制御システムセキュリティ対策
あれこれ
自己紹介:村上正志
• 1977年~1991年:日本ベーレー株式会社のシステムエンジニア
–
火力発電所のボイラ自動制御装置、プラント監視制御装置のシステム設計:
広野2号、苫小牧1号、渥美3/4号、知多第二火力1/2号、東扇島1号、秋田、東新潟、川内、仙台、西
名古屋、海南、新小倉、阿南、御坊、姉ヶ崎、五井、袖ヶ浦、高砂、松島、下関、玉島、尼崎、伊達、勿
来、港、海外プラントなどの建設、改修などを担当
–
空気式制御装置⇒電子式アナログ制御装置⇒DDC(16bit⇒32bit⇒64bit)
–
高速故障診断装置を企画、開発、37セット納入
• 1991年~1994年:画像処理VMEボードメーカーに従事
–
大型カラー印刷機の画像処理、大蔵省印刷局の検査装置などのシステムコンサルティング
• 1994年~現在:株式会社デジタル
–
SCADA製品の事業戦略企画推進担当
–
SE部長
–
1999年~現在VEC事務局長
• 現在担当している標準化団体
– 経済産業省商務情報政策局主催制御システムセキュリティ対策タスクフォース委員
• 普及啓発ワーキング座長
–
日本OPC協議会企画部会長
–
PLCopen Japanの幹事メンバー、OPC WG主査
–
IAF(Industrial Automation Forum)運営委員会幹事
–
NECA:プログラマブル表示器専門技術委員会委員
–
グリーン
IT推進協議会
–
日本能率協会主催計装制御技術会議企画委員会委員、など
制御システムセキュリティ
• 制御情報系システムと制御系システムの二つに分類される
情報システム
セキュリティ
制御情報系
システム
セキュリティ
制御系
システム
セキュリティ
制御システム
セキュリティ
IEC27001
IEC62443
Agenda
1. サイバー攻撃の脅威
1. 不特定サイバー攻撃
2. 標的型サイバー攻撃
1. Stuxnetの特徴
2. 現場での対策
1. PCと制御ネットワークの健全性確保
2. USBの扱い管理
3. 生産システムサーバの健全性確保
4. 制御コンフィギュレーションツールの健全性確保
3. これからの現場制御製品の進む方向について
1. 高度信頼性を確保した制御製品/制御システム
2. OPC UAのセキュリティ機能
工業用製品における情報セキュリティ事故の被害例
日本においては、制御システムの情報セキュリティ上の実害は報道等で明るみに出ていない。
しかしながら、実際に前述経済産業省調査の中で実施した個別ヒアリングでは、以下のような事例
が判明。
(A)ウイルス感染が発覚。設備系・生産系PC50台が感染、レスポンスが低下。原因は端末増設の際にメーカがウイルスを持ち込んだ。 (B)メンテナンス用のPCによる感染事例はあった。 設備系システムのPC100台程度が感染、システムの稼働が止まった。 (C)半導体製造工場では、ウィルス被害にあった工場が増えている。 (D)ディスクがウイルス感染してシステムが立ち上がらなくなった。 (E)制御システムにおけるセキュリティ関連のトラブルは生産に影響しなければ無視されて放置される。 番 号 年 ウィルス名 ポイント 概要 ① 2003年 Slammer ワーム 発電所の制御 システムへの ワーム侵入 米国の発電所で、マイクロソフトSQLサーバを狙ったウィルスがVPN接続を介して侵入・ 感染。制御 システムを約5 時間にわたって停止させた。他の電力施設を結ぶ通信トラ フィックも混乱し、通信の遅延や遮断に追い込まれた。 発電所のサーバはファイアウォールで外部ネットワークと遮断されていたが、ファイア ウォール内部のネットワークに接続した、発電所のコンサルタント会社の端末が感染源と なった。 ② 2003年 W32/Blaste rワーム 鉄道の信号管 理システムのウ イルス感染によ る運行停止 米国東部の鉄道会社の信号管理システムがコンピュータウイルスに感染し、周辺の3 路 線で朝から昼にかけて通勤および貨物列車が停止、ダイヤ乱れが発生。ウイルスによっ て、信号や配車のシステムなどの重要システムをつなぐネットワーク部分が、断絶したこ とが原因と判明。 ③ 2005年 Zotobワー ム ウィルスによる 自動車工場の 操業停止 米国大手輸送関連会社の米国にある複数の自動車工場において、ウィルスが制御シス テム内に入り込み、プラント中に広がり、操業停止となる事故が発生。Windows2000シス テムにパッチをあてることで生産を再開したが、部品サプライヤへの感染も疑われ部品 供給の懸念も生じ、およそ1,400 万ドルの損害をもたらした。 ④ 2010年 Stuxnet ウィルスによる データの収集等 石油や天然ガスなどのパイプラインや発電所などで使用されている制御システムソフト ウェアが乗っ取られたり、制御データが搾取される可能性があったことが判明。 出典:IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」及び報道を元に作成5
制御情報系システムのプログラムの脆弱性
6
汎用性のあるIT部品を利用したり、外部ネットワークと接続することで、
①価格競争力の向上、②利便性の向上 が期待される。
他方、弊害として、一般の汎用PCと同様に、ソフトウェアの脆弱性により、情報セキュリティに関
する脅威にさらされうる。
脆弱性による恐れ 影響 件数 任意のコード実行 ネットワークにアクセス可能な第三者によって、実行権限を取得され任意の コードを実行される可能性。 15 サービス運用妨害 (DoS) 遠隔の攻撃者によって任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受ける可能性。 11 通信傍受 攻撃者によって認証情報が含まれているファイルがアクセスされたり、また ネットワークトラフィックを傍受される可能性。結果として、攻撃者による シス テムへの不正アクセスが可能となる可能性。 3 不正アクセス サーバにアクセス可能な第三者によって、データベースにアクセスされる可能 性。 3 データ改竄 ユーザのブラウザ上で任意のスクリプトが実行される可能性。結果として、 データの偽造やユーザが意図しないサイトへ誘導される。 3 権限昇格 遠隔の第三者によってアカウントや管理者権限を取得されたり、任意のコマ ンドを実行されたり、システムがクラッシュする可能性。 1 データ閲覧 遠隔の第三者によってウェブサーバ上の任意のファイルを閲覧される可能性 があります。結果として、ユーザ名やパスワードを含むファイルが閲覧される 可能性があります。 1 出典:IPA、JPCERT/CC公表資料を元に、JPCERT/CCより聞き取り米国NIST(米国国立標準技術研究所)の脆弱性データベース(NVD)を元に分類。
2008年~2010年間に26件(表内の数字は重複を含む)の脆弱性が報告された。
制御システム関連製品の脆弱性情報
これら事例の中 には、OSに Windows 2000,XP,Vista、 Linux等の汎用 製品を利用して いるものも多く、 その上で動作す る多様なアプリ ケーションに脆 弱性が発見され た。Agenda
1. サイバー攻撃の脅威
1. 不特定サイバー攻撃
2. 標的型サイバー攻撃
1. Stuxnetの特徴
2. 現場での対策
1. PCと制御ネットワークの健全性確保
2. USBの扱い管理
3. 生産システムサーバの健全性確保
4. 制御コンフィギュレーションツールの健全性確保
3. これからの現場制御製品の進む方向について
1. 高度信頼性を確保した制御製品/制御システム
2. OPC UAのセキュリティ機能
標的型サイバー攻撃
2009年米国の原子力発電所がサイバー攻
撃を受けたことを公表。
2010年7月~9月:
イランのウラン濃縮施設が
Stuxnetの攻撃を受
けた。
フィンランドのウラン濃縮施設が
Stuxnetの攻
撃を受けた。
2011年9月:国防産業企業(三菱重工業、
IHI、川崎重工業)がサイバー攻撃を受け
たことを公表。・・・・・
Duqu?
制御システム・セキュリティ対策
Stuxnet問題
http://www.symantec.com/connect/blogs/stuxnet-6
807~1210
Hzで動作する周波数変数ドライブ
一定期間の動作後、周波数出力変数を強制的に
変える仕組み
無理な変数変更により、制御システムが停止する。
目的は、遠心分離機を破壊?
