【ABB Bailey Japan Seminar 2019レポート】つながっていない制御システムなら安全なのか？

産業のデジタル化と5分野のビジネス

　挨拶に立ったABB日本ベーレー（表1）代表取締役社長の野口 達也 氏（写真1）は、「ABBは、昨年（2018年12月）、送配電（パワーグリッド）事業を日立に売却しました。これによって、新しいABBは、①スマート電力機器事業、②産業オートメーション事業、③モーション事業（モーター、ドライブ等）、④ロボットとFA事業という4つの事業部門を中心に、デジタル技術に注力して、新たなイノベーションを展開していきます」と語った。
　さらに、ABB日本ベーレーについては、今後、「エネルギー事業におけるデジタル化を強化しながら、①安全性・堅牢性（サイバーセキュリティ等）、②エネルギーマネージメント（VPP等）、③資産効率向上・予知保全（プラントの効率的運用等）、④効率化運転・製造管理（IoTの活用等）、⑤シミュレータとデジタルツイン（AIの活用・自立運転等）の5分野にフォーカスしてビジネスを展開していきます。これによって、産業のデジタル化を牽引していくテクノロジーリーダーを目指し、同時に事業領域を拡大していきたい」と抱負を語った。

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日をもとに編集部で作成

ITシステムとOTシステムの協働時代へ

〔1〕ITとOTの協業時代へ

　続いて、同社のデジタル技術部テクノロジー課　松井 尚子 氏（写真2）は「サイバーセキュリティにおけるABBの取り組み」と題し、ABBの取り組みを示した（図1）。
　1890年代のOTシステム^注1は孤立していた。しかし、1980年代以降にはインターネット（TCP/IP）やWindows OSなどが登場し、汎用技術として急速に普及した。これらの汎用技術をベースに、先行してインターネット接続していたITシステムと、孤立していたOTシステムは相互接続が可能となる時代を迎えた。その後、両システムは数十年にわたる統合期間を経て、今日（Today）では企業間のOTシステムを相互接続して、協働（Collaborative Operation）が行われるようになってきた。

図1　自律に向けて進化するデジタル産業システムとABBの取り組み
「孤立⇒接続⇒協働(自律)⇒人工知能（AI）」

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

〔2〕OT環境でも新しいサイバー攻撃を招く

　ネットワーク接続による協働環境になったことは、一方で、IT環境と同様にOT環境でも新しいサイバー攻撃を招く一因となり、サイバー攻撃に対する防御策を講じることが求められるようになってきた。
　さらに、図1右に示すように、明日（Tomorrow）の世界では、OTとITの融合はさらに進んでAIも普及し、各デバイスはデータ収集と分析を行えるソフトウェアを活用できるようになってくる。その結果、パフォーマンスが向上して、よりスマートな自律するシステムになっていくと考えられている。
　このように、汎用技術がOTシステムにも採用できるようになってきたため、最近では、インダストリー4.0をはじめサプライチェーン、スマートシティ、エコシステムなどへの取り組みが続々と登場し、加速している。
　つながる（コネクテッド）という新体験の時代に、その土台となっているのは、通信技術の標準化である。本来、利点となるはずの標準化は、一方において悪意のあるサイバー攻撃者によって、標準化された通信技術が利用され、重要資産にアクセスされ、サイバー攻撃が国際的なスケールで行われるようになってきた。

〔2〕産業システムとセキュリティ・ガバナンス

　このように、重要インフラに対するサイバー攻撃による脅威は年々深刻化してきており、サイバー攻撃に対処するための規制要件は増加し続けている。
　図2は、サイバー攻撃に対処するために、汎用制御システムをはじめ、電力システムやスマートグリッド（次世代電力網）などに対して標準化が行われている、国際的なセキュリティ・ガバナンス（内部統制の仕組み）の例である（表2の用語解説も参照）。
　このような国際的な取り組みを受けて、ABBでもサイバーセキュリティに関する関連規定を策定し、対処している。

