SCADAセキュリティ 4

SCADAセキュリティ(脆弱性対応)

前3回にわたって制御システムに対するサイバー攻撃の事例と、被害を受けた際の影響の大きさをみてきました。

制御システムも情報システムと同様にサイバー攻撃の対象とされ、ハッカーから常に狙われていることを強く意識する必要があります。

どのようにすればサイバー攻撃の被害にあわずに済むか、万が一、サイバー攻撃を受けたとしてもどのようにすれば被害を最小限にできるかをみていきます。

常に脆弱性をふさいでおく

これはあたりまえのことですが、サイバー攻撃の対応として一番効果があります。制御システムの操作端末としてパソコンを導入したり、監視装置としてサーバなどの機器を導入しますが、OSやアプリケーションについて、日々、脆弱性(セキュリティ上、穴になって攻撃されやすい点)が発見されます。常にセキュリティ更新プログラム(パッチ)を適用して、システムの脆弱性を防いでおきましょう。

ただ、OSや一部のアプリケーションについては、新しくセキュリティ更新プログラムを適用したことによって、今まで動作していたものが動作しなくなるリスクも潜んでいます。

それらのセキュリティ更新プログラムを適用しても制御システムが正常に稼働するか、事前に検証しておくなど、入念な準備が必要です。この対応にはコストがかかるので、制御システムの導入時、調達時からセキュリティ対策費用を計上したり、要求仕様にセキュリティ要件を含めて置く必要があります。

経済産業省所管の独立行政法人情報処理推進機構(IPA)では具体的に下記のような内容を検討しておくことを勧めています。

・ネットワークの分離(制御ネットワーク/制御情報ネットワーク/情報ネットワーク等)
・USBメモリ等の外部記憶媒体からの感染対策
・開発時・運用時の脆弱性対策
・セキュリティ強度の高い機器、ツールの採用

制御システムの導入、調達時だけでなく、運用、保守メンテナンス時にも下記のようなセキュリティ対応を事前に想定し、要求仕様に入れておくことが必要です。

・ウイルス感染及び不正侵入時の対応
・脆弱性対応(脆弱性対策情報の提供、パッチ適用等)

USB取り扱い、端末の入れ替え時に細心の注意を払う

きちんと設計された制御システムは、インターネットなど外部にアクセスできないクローズドなネットワークと外部にアクセスできるオープンなネットワークに分かれています。

クローズドなネットワークでも「外部のネットワークに接続しないから安心」という概念は捨てる必要があります。制御システムでのセキュリティ被害では、USB経由でウイルスが持ち込まれたり、新しく入れ替えた端末からウイルスが蔓延した事例が数多く報告されています。

過去の事例から下記のような点を重点的に注意して運用しましょう。

・USBメモリ
USBポートを取り外す/ロックする
USBメモリ挿入時に、専用PCでウイルスチェックを行う
USBメモリ利用規則の策定
利用できるUSBメモリの管理

・操作端末の入れ替え/保守用端末の管理
入れ替え時のスタンドアロンでのウイルスチェック
保守用端末等の機器の管理(持ち込み禁止等)

・リモートメンテナンス回線
接続されている端末の認証
利用時のみの接続

制御システムのネットワークのデータ、ログを監視する

こちらも適切に運用されている制御システムでは当たり前に実行されていることが多いですが、制御システムを構成するネットワーク上に流れるデータやログを監視することは、サイバー攻撃の被害を最小限に減らすことに大いに役立ちます。

専用のログ管理ツールを導入したり、制御システムにもともと備わっているログ管理機能を使って、異常なログを検知したらアラートを発信したり、想定しないアクセス元からアクセスがあった場合に担当者に自動的に通知するなど、常に制御システム自体の稼働を監視しておけば、不穏な動きがあったとしても早い段階で警戒することができ未然にサイバー攻撃を防げます。

制御システムの脆弱性対応について、細かな注意点をあげればきりがありません。ただ、一般的に指摘されている点はすべて網羅しておく必要があります。前述のIPAでは制御システムの脆弱性を排除するために様々な資料を準備し情報発信しています。

脆弱性対応には、制御システムを構築、提供しているベンダーの協力が不可欠ですが、発注、依頼元の担当者もこのような資料を各自で学習し、常日頃からセキュリティ意識を高めておくことがサイバー攻撃の予防に役立ちます。

制御システムのセキュリティリスク分析ガイド

ガイド別冊:制御システムに対するリスク分析の実施例