実被害と思われる報告が出ている。
• イランのウラン濃縮施設のすべての遠心分離機の
制御システム(
Siemens Simatic WinCC SCADA
System+Profibus)が制御停止に追い込まれた。
• フィンランドの遠心分離機の制御システム
Stuxnetについて
<感染力>
•
Windowsの複数の脆弱性を利用して感染させる
– ・Windowsシェルの脆弱性により、リモートでコードが実行される。(MS10-046)
– ・印刷スプーラーサービスの脆弱性により、リモートでコードが実行される(MS10-061)
– ・Serverサービスの脆弱性により、リモートコードが実行される(MS08-067)
– ・Windowsカーネルモードドライバの脆弱性により、特権が昇格される(MS10-073)
– ・タスクスケジューラの脆弱性により、特権が昇格される(MS10-092)
•
転移方法は、インターネットだけでなく、
USBメモリなどの媒体を経由しながら感染度
は高い
•
感染
PCの範囲は拡大している Windows-2000、XP,2003,Vista、Server2007/
2008
制御システムとネットワーク接続があれば、
・
Windowsのネットワーク共有を悪用する方法
・印刷スプーラの脆弱性を悪用する方法
・サーバ・サービスの脆弱性を悪用する方法
で感染していく。
制御システムがネットワークに接続されていなくても、
PCやリムーバブルデバイス
経由(
USBスティックメモリ、etc)を利用して、
・
autorun.infを利用する方法
・
.LNKの脆弱性を利用する方法
で感染していく。
C&C Server
Command & Control
Stuxnet
Stuxnet
Stuxnet
Peer to Peer
Peer to Peer
Stuxnet
Stuxnetの司令部
Stuxnet
Peer to Peer
Stuxnet
USBメモリ
Peer to Peer
Configuration Tool
SCADA
PLC
Peer to Peer通信で双方向の情報を最新に上げていくことでC&C Serverの指令を伝達する方法
つまり、
C&Cサーバからの指令をStuxnet同士で伝え合う。最新指令を伝達する機能がある。
工作員
情報員
ターゲットを見つけるまで、転移して奥へ奥へと侵入
それまでは、忍びのもの
感染力は極めて高い
亜種を含め4種類の バイナリが存在する サイズは、500~ 600KBぐらい 環境に応じて動作を 変え、多様な形態を とって標的システムに 展開する。 Stuxnet同士でPeer to Peer通信してお互いのバージョンを確認 し、古い方は新しい方からアップデート更新する機能がある。C&Cサーバ(Command and Control server)と通 信して最新版にアップデート更新する
制御システムセキュリティ攻撃パターン例
13
フィールドバス
無線AP ハンディ 端末 リモート アクセスPLC
生産管理サーバ圻圽嬢囑炯
戚坑
圻圽嬢囑炯
戚坑
憠攮嬢囑
憠攮嬢囑
健報澠
㊬
健報澠
㊬
灞濹炰炔灄
灞濹炰炔灄
塸懯炯
戚叺
塸懯炯
戚叺
DCS
Controller
PLC
SCADA
RS232c / EthernetEngineering Tool
設備管理サーバ DCS Operation TerminalPA
FA
Field bus①
①
②
②
③
ファンクションブロックのパラメータやシーケンスロジック条件を書き換えたものと掏り替える。
生産スケジュールの製品成分レシピなどを悪品質に掏り帰る。生
産数量指示を替える。コントローラへの直接指示コードを送って
装置や設備にストレスを加える。
品質管理サーバ 画面は正常で表 示し、異常コード をコントローラへ 送る②
画面は正常で 表示し、異常 コードをコント ローラへ送る仕 掛けが作られ る。 SCADA設計ツール制御コンフィギュレーションツール
.dllファイルで制御コードをコントローラへ転送 タッチパネルの作画ツール Historical Data Server 4~20ma③
Agenda
1. サイバー攻撃の脅威
1. 不特定サイバー攻撃
2. 標的型サイバー攻撃
1. Stuxnetの特徴
2. 現場での対策
1. PCと制御ネットワークの健全性確保
2. USBの扱い管理
3. 生産システムサーバの健全性確保
4. 制御コンフィギュレーションツールの健全性確保
3. これからの現場制御製品の進む方向について
1. 高度信頼性を確保した制御製品/制御システム
2. OPC UAのセキュリティ機能
PCと制御ネットワークの健全性確保
1.
PCの健全性確保
1.
不要な
PCを設置しない。持ち込まない。持ち出さない。
2.
定期的にビールスチェックできる
PCと、ビールスチェックできないPCを分けて管理す
る。
3.
ホワイトリストによるアプリケーション限定立ち上げにする。
2.
制御ネットワークの健全性確保
1.
情報システムネットワークと制御システムネットワークの間にファイヤー
ウォールを設置
2.
制御ネットワークを生産プロセス別に分ける。
3.
制御ネットワーク間や制御情報系ネットワーク間に許可したプロトコルしか通過できな
い仕組みを作る。
4.
セキュリティ付きの通信プロトコルを採用する。
USBの扱い管理
1.
USBの使用範囲限定管理
1.
作業をデータの重要度によってカテゴリ区分
2.
作業別に使用する
USBを色分けする。
1.
指定以外の
PCにUSBを使用してはならない
2.
