ラックは2018年8月24日、制御システムが外部ネットワークから攻撃を受けるリスクを評価するサービス「産業制御システム向けリスクアセスメントサービス」の提供を始めた。制御システム特有のリスクや、顕在化していないリスクを調査し、検出したリスクそれぞれの深刻さと、対策を打つべきリスクの優先順位を付けて、ラックが推奨する対策を提案する。工場の生産ラインのほか、プラント、発電所、交通制御システムなども対象としている。サービスの提供価格は平均で700万円(税別)。対策の提案までにかかる期間は2~4カ月程度としているが、評価対象システムの規模によってはさらに長くなる。
かつて、産業用制御システムのネットワークはインターネットにつながっていないことから、外部から攻撃を受ける可能性はなく、安全なものだった。しかし近年では制御システムにIoT(Internet of Things:モノのインターネット)や、クラウド、AI(人工知能)を応用し、製造効率の向上と自動化を目指す動きが活発になっている。その結果、制御システムがインターネットにつながり、外部からの攻撃を受ける可能性も高まっている。
図 制御システムを襲う攻撃の例
出所 ラック
またラックはこれまでの調査で、インターネットにつながっていない閉鎖したネットワークと、企業が思い込んでいた制御システムネットワークに、企業の管理部門が把握していない裏口や、管理者が必要なときに一時的に接続してネットワーク内の制御システムを操作する接続口があることを確認しているという。ラックは、このような状況を放置すると、ウイルス感染などによって機器が誤動作を引き起こし、工場などの制御システムが長期にわたる稼働停止に追い込まれる可能性もあると指摘している。
ラックが今回提供するサービスでは、制御システムに関連するネットワークを「情報ネットワーク」「制御情報ネットワーク」「フィールド機器・装置」の3つに分けて調査する。情報ネットワークは一般的な企業情報システムを指す。この部分を狙う攻撃は年々増加しており、手口も巧妙なものになっており、完璧な防御は難しい。そこで、この部分でウイルス感染などが発生しても、制御機器のネットワーク(制御情報ネットワーク)に影響が及ばないように、情報ネットワークと制御情報ネットワークを直接接続するファイアウォールなどを調査する。
制御情報ネットワークでは、機器を制御するPLC(Programmable Logic Controller)や、人間が操作できるユーザーインターフェイスに注目して調査する。フィールド機器・装置では、ほかのネットワークと直接つながる境界に注目して調査する。
制御機器ネットワークのどこかに、遠隔保守などを目的に設置した回線を設置する例もある。この回線を悪用されると、制御機器や装置が意図せぬ動作を始める可能性がある。そこで、このような回線を発見したら綿密に調査する。
図 「産業制御システム向けリスクアセスメントサービス」の調査範囲
出所 ラック
調査では、アメリカのセキュリティ標準である「NIST Cyber Security Framework」や、制御システム向けの国際的なセキュリティ標準である「IEC62443」の考え方を利用する。さらに、ラックが日本の製造現場を想定して制定したセキュリティ基準「LAC-ICSSS(Industrial Control System Security Standard)」も活用する。LAC-ICSSSはセキュリティ監視サービス「JSOC」などで得たノウハウや、ラックの研究開発部門である「サイバー・グリッド・ジャパン」が収集した最新の手口や動機などの情報を基に制定したものだ。
調査結果は、検出したリスクの深刻さに、対策を打つべきリスクの優先順位という形で提供する。また、リスクを放置して攻撃を受けたときにどのような悪影響が想定できるかという情報も提供するため、依頼企業は事業への影響の大きさ、深刻さを検討して、対策を打つ優先順位を決めることができる。
■リンク
ラック
