制御システムセキュリティ対策 あれこれ VEC事務局 村上正志 自己紹介:村上正志 • 1977年~1991年:日本ベーレー株式会社のシステムエンジニア – – – • 1991年~1994年:画像処理VMEボードメーカーに従事 – • 大型カラー印刷機の画像処理、大蔵省印刷局の検査装置などのシステムコンサルティング 1994年~現在:株式会社デジタル – – – • 火力発電所のボイラ自動制御装置、プラント監視制御装置のシステム設計: 広野2号、苫小牧1号、渥美3/4号、知多第二火力1/2号、東扇島1号、秋田、東新潟、川内、仙台、西 名古屋、海南、新小倉、阿南、御坊、姉ヶ崎、五井、袖ヶ浦、高砂、松島、下関、玉島、尼崎、伊達、勿 来、港、海外プラントなどの建設、改修などを担当 空気式制御装置⇒電子式アナログ制御装置⇒DDC(16bit⇒32bit⇒64bit) 高速故障診断装置を企画、開発、37セット納入 SCADA製品の事業戦略企画推進担当 SE部長 1999年~現在VEC事務局長 現在担当している標準化団体 – 経済産業省商務情報政策局主催制御システムセキュリティ対策タスクフォース委員 • 普及啓発ワーキング座長 ★ – – – – – – 日本OPC協議会企画部会長 PLCopen Japanの幹事メンバー、OPC WG主査 IAF(Industrial Automation Forum)運営委員会幹事 NECA:プログラマブル表示器専門技術委員会委員 グリーンIT推進協議会 日本能率協会主催計装制御技術会議企画委員会委員、など 制御システムセキュリティ • 制御情報系システムと制御系システムの二つに分類される 情報システム セキュリティ IEC27001 制御情報系 システム セキュリティ 制御システム セキュリティ 制御系 システム セキュリティ IEC62443 Agenda 1. サイバー攻撃の脅威 1. 2. 不特定サイバー攻撃 標的型サイバー攻撃 1. Stuxnetの特徴 2. 現場での対策 1. 2. 3. 4. PCと制御ネットワークの健全性確保 USBの扱い管理 生産システムサーバの健全性確保 制御コンフィギュレーションツールの健全性確保 3. これからの現場制御製品の進む方向について 1. 2. 高度信頼性を確保した制御製品/制御システム OPC UAのセキュリティ機能 工業用製品における情報セキュリティ事故の被害例 番 号 年 ウィルス名 ポイント 概要 ① 2003年 Slammer ワーム 発電所の制御 システムへの ワーム侵入 米国の発電所で、マイクロソフトSQLサーバを狙ったウィルスがVPN接続を介して侵入・ 感染。制御 システムを約5 時間にわたって停止させた。他の電力施設を結ぶ通信トラ フィックも混乱し、通信の遅延や遮断に追い込まれた。 発電所のサーバはファイアウォールで外部ネットワークと遮断されていたが、ファイア ウォール内部のネットワークに接続した、発電所のコンサルタント会社の端末が感染源と なった。 ② 2003年 W32/Blaste rワーム 鉄道の信号管 理システムのウ イルス感染によ る運行停止 米国東部の鉄道会社の信号管理システムがコンピュータウイルスに感染し、周辺の3 路 線で朝から昼にかけて通勤および貨物列車が停止、ダイヤ乱れが発生。ウイルスによっ て、信号や配車のシステムなどの重要システムをつなぐネットワーク部分が、断絶したこ とが原因と判明。 ③ 2005年 Zotobワー ム ウィルスによる 自動車工場の 操業停止 米国大手輸送関連会社の米国にある複数の自動車工場において、ウィルスが制御シス テム内に入り込み、プラント中に広がり、操業停止となる事故が発生。Windows2000シス テムにパッチをあてることで生産を再開したが、部品サプライヤへの感染も疑われ部品 供給の懸念も生じ、およそ1,400 万ドルの損害をもたらした。 ④ 2010年 Stuxnet ウィルスによる データの収集等 石油や天然ガスなどのパイプラインや発電所などで使用されている制御システムソフト ウェアが乗っ取られたり、制御データが搾取される可能性があったことが判明。 出典:IPA「重要インフラの制御システムセキュリティとITサービス継続に関する調査」及び報道を元に作成 日本においては、制御システムの情報セキュリティ上の実害は報道等で明るみに出ていない。 