作試験や、注意喚起情報の公開可否の判断ルールを検討。 ⑤人材育成、ユーザ企業への普及啓発の推進 ①国際標準化の推進 ③評価・認証スキームの構築

共通対策

④インシデント対応体制の構築 ②テストベッドの構築

(13)

人材育成方法の検討タスクフォースが親会合となり、検討課題について認識を共有しながら、全体の方針、戦略の方向性を決定し、タスクフォースの下に「テストベッド WG、標準化 WG、評価・認証制度 WG、インシデントハンドリング WG、人材育成 WG、普及啓発 WG」という 6 つの WG を設け、各検討課題について具体的に検討を実施した。各検討 WG から上がってくる検討内容については、複数の WG の連携が必要となる内容もあり、ステアリングコミッティが適宜、各 WG 間の調整を行うとともに、進捗管理を行った。図１-２体制図（タスクフォース、ステアリングコミッティとの関係図）出典：第１回制御システムセキュリティタスクフォース資料ステアリングコミッティータスクフォース標準化WG 評価・認証制度 WG インシデントハンドリングWG テストベッドWG 人材育成WG タスクフォースが円滑に進むための調整機能タスクフォースのための戦略立案各WGの調整 1. IEC62443を選定 2. セキュリティマネージメント対応と活用 3. IEC62443-3-3 （システム要件）改訂提案 4. 日本要求の提言、基準反映の継続 5. New Work Item

の提案推進 1.運用・管理に対する評価・認証のアプローチ 2.製品に対する評価・認証のアプローチ 1. インシデントハンドリングの手順の骨格ガイドライン 2. 脆弱性対策に係る環境整備等について検討を継続 3. JPCERT/CCのサービス拡充によりICS-CERT 機能の整備 1. テストベッドに関する要求事項の整理 2. テストベッドが備えるべき機能 3. 海外テストベッドの動向 1. 既存のセキュリティ教育プログラムの活用 2. 制御システム独自のセキュリティ教育プログラム 3. 演習による訓練普及啓発WG 1. 普及啓発対象の検討 2. 組織内の役割明確化 3. 普及啓発内容の検討全体方針・戦略の決定

(14)

第２章各ＷＧの検討概要１．テストベッドＷＧ（１）テストベッドに関する要求事項テストベッド検討にあたり、タスクフォースメンバー及び他ＷＧメンバーに対しヒアリング調査を実施したところ、制御システムのセキュリティを高めるための研究開発、国際標準化及び評価認証への対応、インシデントへの対応、人材育成・普及啓発の必要性に関する要求が多かった。 ①研究開発の必要性制御システムセキュリティの適合性確認や妥当性確認を実施していくにあたり、その確認手法そのものを確立していく必要がある。そのためには、実際に使用している制御システムやコンポーネントを対象に評価実験を重ねていく必要があるため、制御システム全体のセキュリティを検証する共通基盤技術を開発していく必要がある。汎用 OS におけるセキュリティ品質向上の取組は、制御システムにも適用できるケースが少なくない。具体的には、脆弱性の確認技術や脆弱性を突いた攻撃を緩和する技術開発などが挙げられる。制御システム特有の高セキュア化技術としては、コントローラの振る舞いを監視し、攻撃検知後の安全なシステム停止機能、安全制御モードへの移行、インターロックによる安全制御領域への強制移行の実現といった技術が想定される。更に、攻撃者の視点で制御システムを分析し、新たな攻撃手法や技術を予測し、プロアクティブな高セキュア技術を継続的に研究する必要がある。 ②国際標準化及び評価認証への対応制御システムセキュリティに関する国際標準化 IEC62443 の策定が検討されているとともに、その国際規格に準拠した制御システムセキュリティ対応の認証整備が全世界で進められている。また、実務面でも海外においては、制御システムセキュリティ認証を受けた制御システム・コンポーネントや制御システムであることが入札条件に含められているプラント建設プロジェクトが出始めている。 ③インシデントサポートインシデント発生時の制御システムの被害状況と影響範囲について実際の

(15)