図2　産業システムに求められるセキュリティ・ガバナンス（内部統制の仕組み）

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

▼注1
OTシステム：OTはOperational Technologyの略。電力現場や工場用の制御・運用システム。単に「制御システム」ともいう。これに対して一般オフィスの情報システムは、ITシステム（Information Technologyシステム）という。

OTCSAアライアンスの設立

　さらに具体的な取組みの例として、ABBは、マイクロソフトやチェックポイントなどと共同で、サイバーリスクを軽減し、OTシステム運用者に、サイバー攻撃に対するリソースやガイダンスを提供することを目的に、OTCSAアライアンス^注2を2019年10月に設立した（2019年10月）。
　OTCSAアライアンスは、進化する業界標準や法規制にOT業界が対応できるように、サイバーセキュリティに関する変化やアップグレード、および統合などに関連した開発のサポート、ガイダンスの提供に取り組んでいる。

クローズドな制御システムは安全か？

　ABB日本ベーレー デジタル技術部テクノロジー課の大石 貴之氏（写真3）は、工場などの生産システムにおいて、「クローズドな制御システムは安全だ、という神話があるが、これは本当だろうか」という問題意識を提起し、講演を行った。
　現在、この神話は、Stuxnet（スタックスネット）^注3というマルウェアの出現（2010年）によって崩れた^注4という見方もある一方で、依然としてインターネットに接続されていない「クローズドな制御システムのほうが安全」という神話が生き続けており、現在でも意見が分かれている。

〔1〕「クローズドが安全」は本当に安全か？

　図3は、10年ほど前からABBが標準的に提供しているDCS（分散制御システム）環境におけるデフォルトのネットワーク基本構成であり、次のように構築されている。これは、現在でも発電所等に納入されている現役システムでもある（表3の用語解説も参照）。

1. ABB制御ネットワークが専用ゲートウェイ（GW）を介して、他社の制御ネットワークと通信を行っている。
2. ABB制御ネットワークの下段に示す操作盤（FCE）^注5からModbusなどの通信によって収集した信号（データ）をDCSが演算処理して、上位のOWS（ワークステーション）に独自の通信プロトコルによって送信する。
3. OWSと接続されたサーバ内には、システム監視やプロセス制御を行うSCADA^注6ソフトが内蔵されており、HMI（インタフェース）によって、オペレータに制御・管理情報をグラフィカルに提供している。
4. 他社の制御ネットワークとの通信は、専用ＧＷを介して独自のプロトコルで通信を行っている。

図3　クローズドな制御ネットワークの基本構成（用語は表3参照）

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

▼注2
OTCSA：Operational Technology Cyber Security Alliance、OTサイバーセキュリティ・アライアンス。2019年10設立。下記URLのOTCSA White Paper参照
https://otcsalliance.org/wp-content/uploads/2019/10/Introduction-to-the-OTCSA.pdf

▼注3
Stuxnet：標的型の攻撃を行うマルウェア。2010年に出現しイランの原子力施設の制御システムをダウンさせたことで広く知られている。

▼注4
インターネットに接続されていないクローズド（その企業内に閉じた）産業用制御システムが、USBメモリーを介してStuxnetに感染しサイバー攻撃を受けたこと。この攻撃をきっかけに、制御システムへのサイバーセキュリティ攻撃問題が国際的に注目されるようになった。

▼注5
FCE：Final Control Element、操作盤。工場内の各機器を操作するスイッチやバルブ等のパーツを収めたパネルのこと。

▼注6
SCADA（スキャダ）：Supervisory Control And Data Acquisition、監視制御やデータ収集を行う産業制御システムの一種。コンピュータ（ワークステーション）でシステム監視やプロセス制御を行うシステム（あるいはソフトウェア）。