しかしながら、実際に前述経済産業省調査の中で実施した個別ヒアリングでは、以下のような事例 が判明。 (A)ウイルス感染が発覚。設備系・生産系PC50台が感染、レスポンスが低下。原因は端末増設の際にメーカがウイルスを持ち込んだ。 (B)メンテナンス用のPCによる感染事例はあった。 設備系システムのPC100台程度が感染、システムの稼働が止まった。 (C)半導体製造工場では、ウィルス被害にあった工場が増えている。 (D)ディスクがウイルス感染してシステムが立ち上がらなくなった。 (E)制御システムにおけるセキュリティ関連のトラブルは生産に影響しなければ無視されて放置される。 5 制御情報系システムのプログラムの脆弱性 汎用性のあるIT部品を利用したり、外部ネットワークと接続することで、 ①価格競争力の向上、②利便性の向上 が期待される。 他方、弊害として、一般の汎用PCと同様に、ソフトウェアの脆弱性により、情報セキュリティに関 する脅威にさらされうる。 制御システム関連製品の脆弱性情報 脆弱性による恐れ 影響 件数 任意のコード実行 ネットワークにアクセス可能な第三者によって、実行権限を取得され任意の コードを実行される可能性。 15 サービス運用妨害 (DoS) 遠隔の攻撃者によって任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受ける可能性。 11 通信傍受 攻撃者によって認証情報が含まれているファイルがアクセスされたり、また ネットワークトラフィックを傍受される可能性。結果として、攻撃者による シス テムへの不正アクセスが可能となる可能性。 3 不正アクセス サーバにアクセス可能な第三者によって、データベースにアクセスされる可能 性。 3 データ改竄 ユーザのブラウザ上で任意のスクリプトが実行される可能性。結果として、 データの偽造やユーザが意図しないサイトへ誘導される。 3 権限昇格 遠隔の第三者によってアカウントや管理者権限を取得されたり、任意のコマ ンドを実行されたり、システムがクラッシュする可能性。 1 データ閲覧 遠隔の第三者によってウェブサーバ上の任意のファイルを閲覧される可能性 があります。結果として、ユーザ名やパスワードを含むファイルが閲覧される 可能性があります。 1 これら事例の中 には、OSに Windows 2000,XP,Vista、 Linux等の汎用 製品を利用して いるものも多く、 その上で動作す る多様なアプリ ケーションに脆 弱性が発見され た。 米国NIST(米国国立標準技術研究所)の脆弱性データベース(NVD)を元に分類。 2008年~2010年間に26件(表内の数字は重複を含む)の脆弱性が報告された。 出典:IPA、JPCERT/CC公表資料を元に、JPCERT/CCより聞き取り 6 Agenda 1. サイバー攻撃の脅威 1. 2. 不特定サイバー攻撃 標的型サイバー攻撃 1. Stuxnetの特徴 2. 現場での対策 1. 2. 3. 4. PCと制御ネットワークの健全性確保 USBの扱い管理 生産システムサーバの健全性確保 制御コンフィギュレーションツールの健全性確保 3. これからの現場制御製品の進む方向について 1. 2. 高度信頼性を確保した制御製品/制御システム OPC UAのセキュリティ機能 標的型サイバー攻撃 2009年米国の原子力発電所がサイバー攻 撃を受けたことを公表。 2010年7月~9月: イランのウラン濃縮施設がStuxnetの攻撃を受 けた。 フィンランドのウラン濃縮施設がStuxnetの攻 撃を受けた。 2011年9月:国防産業企業(三菱重工業、 IHI、川崎重工業)がサイバー攻撃を受け たことを公表。・・・・・Duqu? 制御システム・セキュリティ対策 Stuxnet問題 http://www.symantec.com/connect/blogs/stuxnet-6 807~1210Hzで動作する周波数変数ドライブ 一定期間の動作後、周波数出力変数を強制的に 変える仕組み 無理な変数変更により、制御システムが停止する。 目的は、遠心分離機を破壊? 実被害と思われる報告が出ている。 • イランのウラン濃縮施設のすべての遠心分離機の 制御システム(Siemens Simatic WinCC SCADA System+Profibus)が制御停止に追い込まれた。 • フィンランドの遠心分離機の制御システム Stuxnetについて <感染力> • Windowsの複数の脆弱性を利用して感染させる – – – – – • • ・Windowsシェルの脆弱性により、リモートでコードが実行される。(MS10-046) ・印刷スプーラーサービスの脆弱性により、リモートでコードが実行される(MS10-061) ・Serverサービスの脆弱性により、リモートコードが実行される(MS08-067) ・Windowsカーネルモードドライバの脆弱性により、特権が昇格される(MS10-073) ・タスクスケジューラの脆弱性により、特権が昇格される(MS10-092) 転移方法は、インターネットだけでなく、USBメモリなどの媒体を経由しながら感染度 は高い 感染PCの範囲は拡大している Windows-2000、XP,2003,Vista、Server2007/ 2008 制御システムとネットワーク接続があれば、 ・Windowsのネットワーク共有を悪用する方法 ・印刷スプーラの脆弱性を悪用する方法 ・サーバ・サービスの脆弱性を悪用する方法 で感染していく。 制御システムがネットワークに接続されていなくても、PCやリムーバブルデバイス 経由(USBスティックメモリ、etc)を利用して、 ・autorun.infを利用する方法 ・.LNKの脆弱性を利用する方法 で感染していく。 Stuxnet Stuxnetの司令部 C&C Server C&Cサーバ(Command and Control server)と通 信して最新版にアップデート更新する Command & Control ターゲットを見つけるまで、転移して奥へ奥へと侵入 それまでは、忍びのもの 亜種を含め4種類の バイナリが存在する サイズは、500~ 600KBぐらい 環境に応じて動作を 変え、多様な形態を とって標的システムに 展開する。 工作員 Stuxnet Peer to Peer Stuxnet Peer to Peer 情報員 Stuxnet 感染力は極めて高い Stuxnet同士でPeer to Peer通信してお互いのバージョンを確認 し、古い方は新しい方からアップデート更新する機能がある。 Stuxnet SCADA Peer to Peer Peer to Peer Stuxnet USBメモリ Stuxnet PLC Configuration Tool Peer to Peer通信で双方向の情報を最新に上げていくことでC&C Serverの指令を伝達する方法 つまり、C&Cサーバからの指令をStuxnet同士で伝え合う。最新指令を伝達する機能がある。 Stuxnet 制御システムセキュリティ攻撃パターン例 生産スケジュールの製品成分レシピなどを悪品質に掏り帰る。生 産数量指示を替える。コントローラへの直接指示コードを送って 装置や設備にストレスを加える。 圻圽嬢囑炯 戚坑 圻圽嬢囑炯 戚坑 ③ 設備管理サーバ リモート アクセス 生産管理サーバ ③ 品質管理サーバ 画面は正常で表 示し、異常コード をコントローラへ 送る 画面は正常で 表示し、異常 コードをコント ローラへ送る仕 掛けが作られ る。 憠攮嬢囑 憠攮嬢囑 DCS ② Operation Terminal 塸懯炯 戚叺 塸懯炯 戚叺 健報澠 健報澠 ㊬ ㊬ Engineering Tool ② SCADA Historical Data Server SCADA設計ツール .dllファイルで制御コードをコントローラへ転送 DCS Controller ① 灞濹 炰炔灄 灞濹 炰炔灄 4~20ma ② 無線AP PLC Field bus PA PLC ハンディ 端末 制御コンフィギュレーションツール RS232c / Ethernet フィールドバス FA ① タッチパネルの作画ツール ファンクションブロックのパラメータやシーケンスロジック条件を書き換えたものと掏り替える。 13 Agenda 1. サイバー攻撃の脅威 1. 2. 不特定サイバー攻撃 標的型サイバー攻撃 1. Stuxnetの特徴 2. 