ここから本文です
研究室
情報セキュリティ研究室

情報セキュリティ研究室

第31回 ISSスクエア水平ワークショップ参加報告

第31回 ISSスクエア水平ワークショップ
日  時: 2月19日14:00-18:00
会  場: 情報セキュリティ大学院大学
テーマ: 制御システムのセキュリティ-日本の国際競争力強化に向けて-
参加者:70名程度

[所感] 寒波が襲い雪降る中であったが多数の参加者が集まり、今回のテーマへの関心が窺えた。CSSC松井氏の講演での、CSSCでの制御システムのセキュリティ研究の取り組みは大変参考になった。またJPCERT/CC宮地氏の講演では、Stuxnetを契機に世間での制御システムのセキュリティについての考え方が一変したこと、また制御システムのセキュリティ研究における国外での様々な取り組みが非常に整理され、判り易く述べられ、印象的であった。

■開会挨拶

  パナソニックシステムネットワークス(株)システム事業開発センター所長/情報セキュリティ大学院大学連携教授 三澤正彦氏

-制御システムのセキュリティは、国際貿易上の非関税障壁となりかねない事を懸念

■CSSC組合における制御システム高セキュア化の研究

技術研究組合 制御システムセキュリティセンタ(CSSC)総括理事/(独)産総研セキュアシステム研究部門 研究部門長 松井 俊浩 氏

バックグラウンドとして、サイバー攻撃の被害額は、平均47万ドル/年・企業であり、日本における推定被害額は5千億円/年となる。

  • 制御システムネットワークのバックドアの存在
    • 障害発生時に保守可能なよう、ベンダがバックドアを設けている。
    • インターネットに接続可能なシステムではあるが、多くの場合無認証、あるいは非常に簡易な認証でログイン可能(迂回手段が提供されている)
  • CSSCでの研究テーマ
    • コンジットゲート      セキュリティバリアデバイス等
    • ゾーン内セキュリティ  ホワイトリストベース防御等
    • フロー情報            フローデータ監視等
    • 業務セキュリティ      構成・インストール管理、多重承認/認証等
  • 技術的解決策で十分か?
    • 機器の寿命が10~20年であることを考えると、セキュアな機器を開発しても現場への導入は10~20年後である。
    • 一部の機器がセキュア化されても、システムは一番脆弱な箇所から侵入/攻撃される
    • システムの一番脆弱な部分とは往々にして人間である

■「安心・安全なスマートコミュニティをめざして」

東芝ソリューション(株)技術統括部技監 遠藤直樹氏
  • 東芝のスマートコミュニティ・ソリューション

電気ソリューション、工場ソリューション、ビルソリューション…個別事業として進めていたものの統合

  • 世界のスマートコミュニティPJの動向

日本:94件、中国:165件、北米:116件、欧州:87件、アジア他:53件

  • Landis Gyr(元SIEMENSスマートメータ事業部)とスマートグリッド事業推進
  • スマートコミュニティマネジメントシステム(SCMS)でのクラウド活用

再暗号化技術(暗号化したままデータ共有が可能なクラウドストレージ等)の活用

■「制御システム・セキュリティ ~事後対策を中心とする動向と課題~」

JPCERTコーディネーションセンター 理事 宮地 利雄 氏
  • セキュリティインシデント事例
    • 2000年豪州、汚水処理用SCADAシステムへ侵入、大量の汚水流出を引き起こす
    • 2003年米国、slammerワームによる発電所への侵入、一部システム停止

=>これらの事例は、イントラネットへの攻撃の余波を受けただけで、制御システム自体が狙われた訳ではないとの認識(当時)

  • 制御システムセキュリティへの関心の高まり:Stuxnet(2010年)

Stuxnetの発見から、詳細が明らかになるまでの詳細な経緯の紹介。動作概要の解説
=>制御システムの安全神話が打ち砕かれる
=>サイバー兵器の懸念が表面化

    • 制御システムの脆弱性の露呈
      • Luigi Auriemma氏, Terry McCorkle氏、Billy Rios氏らの研究
      • -制御システムのセキュリティ標準化
        • IEC 62443(策定中)
        • ISCI(ISA Security Compliance Institute)セキュリティ認定

■「サイバー演習の動向」

(株)三菱総研 情報通信政策研究本部副本部長 村瀬一郎氏
  • サイバー演習とは: インシデント発生を想定したシナリオを設定し、演習を通じて課題を抽出。演習と訓練は同じものではない。
  • 机上演習:複数機関が関係する取引に焦点を当て、連絡耐性、判断基準等を検証するもの。
  • 国内外のサイバー演習紹介:日本NISC(CIIREX), 米国DHS(Cyber Storm), 欧州ENISA(Cyber Europe), 米国FS-ISAC(CAPP Exercise)等
  • 国内の公的なサイバー演習: NISC, 経産省、総務省、国交省等
  • 制御システムに対する脅威の高まりから、制御システムを対象とした演習

制御システムの脅威: USBメモリ、リモートメンテナンス回線、操作端末入れ替え、内部犯行

  • 重要インフラ分野横断演習の紹介
    • 第一次行動計画(’06~’08年度、官民連携体制の確立)
    • 第二次行動計画(’09~’11年度、分野横断的な重要インフラ防護対策の向上)
  • サイバー演習実施の重要事項

目的設定、シナリオ作成、プレイヤー選定(演習は誰に参加してもらうかでほぼ決まる)、関係者間利害調整、アウトプット/アウトカム