インシデントサポートをするために実機やシミュレーションを用いて脆弱性の検証を行うための環境や制御システム・コンポーネントの脆弱性を発見するツールが必要である。特に、脆弱性による影響や脆弱性に対するパッチ適用による影響に関しては稼働中の制御システムにて検証することは困難なため、テストベッドにて検証できることが望ましい。 ④人材育成・普及啓発の必要性制御システムセキュリティ対策を行い、安定した操業ができる制御システム管理下の現場を維持していくには、人材を育てていくことが必要である。また、これらの人材を育てていくための環境とトレーナーも必要となる。特にウイルスやサイバー攻撃に関しては、攻撃側が日々レベルアップしてくることから、研究を継続し、その対応ができる人材を育成していく必要がある。制御システムセキュリティ対策は、社会インフラやライフライン、そして基幹産業の安全を確保する上で、近年、重要な経営課題になってきた。特にユーザ企業経営者がサイバー攻撃による被害や国際規格レベルでのセキュリティ技術の向上を強く認識し、それに対して投資を中心にした経営資源の配分を必要な規模で行うことを広く経済界に対して促していくことが重要な課題となる。（２）テストベッドが備えるべき機能テストベッドに関する上記要求事項からテストベッドが備えるべき機能は、以下の 8 機能に分類される。 ①システムセキュリティ検証制御システムを構成するソフトやバルブなどを駆動するアクチュエータ1_などのセキュリティを評価検証する。相応の設備、機器、ソフト及びエリアが必要とされる。開発には時間と費用が膨大に必要とされるため、機器製造者や利用者は、このテストベッドを共有利用することにより、自社製品や他社製品と組み合わせた環境をテストベッド内に擬似的に設置し、最新のセキュリティ評価ツールを利用してサイバー攻撃に対する妥当性や有効性を検証することができる。また、評価された情報を蓄積することで、より高度な手法の開発や、相互接続の際の早期確認が実現する。 1 _{入力されたデータを元に物理的な運動に変換する装置であり、電気的な信号を運動量へ変} 換することによってモータやバルブ等の駆動を制御する。

(16)

②高セキュア化構成・技術の確立オフィスでの利用とは異なり、工場や社会インフラの制御システムでは、リアルタイム（即時）での情報処理が必要とされる。このため、高セキュア化にとって必然的にともなう暗号化が、その処理速度を落とし機能不全に陥る可能性が高くなる。反面、暗号やチェックプログラムが防御のために肥大化するのは避けられない。工場での操業や社会インフラのサービスの安全を維持するためにも、高速に安定作動し、制御システムを長期にわたり保守できるセキュリティ技術の開発が必至である。 ③広域連携システムにおけるセキュリティ検証制御システムは携帯電話や可搬型のスマートフォンなどを通じて外部にも大きく開放されつつあり、外部ネットワーク経由で利用できるセキュリティ技術の開発や評価ツール、認証サポートツールの開発などが求められている。なお、スマートコミュニティにおいては、一般消費者、その他需要家、電力供給事業者、送電事業者、監視制御事業者等がオープンなネットワークで結ばれ、そうしたネットワーク上で電力の監視制御データが飛び交うことを念頭に置く必要がある。 ④セキュリティ国際規格の提案高度な制御システム・コンポーネントの輸出の観点から考えると、今後は海外のセキュリティ国際規格を遵守した製品を作る必要がある。我が国が国際的な主導権をもつ規格を提案・普及させて、海外のプラントや社会インフラでの調達を排他的に獲得できるよう、さまざまな規格やセキュリティ対策を他国に先行して提案し、技術的な先行性を維持することで、制御システム・コンポーネントの輸出やそれらを用いたインフラ輸出を促進する。 ⑤国際規格準拠認証の実現現在、国際規格への適合性確認は海外企業へ申請しなければならず、時間と費用の面で制御システム・コンポーネント供給者にとっては不利である。今後、工場や社会インフラにおける制御システム・コンポーネント調達にあたって、サイバー攻撃への防御性能が求められることは明白である。そのため、評価ツールや認証サポートツールの開発など、短期・低価格で認証を取得できる国内での第三者による国際規格認証の実現に向けた環境作りが求められている。

(17)