現場での対策 1. 2. 3. 4. PCと制御ネットワークの健全性確保 USBの扱い管理 生産システムサーバの健全性確保 制御コンフィギュレーションツールの健全性確保 3. これからの現場制御製品の進む方向について 1. 2. 高度信頼性を確保した制御製品/制御システム OPC UAのセキュリティ機能 PCと制御ネットワークの健全性確保 1. PCの健全性確保 1. 2. 3. 2. 不要なPCを設置しない。持ち込まない。持ち出さない。 定期的にビールスチェックできるPCと、ビールスチェックできないPCを分けて管理す る。 ホワイトリストによるアプリケーション限定立ち上げにする。 制御ネットワークの健全性確保 1. 2. 3. 4. 情報システムネットワークと制御システムネットワークの間にファイヤー ウォールを設置 制御ネットワークを生産プロセス別に分ける。 制御ネットワーク間や制御情報系ネットワーク間に許可したプロトコルしか通過できな い仕組みを作る。 セキュリティ付きの通信プロトコルを採用する。 USBの扱い管理 1. USBの使用範囲限定管理 1. 2. 作業をデータの重要度によってカテゴリ区分 作業別に使用するUSBを色分けする。 1. 2. 3. 4. 5. 2. 指定以外のPCにUSBを使用してはならない PCのUSBソケット口とUSBの色を同じにして混在使用をしない。 指定以外の作業に指定USBを使用してはならない 指定以外のUSB持ち込み禁止 USBの持ち出し禁止 USBの定期的ビールスチェック 1. ビールスチェックをするPCは、それ専用とする。 1. 2. 2. 3. 他のアプリケーションを入れない。 他の目的に使わない。 作業前には最新バージョン更新を行い、作業記録を録る。 重要な制御システムでは、作業ごとに新しいUSBを使用する。 生産システムサーバの健全性確保 1. 使用しないアプリケーションは、サーバに入れない。 1. 2. 3. ホワイトリストでの立ち上げ 定期点検時にビールスバスタなどでの汚染チェック リフレッシュ作業 1. 2. 3. 4. 5. 最初に、リフレッシュ作業をして、戻るのかをオフラインで確認 マニュアルを作成 マニュアル作業してできるのかを確認 作業したサーバーを実機と入れ替えて問題がないかを確認する サーバーが汚染された時のリフレッシュ作業ができるように訓練をする。 ① リフレッシュ作業に必要なモノが揃っているかどうかを確認 ② 動いてはならない操作端の対策を行う。 ① 制御停止で長時間経過することで固まってしまうと困るものの処理 ③ ④ ⑤ ⑥ ⑦ ⑧ フォーマット作業 インストール作業 レシピ確認 動作試験 制御システム試験 作業記録の確認 リフレッシュ作業をする時は、 リスクが高くなるので 厳重注意 制御コンフィギュレーションツールの健全性確保 1. 制御コンフィギュレーションツール(エンジニアリングツール)の健全性を如何 に護るか 1. 2. 他の作業に使わない。 他のアプリケーションを入れない。 1. 3. 4. コントローラにダウンロードしたら、ベリファイ作業をする。 マスタファイルの管理をしっかりする。 1. 5. 2. ホワイトリストの活用。 マスタファイルのバージョンでコントローラが動いている状態 バージョン管理方針 復旧できることを担保 1. 汚染された時に、リフレッシュ作業をして、元に戻せるか? 1. 2. 2. コンフィギュレーションファイルのマスタ管理を確認 実際に作業して問題ないかを確認する 戻せなくなった時の制御ベンダサポートは可能か? Agenda 1. サイバー攻撃の脅威 1. 2. 不特定サイバー攻撃 標的型サイバー攻撃 1. Stuxnetの特徴 2. 現場での対策 1. 2. 3. 4. PCと制御ネットワークの健全性確保 USBの扱い管理 生産システムサーバの健全性確保 制御コンフィギュレーションツールの健全性確保 3. これからの現場制御製品の進む方向について 1. 2. 高度信頼性を確保した制御製品/制御システム OPC UAのセキュリティ機能 制御システムセキュリティの標準化と認証・評価の関係 • 制御製品単体認証とシステム認証がある。 