4つの領域から見た制御装置のセキュリティ対策状況

〔1〕4つの領域と攻撃への対策

　大石氏は、図4のような①物理的侵入（左上）、②論理的侵入（右上）、③被害拡大（右下）、④復旧（左下）という4つの領域から標準設計された制御装置のセキュリティ対策マップを示し（図4）、その4つの領域を次のように位置づけた。

　第1は、制御システムの環境下で、物理的侵入に対する対策（一般従業員や外部清掃員の侵入制限等）がされているかどうか。具体的には、物理的な資産（例：コンピュータ）にアクセスし、HMIをマウスで操作してバルブを閉めたり、スイッチを切ってしまったりするような操作、あるいはUSBメモリーをつないで、データを盗むなどの攻撃に対する対策が行われているのかどうか。
　第2は、ネットワークを介して論理的侵入し、第1に示したのと同じような攻撃に対する対策が行われているかどうか。
　第3は、侵入された後に、その攻撃によってコンピュータが停止してしまう、あるいは暗号化されて使用不能になってしまう、さらに隣のコンピュータにウィルスの感染が拡大してしまうなど、攻撃による被害拡大への対策がされているかどうか。
　第4は、このような被害が発生した場合に、いかに早く復旧できるか、その対策等が行われているかどうか。

〔2〕4つの領域への攻撃に対する対策

　図4に示した、赤い丸部分（常時監視、ネットワーク分離、ネットワーク分離＋独自プロトコル）は、これらの攻撃に対する対策の例を示したもので、表4の右に具体的な対策の例を示す。

図4　標準設計された制御装置のセキュリティ対策状況（座標軸で分けられた4つの領域、表4参照）

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

独自プロトコルの採用とネットワーク分離

　表4に示したように、サイバー攻撃に対して、常時監視や制御装置に接続する記録媒体（メディア：USBやCD/DVDなど）を常時ウィルスチェックすることも重要なポイントであるが、ここでは、これらの制御システムに対するサイバー攻撃対策の例として、「独自プロトコルの採用」と「ネットワーク分離」について見ていく。

〔1〕独自プロトコルと標準プロトコル

　（1）3つのタイプの違いを比較する

　図5と表5は、制御システムに、独自の通信プロトコルと標準通信プロトコルを使用した場合の3つのタイプ（①～③）の違いを示したものである^注7。
　図5の①は、非IP系プロトコルの場合で（注：アドレス形式はIPアドレス形式を使用）、ABBのCネットやモジュールバスに当たるものである。その通信路はDCS用に独自のケーブルを使用し、ループ状に構成されている。また、この場合、前出の図3に示したOWCから出されるIPヘッダアドレスの宛先は、GW（ゲートウェイ）に固定されている。
　このIPパケットを（盗聴は困難であるが）仮に盗聴できたとしても、GWから先にあり、他社制御ネットワークに接続されているDCS（右）のアドレスは記入されていない。そこで、このGWでGWの先に接続されているDCS（右）のアドレスが指定されることになる（図5①のペイロード部に「宛先含む」と書かれているのはこの意味である）。このため、OWSから発したメッセージ内容〔例えばDCS（左）が演算した数値「5」というコマンド（指令）〕は、先方のどのDCS（右）に接続されたバルブに送るコマンド（指令）なのかは解析できない。その理由は、非公開の独自ペイロード部に書かれているからである。
　図5②は、IPヘッダ内にはGW向けIPヘッダも、GWの先にあるバルブなどのIPアドレスなども含んでいるが、ペイロード部が独自プロトコル（非公開）のケースであるため、①のケースと同様にペイロード部の解析は困難である。
　図5③は、IPヘッダもペイロード部も公開されているModbus/TCPなどの通信仕様を使用するIPパケットであり、①、②に比べて盗聴や解析が容易となっている。そこで、セキュア（安全）な通信を行うため、ファイアウォールをはじめ、暗号化された通信路であるインターネットVPNや前出の表2に示したさまざまな国際標準に対応させて、サイバー攻撃に備えている。