⑥インシデントハンドリング支援工場などで制御を担当する現場においてインシデントが発生した場合、OS やアプリケーション、デバイス等のログ分析を行い、攻撃のバックトレースや、ネットワークの被害状況と影響範囲を分析するための支援ツール技術を開発する。これにより、インシデント発生時の適切な現状把握と対策、及び被害の最小化を実施する可能性がある。 ⑦人材育成環境整備制御システム・コンポーネントを担当する計装制御システムエンジニアに対して、即時処理などの制御性能を損なわずに実現できる設計手法の教育や訓練が必要とされている。従来の要求機能を満足する制御を中心とした設計手法に加えて、サイバー攻撃を念頭に置いたセキュリティ教育が急務であり、その教育方法の開発が求められている。制御システムセキュリティの強化促進の要となる人材を育成するため、制御システムセキュリティ対策に関する固有技術・管理手法の研究開発、及び効果的な普及啓発方法に関する研究を行う。具体的には、人材育成のための習得課題や普及啓発方法に関する研究を行うとともに、適格なプログラムやカリキュラムの提供とその実践（研修、トレーニングなど）を行う。 ⑧普及啓発支援経営者層や現場層への制御システムにおけるサイバー攻撃被害やインシデントへの対応などといった基本的な教育や訓練も必要であり、制御システムセキュリティ対策の強化のために一層の普及啓発が必要である。制御システムセキュリティ対策の必要性を示すためのデモンストレーションを実施することで、それぞれの人材がそれぞれの役割を担うことの重要性とモチベーションの向上による継続的な活動の推進を促していく機能となる。この機能を活用することで、インシデントサポート、人材育成、普及啓発といった利用目的が同時に実現できる。（３）海外テストベッドの動向 ①米国テストベッド米国ではエネルギー省(DOE)の国立研究所施設において、国土安全保障省 (DHS)と共同で制御システムセキュリティに関するテストベッドが構築・運営

(18)

されている。例えば、アイダホ国立研究所（INL）では、2004 年 3 月に SCADA2

テストベッドを構築し、SCADA システムの脆弱性検証を行っている。検証結果を基にした制御システムセキュリティ標準化活動の支援、開発したサイバーセキュリティ解析ツールによるセキュリティリスク軽減のための普及啓発活動などを実施している。制御システムに関する推奨セキュリティの要件集の規格（ Catalog of Control System Security ： Recommendations for Standards Developers）を発行しており、スマートグリッド向けセキュリティを記述した NIST IR 7628 に盛り込まれている。 ②欧州テストベッド欧州でのテストベットは未だ構築途上の段階であり、現段階ではノウハウの共有や国際規格の共同提案を行う段階ではない。しかしながら、Emulab3_等の研究プラットフォームの共通化は、今後ノウハウの蓄積、国際連携を加速するものと予想される。制御システムのセキュリティについては、今後急速に国際基準の確立が見込まれるため、密に情報交換を行い、定期的な連絡体制を確立すべきであると考える。特に、安全を足掛かりとして認証実績によるプライベート基準のデファクト化を進めたい TUV/SUD4_{の動きを把握することは重要である。ただ、この} 動きに対抗するのではなく、当初より関係を持ち、更に事業継続の視点を加えることで独自性を主張しつつ連携することが重要である。この事業継続の視点は、IPSC（Institute of the Protection and Security of the Citizen）5_が

重要視していた自然災害を産業用の制御システムに対する脅威とみなすことにも繋がるものと考える。

また、日本でのテストベット構築では、国内でのノウハウの蓄積のみならず、欧州でのテストベットでの活動内容も取り込むことで、国際連携を視野に入れた活動を推進していくべきである。

2 _{SCADA とは Supervisory Control And Data Acquisition の略称で、遠隔地にある設備を}

操作し、状態を監視することを目的とした「監視制御システム」である。

3_{米国 Utah 大学が開発したオープンソースのクラスタによるテストベッドプラットフォー}

ムである。Emulab.net（http://www.emulab.net/）に Multi インフラシュミレーター等の情報がある。

4_{国際的な第三者認証機関であり、製品安全性試験・認証サービスを提供する企業である。}

近年、同社では Embedded Systems Innovation Team を創設し、産業システムセキュリティ（IT security in industry）を担当し、セキュリティ認証及びスマートグリッド関連のテストベッドを構築している。

(19)

２．標準化ＷＧ（１）標準化活動制御システムに係るセキュリティの標準・基準については、組織やシステムのレイヤに対応したもの並びに業種及び業界に対応したものなど、様々な標準・基準が国際標準の世界で提案されている。こうした中で、汎用的な標準・基準として、IEC62443（産業用制御システムセキュリティ）が近年注目されており、一部事業者の調達要件に挙がってきている。また、業界で評価・認証が先行している ISCI(ISA Security Compliance Institute) 及び WIB(Working-party on Instrument Behaviour、1982 以降は International Instrument Users’ Association)の基準については、IEC62443 に統合される方向で議論が進められている。