標準化 認証・評価 IEC27001 情報システム 情報システム系 オフィスネットワーク WIB IEC62443-1 生産管理 概要・コンセプト IEC62443-2 管理・運用・プロセス 製造組織要件 セキュリティ機能要件 受入テスト要件 メンテ/保守要件 IEC62443-3 PIMS 設備管理 Wurldtec Achilles 品質管理 LIMS 制御情報系 システム 制御システム セキュリティ 制御情報系ネットワーク DCS SCADA 技術・システム 制御ネットワーク IEC62443-4 コンポーネント・デバイス DCSコントローラ 制御ネットワーク 装置 フィールドバス OP I/O PLC 制御系 システム エンジニアリングツール ISCI:ISASecure Wurldtec Achilles 制御システムセキュリティ対策タスクフォースの主旨 国内の重要なインフラ等に対する情報セキュリティ対策の強化 海外の貿易障壁となりうる制御システムセキュリティ認証への対応。(スマートグリッド の導入促進を含む) 標準化 ERP IEC62443-3 技術・システム システム認証 認識 オフィスネットワーク 生産管理 設備管理 PIMS 品質管理 LIMS インシデント 脆弱性ハンドリング 現場 インシデント情報整理 企業サポート サポート 制御情報系ネットワーク DCS 制御システムセキュリティ に対するリスク管理認識アップ コンサルティング SCADA 検証 相互接続システム 認証試験 制御ネットワーク 制御ネットワーク IEC62443-4 認証 コンポーネント 装置 コンフィギュレーション DCSコントローラ ツール エンジニアリング ・デバイス 合格製品 個別単体認証試験 フィールドバス 制御製品: ツール トランスミッタ 採用 コンポーネント・デバイス ポジショナ バルブ PLC プラント系 FA系 制御システム 査察官、監査官 セキュリティ・アセッサ 養成 人材育成 資格認証 評価 プロフェッショナル 製造組織要件 セキュリティ機能要件 受入テスト要件 メンテ/保守要件 普及啓発 CRM 制御製品や制御システムに対する インシデント実験・分析・ 評価 IEC62443-1 概要・コンセプト IEC62443-2 管理・運用 ・プロセス SCM 養成 人材育成策 • 必要な人材は? ユーザ企業の現場 ⇒ Securityアセッサ制度 制御製品やシステムの認証 ⇒ ニュートラルな立場の査察官、監査官を養成 インシデントサポート ⇒ プロフェッショナルエンジニアを養成 対象となる制御製品をテストするプロ 業種別の現場を熟知した企業サポートのプロ • • 普及啓発を展開するエバンジェリスト テストベッドでそれぞれの人材を育てていくにも、先駆者がいない。 日本企業の英知を結集させて、新しい人材を創出する必要がある。 テストベッド 重要インフラやライフラインで使用 されている制御製品を集めたテスト ベッド環境が必要。 但し、制御ベンダ間の機密情報を 守った環境であること。 制御システムセキュリティ・テストベッドのイメージ 業務用及び サポート用サーバ 評価ツール開発用サーバ 評価試験用サーバ 3D-CAD&シミュレータ 標準化の振る舞いテスト 評価ツールテスト インシデントテスト 人材育成 MES用サーバ 披検体:制御システムの最小規模 コントローラ部 エンジニアリングツール オペレーション部 アイソレート:4~20mA 制御用ネットワーク エミュレータ テストベッドの種類 テストベッドの種類 電力配送電、交通システムなどの管制システム プラントオートメーション ファクトリーオートメーション 電力配送電、交通管制システム プラントオートメーション ファクトリーオートメーション テストベッドの仕様 • マルチベンダ切り替え 制御製品 各種サーバー DCS SCADA DDC PLC PD(HMI) Inverter Motor Motion Control Robot 通信プロトコル OPC UA OPC-DA、A&E、HDA フィールドバス Fieldbus Hart Modbus Profibus CANopen CC-LINK MECHATROLINK FL-net ODVA EtherCAT SerCos 無線通信 ZigBee Bluetooth Wireless LAN 高度信頼性向上の技術開発 • 高信頼化制御システムを実現する為の技術開発 Stuxnet対策 検知:モニタ 機能停止:キル 削除:クリーン 振舞い監視技術による異常検出とSafety処理 コントローラ・レベル 監視制御システム・レベル プラント制御システム・レベル おとり捜査 お控えな すって 何でござん しょう! Stuxnet Stuxnet 制御用ネットワーク Stuxnet間Peer to Peer通信を利用して、存在を検知。 