PCのUSBソケット口とUSBの色を同じにして混在使用をしない。
3.
指定以外の作業に指定
USBを使用してはならない
4.
指定以外の
USB持ち込み禁止
5.
USBの持ち出し禁止
2.
USBの定期的ビールスチェック
1.
ビールスチェックをする
PCは、それ専用とする。
1.
他のアプリケーションを入れない。
2.
他の目的に使わない。
2.
作業前には最新バージョン更新を行い、作業記録を録る。
3.
重要な制御システムでは、作業ごとに新しい
USBを使用する。
生産システムサーバの健全性確保
1.
使用しないアプリケーションは、サーバに入れない。
1.
ホワイトリストでの立ち上げ
2.
定期点検時にビールスバスタなどでの汚染チェック
3.
リフレッシュ作業
1.
最初に、リフレッシュ作業をして、戻るのかをオフラインで確認
2.
マニュアルを作成
3.
マニュアル作業してできるのかを確認
4.
作業したサーバーを実機と入れ替えて問題がないかを確認する
5.
サーバーが汚染された時のリフレッシュ作業ができるように訓練をする。
①
リフレッシュ作業に必要なモノが揃っているかどうかを確認
②
動いてはならない操作端の対策を行う。
① 制御停止で長時間経過することで固まってしまうと困るものの処理
③
フォーマット作業
④
インストール作業
⑤
レシピ確認
⑥
動作試験
⑦
制御システム試験
⑧
作業記録の確認
リフレッシュ作業をする時は、
リスクが高くなるので
厳重注意
制御コンフィギュレーションツールの健全性確保
1.
制御コンフィギュレーションツール(エンジニアリングツール)の健全性を如何
に護るか
1.
他の作業に使わない。
2.
他のアプリケーションを入れない。
1.
ホワイトリストの活用。
3.
コントローラにダウンロードしたら、ベリファイ作業をする。
4.
マスタファイルの管理をしっかりする。
1.
マスタファイルのバージョンでコントローラが動いている状態
5.
バージョン管理方針
2.
復旧できることを担保
1.
汚染された時に、リフレッシュ作業をして、元に戻せるか?
1.
コンフィギュレーションファイルのマスタ管理を確認
2.
実際に作業して問題ないかを確認する
2.
戻せなくなった時の制御ベンダサポートは可能か?
Agenda
1. サイバー攻撃の脅威
1. 不特定サイバー攻撃
2. 標的型サイバー攻撃
1. Stuxnetの特徴
2. 現場での対策
1. PCと制御ネットワークの健全性確保
2. USBの扱い管理
3. 生産システムサーバの健全性確保
4. 制御コンフィギュレーションツールの健全性確保
3. これからの現場制御製品の進む方向について
1. 高度信頼性を確保した制御製品/制御システム
2. OPC UAのセキュリティ機能
制御システムセキュリティの標準化と認証・評価の関係
• 制御製品単体認証とシステム認証がある。
標準化
認証・評価
IEC62443-1
IEC62443-2
IEC62443-3
IEC62443-4
コンポーネント・デバイス
技術・システム
管理・運用・プロセス
概要・コンセプト
WIB
ISCI:ISASecure
Wurldtec Achilles
Wurldtec Achilles
製造組織要件 セキュリティ機能要件 受入テスト要件 メンテ/保守要件IEC27001
情報システム系
フィールドバス I/OLIMS
PIMS
DCSコントローラ
装置
PLC
DCS
SCADA
エンジニアリングツール生産管理
品質管理
設備管理
オフィスネットワーク 制御情報系ネットワーク 制御ネットワーク 制御ネットワーク制御情報系
システム
制御系
システム
情報システム
OP制御システム
セキュリティ
制御システムセキュリティ対策タスクフォースの主旨
国内の重要なインフラ等に対する情報セキュリティ対策の強化
海外の貿易障壁となりうる制御システムセキュリティ認証への対応。(スマートグリッド
の導入促進を含む)
フィールドバスLIMS
PIMS
DCSコントローラ
装置
PLC
DCS
SCADA
生産管理
品質管理
設備管理
ERP
SCM
CRM
標準化
IEC62443-1
IEC62443-2
IEC62443-3
IEC62443-4
コンポーネント
・デバイス
技術・システム
管理・運用
・プロセス
概要・コンセプト
製造組織要件 セキュリティ機能要件 受入テスト要件 メンテ/保守要件システム認証
検証
オフィスネットワーク 制御情報系ネットワーク 制御ネットワーク 制御ネットワーク コンフィギュレーション ツール エンジニアリング ツール トランスミッタ バルブ ポジショナ個別単体認証試験
合格製品
採用
普及啓発
制御システムセキュリティ
に対するリスク管理認識アップ
人材育成
認識
資格認証
査察官、監査官
プ
ロ
フ
ェ
ッ
シ
ョ
ナ
ル
インシデント情報整理
企業サポート
コンサルティングインシデント
脆弱性ハンドリング
現場
サポート
養成
養成
制御システム
セキュリティ・アセッサ
プラント系
FA系
制御製品: コンポーネント・デバイス制
御
製
品
や
制
御
シ
ス
テ
ム
に
対
す
る
イ
ン
シ
デ
ン
ト
実
験
・
分
析
・
評
価
評価
相互接続システム
認証試験
認証
人材育成策
•
必要な人材は?