図２-１制御システムに係るセキュリティ標準・基準の全体像

IEC62443 シリーズの中でも、IEC62443-3-3 については2011 年 10 月時点では「CDV：2011.10」(Committee Draft for Vote)のステータスであったことから、本 WG では次の「Voting:2012.03.16」に向けて日本国内の意見を提出することを目標とし、本 WG の活動を推進した。標準化対象汎用制御システム電力システムスマートグリッド鉄道システム石油・化学プラント組織システムコンポーネント暗号技術（暗号プロトコル、他） IEC 62443 ISO/IEC 29192 ISO/IEC 62278 NERC CIP NIST IR7628 WIB IEEE 1686 IEC 62351 IEC61850 IEEE2030 国際標準業界標準凡例 ISCI

(20)

図２-２ IEC62443 シリーズの概要本 WG では、原文案や事務局で用意したチェックリスト、IEC62443 で規定されている要件の根拠等をまとめた資料を基に、以下のようなコメントや IEC への質問事項をまとめた。表２-１標準化 WG IEC62443 案への意見集約表(一部) 分類コメント内容提案する変更内容委員会意見・議論提案結論全体ネットワークにPLC が一つだけしか存在しないようなシステムも本規格の対象となるか。恐らくコンポーネントの範囲になると思われるが、質問事項とするのが良いのではないか。 IEC に対する質問事項とする。 SR1.1 定置型のデバイス等については位置情報による認証の要件を含むべき。 SAL6_{2 以上を} 対象とする。認証手段の一つとして位置情報を使うものも合っても良いのではないか。SAL2 と提案したが、SAL3 が妥当ではないか。 SAL3 としてコメント採用。 SR1.9 システムの利用通知メッセージの変更は「特権」を有することを明示するべき。「特権」のみによって変更可能とすることを補足する。システム利用通知がセキュリティ機能であることを認識する人は少ない。そのため、変更時には特権が必要であることを明示すべき。コメント採用

(21)

SR1.10 悪意のある攻撃に対抗する必要のない SAL1 では不要ではないか。 SAL1 は対象から除く。悪意がないため、セッションロックの必要性はないのではないか。コメント採用 SR3.6 RE7_{として、ホワイトリ} ストによる妥当性検査を含めてはどうか。 SAL2 以上を対象とする。・SAL2 では厳しすぎるように考えられる。コメント５６との整合性を考え、SAL4 としてRE を追加する。上記議論に基づき、IEC62443-3-3 について寄書案を検討し、50 項目の改訂要求を策定した。その後 IEC/TC65/WG10 国内委員会にて検討され、国内委員からのコメントと整合性を確保した上で、最終的に 52 項目の改訂案を WG10 本委員会へ提出した。（２）既存規格の翻訳今後の標準化活動の支援、一般への本規格の普及及び評価・認証に関する検討等を円滑に実施するため、発行済みの以下 3 規格についての翻訳を IPA で実施しているところ（公開は2012 年 7 月以降に日本規格協会から発行予定）。

・IEC/TS 62443-1-1 Ed. 1.0:2009 (en) ・IEC 62443-2-1 Ed. 1.0:2010 (en) ・IEC/TR 62443-3-1 Ed. 1.0:2009 (en)

特に IEC62443-2-1 は、後半の Annex 部分に詳細ガイドも含まれており、国内制御システムのセキュリティ強化の基準として、有効に活用できる。普及啓発 WG での活用を期待するとともに、これに基づいた評価認証スキームの確立を検討する素材としての利用が期待できる。

（３）既存規格の活用に関する検討

IEC62443 において、 IEC62443-2-1 は CSMS(Cyber Security Management System)というセキュリティマネジメントシステムの規格であり、CSMS を構築するための要件が規定されている。この規格は、情報分野で広く普及している情報セキュリティマネジメントシステム規格 ISO/IEC27001（ISMS)をベースとして、制御システムに特化した内容となっている。また、この規格の特徴として、要件を規定するだけでなく、それら要件をどのように達成するかについて、 7 _{RE とはシステム要件を構成する基本的な要件（System Requirement; SR）と強化策}

(22)