　（2）「独自プロトコルか」「標準プロトコルか」は目的に応じて

　以上示したように、独自プロトコルを使用する場合と、標準プロトコルを使用する場合のシステムの通信方法の概略的な違いを見てきた。独自プロトコル（クローズなプロトコル）を使用する場合は、1つのメーカーが構築した生産システムによる非公開のプロトコルでセキュアな通信を行う例が多い。
　一方、他社と連携した通信を行う際に、独自プロトコルの場合は、プロトコルが異なるため簡単には相互通信はできない。そこで、公開された国際標準プロトコル（オープンなプロトコル）を使用して、他社とセキュアな相互通信を行う場合は、ファイアウォール（FW）をはじめインターネットVPNや国際的なサイバーセキュリティ標準に対応したシステムを構築することが求められる。
　「独自プロトコルか」「標準プロトコルか」の判断は、企業の目的に応じて選択する時代を迎えているのである。

図5　独自の通信プロトコルと標準通信プロトコルの違い

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

※OPC/DA：OPC Data Access、OPCファンデーションが、安全で信頼性あるデータ交換を行うために、1996年にWindows OSをベースに発表した第1世代のプロトコル規格（OPCクラシック）。現在は2008年に発表された、OSに依存しない第2世代のOPC UA（OPC Unified Architecture、国際標準IEC 62541）が普及している。また、OPCの定義も当初の「OLE for Process Control」から「Open Platform Communications」に改められた。

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

〔2〕ネットワーク分離のケース

　サイバー攻撃の対策として、制御ネットワークと、他のネットワークの接続点をなくすことは最強の対策である。しかし、本当に接続点はないのだろうか？
　図6は、ABB（単一メーカー）の制御ネットワークと他社の制御ネットワーク、インターネット環境（オフィスネットワーク／VPNやクラウド）などが、各ゲートウェイ（GW）を介して有機的に接続されている環境を示している。また表6は、ネットワーク分離と多様な環境におけるサイバー攻撃の侵入経路などを示したものである。
　これからわかるように、サイバー攻撃は多様化し、その対策には多様なファイアウォールや国際標準仕様が登場しているが、単一メーカーの完全な独立ネットワークといえども、侵入経路はスイッチングハブやUSBポート、CD/DVDメディアからのウィルス感染が多くなっている。このためウィルスチェックが行われているが、最近は検出が難しいマルウェアが登場している。
　このように、サイバー攻撃は多様化してきており、単一メーカーの完全な独立ネットワーク、すなわち「クローズドな制御システムは安全だ」とは言い切れない状況となっている。

図6　制御装置ネットワークを取り巻く環境

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日

▼注7
図5に示す「IPヘッダ部」とは、IPパケット（送信するメッセージ）の送信先の住所（手紙の住所のようなもの）を、「ペイロード部」（手紙の内容本体のようなもの）とは、送信するIPパケットのメッセージ内容（送信情報）を示したもの。

ABB日本ベーレーのセキュリティサービス

　大石氏は、講演の最後に、このような多様化する制御装置のセキュリティ対策の第1歩として、ABB日本ベーレーとしてつぎのような3つを提案した。

1. 制御装置のセキュリティ診断を行うこと。具体的にはセキュリティアセスメント（セキュリティ脅威の侵害状況を診断し、報告すること）行うため、現状の資産表の作成、リスク分析を行うこと。
2. インシデント（セキュリティ事象）発生時の対応計画と、現地バックアップHDDを作成し、復旧時間の短縮を図ること。
3. ログの収集を行うこと。セキュリティログ（記録）を確認することによって攻撃の発見や事後分析が可能となる 。　

　ABB日本ベーレーは、これらに対応した具体的な新しいサイバーセキュリティサービスを開始している（図7）。

図7　ABB日本ベーレーのセキュリティサービス

出所　ABB Bailey Japan Seminar 2019「重要インフラを守るサイバーセキュリティの3ステップ」、2019年12月2日