ユーザ企業の現場 ⇒
Securityアセッサ制度
制御製品やシステムの認証 ⇒ ニュートラルな立場の査察官、監査官を養成
インシデントサポート ⇒ プロフェッショナルエンジニアを養成
対象となる制御製品をテストするプロ 業種別の現場を熟知した企業サポートのプロ普及啓発を展開するエバンジェリスト
•
テストベッドでそれぞれの人材を育てていくにも、先駆者がいない。
•
日本企業の英知を結集させて、新しい人材を創出する必要がある。
重要インフラやライフラインで使用
されている制御製品を集めたテスト
ベッド環境が必要。
但し、制御ベンダ間の機密情報を
守った環境であること。
テストベッド
披検体:制御システムの最小規模
エンジニアリングツール
コントローラ部
オペレーション部
MES用サーバ
エミュレータ
アイソレート:4~20mA評価試験用サーバ
評価ツール開発用サーバ
業務用及び
サポート用サーバ
3
D-CAD&シミュレータ
制御用ネットワークインシデントテスト
評価ツールテスト
標準化の振る舞いテスト
人材育成
制御システムセキュリティ・テストベッドのイメージ
テストベッドの種類
テストベッドの種類
電力配送電、交通システムなどの管制システム
プラントオートメーション
ファクトリーオートメーション
電力配送電、交通管制システム
プラントオートメーション
ファクトリーオートメーション
テストベッドの仕様
• マルチベンダ切り替え
DCS
SCADA
DDC
PLC
各種サーバー
PD(HMI)
Inverter
Fieldbus
Hart
Modbus
Profibus
制御製品
フィールドバス
ZigBee
Bluetooth
Wireless LAN
無線通信
OPC-DA、A&E、HDA
OPC UA
通信プロトコル
Motor
CANopen
CC-LINK
MECHATROLINK
FL-net
EtherCAT
ODVA
SerCos
Motion Control
Robot
高度信頼性向上の技術開発
•
高信頼化制御システムを実現する為の技術開発
Stuxnet対策
検知:モニタ
機能停止:キル
削除:クリーン
振舞い監視技術による異常検出と
Safety処理
コントローラ・レベル
監視制御システム・レベル
プラント制御システム・レベル
Stuxnet
お控えな すってStuxnet
何でござん しょう! Stuxnet間Peer to Peer通信を利用して、存在を検知。Stuxnet
Stuxnet
ありがとう 最新版、あげるおとり捜査
制御製品のリフレッシュ フォーマット 再インストール 再設定 動作試験 総合試験妥当性
モデル
現物
• モデル群の振る舞いと現物 群の振る舞いの一致性検証 • モデル上での検証 • 現物とモデルの一致性検証仮想
現実
制御用ネットワーク 制御用ネットワークAgenda
1. サイバー攻撃の脅威
1. 不特定サイバー攻撃
2. 標的型サイバー攻撃
1. Stuxnetの特徴
2. 現場での対策
1. PCと制御ネットワークの健全性確保
2. USBの扱い管理
3. 生産システムサーバの健全性確保
4. 制御コンフィギュレーションツールの健全性確保
3. これからの現場制御製品の進む方向について
1. 高度信頼性を確保した制御製品/制御システム
2. OPC UAのセキュリティ機能
次のセッションの日本
OPC協議会の発表でご確認願います。
プラント・オートメーション例
P B
トランスミッター (検出端) バルブ (操作端) 通信ユニット コントローラ (冗長化) I/Oスレーブ モジュール設備保全用サーバ
品質管理用サーバ
安全計装用
制御コンフィギュレーション
ツール用
PC
リモート計器室も可能
OPC-UA
OPC-UA
ネットワーク階層別で
ルータ