制御システムの観点から詳細なガイダンスが Annex に記載されている。このような特徴を持つ IEC62443-2-1 は、制御分野の国内事業者が、セキュリティマネジメントシステムを構築しセキュリティを向上する上での有益な規格であると考えられるため、以下の３つの取組を実施することが重要である。 ①自組織の簡易診断のためのセルフアセスメントテンプレートの策定 ②CSMS及びISMSとの比較分析 ③日本版の規格書の整備（2012年7月に公開予定）３．評価認証ＷＧ（１）ISA Secure 評価・認証スキームの調査欧米では、一部の事業者（石油業界、化学業界）で制御システムベンダに対し制御システムに係るセキュリティの認証取得を要請する動きが出始めている。その中でも、ISA(International Society of Automation)及び ISCI(ISA Security Compliance Institute)が推進する ISA Secure 認証というスキームが、将来的には IEC62443 に組み込まれるといわれており、認証スキームも綿密に組み立てられているため、今後、市場に受け入れられる可能性が大きい。また、制御システムのベンダにとっては、多数の規格に対応する負担感があり、類似規格の共通化や国際相互承認が必要と考えられる。そこで、我が国においても、海外との相互承認を可能とする評価・認証スキームの在り方について検討を行うこととし、その参考事例として ISA Secure 認証のスキームについて調査を実施した。ISA Secure 認証の概要は以下のとおりである。

(23)

図２-３ ISA Secure 概要（２）IEC62443 評価認証スキームの確立の検討国内制御システム及び重要インフラシステムのセキュリティレベルを向上させるためには、現状のシステムの把握（システムの資産と脅威に基くリスク分析）及びセキュリティマネジメントを確立することが重要である。制御システムに対するマネジメント標準として、IEC62443-2-1（CSMS：Cyber Security Management System）が既に策定されており、IT システムの分野における ISO/IEC27001 に基づく ISMS(Information System Management System)と同等の位置づけにある。 2002 年 4 月に ISMS 認証基準（Ver.1.0）が公表され、これに基づいて本格運用が開始されており、日本国内では認証取得事業者 4,014 組織、認証機関 26 組織(2012 年 3 月 2 日現在）となっている。これにより、事業者の情報システムにおけるセキュリティの管理レベルはかなり向上しているものと考えられ、ISMS 認証は、世界でも日本が突出して普及している状況にある。 CSMS 認証は現在存在しないが、以下に示すように ISMS と同等のスキームで確立することが可能であると考えられる。特に、セキュリティが重要視される制御システムベンダ ①製品 ②ISASecure 認証プログラム推進母体 ISCI 認定機関 ANSI/ACLASS 認定テストツールベンダ Wurldtech 評価項目テストツール提供 (Achilles Satelite) テストツール承認評価・認証機関の審査、認定

ANSI : 米国規格協会（American National Standards Institute） ACLASS : 米国認定機関（ANSI-ASQ National Accreditation Board）

ISASecure 認証プログラム ▇▇評価・認証機関：製品を評価し，ISASecure認証を発行する機関 ■認定機関：評価・認証機関を審査し，認定する機関 ■テストツールベンダ：評価・認証機関で使用されるツールを提供する企業評価・認証機関で使用されるツールを提供テストツールと評価項目を用いて製品の評価・認証を実施評価・認証機関 exida

出典：ICSJWG 2010 Fall Conference

(24)

＜CSMS127要件＞ 101 (ISMSに一致もしくは関連要件有) 26 (CSMS での追加要件) 主に、・リスク評価、管理(4) ・セキュリティ組織、訓練(3) ・物理セキュリティ(2) ・権限分離(2) ・アクセス制御(7) ・インシデント対応(2) 他 Accreditation Bodies Certifiers

*1 JIPDEC : Japan Electronic Data Interchange Council *2 JAB : Japan Accreditation Board

JQA, JACO,

・・・

**JAB*2**

**_JIPDEC*1**

Accreditation

認証受査組織

ISO9000,14000 Certification

ISO27000

Assessment Application

Registration Assessment_Report

レベルの制御システム分野で、認証取得を実施することで、制御システム分野のセキュリティレベルの向上につながると考えられる。図２-４. CSMS と ISMS の関係について図２-５.ISMS の認証スキームまた、IEC62443-4-1 は、制御システム・コンポーネントのセキュリティ要件を規定している ISA Secure の認証評価項目を要件のベースとして策定が進んでいる。組込み機器のソフトウェア開発プロセスのセキュリティアセスメント手法を制御システム・コンポーネントに対応させようとしているため、齟齬が生じる可能性がある。IEC62433-4-1 も認証が準拠する規格となる可能性が高いため、日本として規格策定に注力していく必要がある。

~ 目次 ~ 第 1 章タスクフォースの検討概要 タスクフォースの趣旨 目的 制御システムセキュリティ対策の方向性と タスクフォース及び各 WG 間の関係 第 2 章各 WGの検討概要 テストベッドWG (1) テストベッ