制御製品のリフレッシュ モデル • モデル上での検証 • 現物とモデルの一致性検証 現実 現物 • モデル群の振る舞いと現物 群の振る舞いの一致性検証 ありがとう 最新版、あげる Stuxnet 仮想 Stuxnet フォーマット 再インストール 再設定 動作試験 総合試験 妥当性 制御用ネットワーク Agenda 1. サイバー攻撃の脅威 1. 2. 不特定サイバー攻撃 標的型サイバー攻撃 1. Stuxnetの特徴 2. 現場での対策 1. 2. 3. 4. PCと制御ネットワークの健全性確保 USBの扱い管理 生産システムサーバの健全性確保 制御コンフィギュレーションツールの健全性確保 3. これからの現場制御製品の進む方向について 1. 2. 高度信頼性を確保した制御製品/制御システム OPC UAのセキュリティ機能 次のセッションの日本OPC協議会の発表でご確認願います。 プラント・オートメーション例 リモート計器室も可能 OPC-UA 品質管理用サーバ ネットワーク階層別で 設備保全用サーバ 制御コンフィギュレーション ツール用PC OPC-UA 通信ユニット コントローラ (冗長化) PB I/Oスレーブ モジュール バルブ (操作端) トランスミッター (検出端) 安全計装用 PA・FA混在プラントシステム構成設計例 本社、開発センター 保守センター、SCMなど 情報系 生産管理 記録サーバ 情報系端末 ルータ OPC-UA OPC-UA Ethernet 製造系端末 製造計画作成 マスター変更 製造系監視サーバ 制御情報系 Batch 進捗管理 サーバ アラーム通知用 PHSメッセージサーバ 保全用 マルチメディア・サーバ スケジューラ 生産プロセス別ネットワーク階層別で OPC-UA Ethernet 当直交代 ミーティング用サーバ OPC-UA 情報系管理 サーバ 携帯電話 配送 センター サーバ 制御系 原料包材 自動供給 システム サーバ 調合監視制御サーバ 品質分析端末 Ethernet OPC-UA OPC-UA ユーティリティ モニタリング サーバ 包装作業 支援 サーバ OPC-UA Ethernet OPC-UA 計量作業端末 配送 センター 操作端末 包材倉庫 入荷受付 & 入出操作 端末 原料倉庫 入荷受付 & 入出操作 端末 調合オペコン 分析器 計量器 液体原料 入荷処理 端末 PA 調合PLC FA 缶 PET 包装設備PLC ユーティリティ 設備PLC/GLC 電力監視モニタ 環境監視モニタ ユーティリティ アセンブリ生産での制御システム例 レシピ管理 トレーサビリティ対応アプリケーションや 工場内管理マニュアルWebサーバとの組み合わせ 嬢囑断朴 トレーサビリティ DB パソコン 作業工程管理 作業マニュアル メンテナンスマニュアル ロットごとの進捗状況、製造履歴、品質情報など、 必要な情報をあらゆる部門に瞬時に開示 Webサービス 生産プロセス別ネットワークで 製品個別情報画面 出荷情報画面 Ethernet 問い合わせ受付画面 OPC-UA 憠攮囎 製造現場データ収集システム 原料受入払出管理システム 投入調合加工管理システム DB OPC-UA メリット ・原料不具合トレース ・原料コスト削減 ・事故防止 ・納期短縮 充填殺菌管理システム DB OPC-UA メリット ・投入ミス(時間、順番)防止 ・機械加工情報収集 ・熟練工情報収集 ・殺菌・洗浄・点検管理 ・作業履歴管理 出荷ロット管理システム DB OPC-UA メリット ・機械加工情報収集 ・充填情報トレンド監視 ・生産進捗管理 ・機械稼働管理 DB OPC-UA メリット ・生産実績管理 ・製造ロット出荷管理
© Copyright 2024 Paperzz