丸紅情報システムズ(株) 以下、MSYS)は、米GEデジタル社(以下、GEデジタル)が提供する産業用制御システム(以下、IC S*1)の運用・制御技術(以下、OT*2)を対象とする、セキュリティレベルチェックサービスおよび、セキュリティプラットフォーム「OpShield(オプシールド)」の販売を開始する。
 インダストリアルIoT(以下、IIoT)の啓蒙によって、工場・プラント等のあらゆる産業設備がインターネットにつながり、データを収集・分析・活用することで生産効率を高める取り組みに期待が寄せられている。その反面、インターネットを介してICSが外部からサイバー攻撃を受け、不正に操作されるリスクが顕在化してきた。
 発電所・石油化学プラント・製鉄プラント・公共交通機関などの社会インフラが、サイバー攻撃を受けて稼働停止や爆発・火災などを引き起こす事態は、都市機能の著しい低下などの甚大な被害をもたらす。実際に海外では、2015年にウクライナの電力会社関連設備がサイバー攻撃を受けたことが原因で大規模な停電を引き起こした事例も発生している。
 これまでのサイバー攻撃はITシステムに向けられたものであったが、現在はインターネットを介してICSが攻撃対象となるため、ITセキュリティに加えてICSの不正制御を防ぐOTセキュリティ対策が喫緊の課題となっている。
 MSYSはGEデジタルと、セキュリティレベルチェックサービスおよびOpShieldの販売代理店契約を締結し、国内初のリセラーパートナーとなった。今後は、MSYSがGEデジタルの日本国内窓口となり、ICS向けOTセキュリティサービス・製品販売・システム構築を提供する。
 MSYSとGE デジタルは、セキュリティチェックサービスにより明らかになったICSの脆弱性に対し、OT分野にはGE デジタルの知見と製品、IT分野にはMSYSの知見と製品を組み合わせることでトータルセキュリティを提供し、日本企業のIIoT推進を支援する。
<サービス・製品概要>
◎ICS向けセキュリティレベルチェックサービス
 1.サイトセキュリティヘルスチェックプラン
  セキュリティ状況をオンサイトで簡単にチェックし、直近の脅威をレポートする。
 2.サイトセキュリティアセスメントプラン
  業界標準およびベストプラクティスに照らし合わせ、オンサイトで施設を包括的に評価し、詳細にレポートする。レポートは推奨する軽減策と戦略に優先順位を付けて、長期的なセキュリティ対策のロードマップを提示する。
  ・既存ICSのセキュリティ状況を調査し報告する。
  ・調査で確認したセキュリティ課題をレポートし、今後対策すべき内容をリスクレベル別に提示する。
  ・調査結果に基づき、リスクレベルに対して今後のセキュリティ対策計画を策定することができる。セキュリティ対策の中長期計画、対策に要する人的・物理的・金銭的リソース投入の判断指標が得られる。
 ※GE デジタルのOTセキュリティエンジニア(ホワイトハッカー*3)が実施する。

◎OTに特化したセキュリティプラットフォーム「OpShield」
 OpShieldは、サイバー攻撃の脅威からICSと産業用設備/機器を守る用途に特化して設計された、ハードウェア型のセキュリティソリューション。OTネットワークのデータトラフィックをコマンドレベルで常時監視し、悪意ある制御動作を検知・遮断することで制御システムの安定稼働を確保する。
 OpShieldの機能は次の通り。
 1.ネットワーク上のコマンドを常時監視
 ・OTネットワーク内のトラフィックを、プロトコルコマンドやパラメータレベルまで検査が行える。OpShieldによる監視では通常のIPS*4/IDS*5ソリューションと同様、まず基本的なヘッダー情報を確認するが、その後プロトコルの構文や文法構造を確認し、保護対象のデバイスの通常運用に照らしてコマンドを解析し、監視する。
 2.ネットワーク通信のホワイトリスティング*6
 ・ホワイトリスティングを設定することで、設定されたポリシーと合致しないすべてのトラフィックについて、ブロック、許可、またはアラートを出すことができる。この方式でネットワーク通信を制御することにより、攻撃者がインダストリアルプロトコルに含まれる「シャットダウン」「スキャン」「ファクトリーリセット(初期化)」などのプロトコルコマンドや、「セットポイント」などのパラメータを悪用することを防ぐ。
3.ICSに特化したシグネチャ*7アップデートサービス
 有償サービス/OpShieldがサポートしているプロトコル、制御システム危機が対象。
 ・制御システム機器の脆弱性を対象としたエクスプロイト*8を防ぐためのシグネチャを、豊富に取り揃えている。
 ・GEデジタルは長期間有効で、エクスプロイトの亜種からも防御可能なシグネチャを用意しており、今後発生しうる脆弱性の問題についても随時対策し、アップデートサービスで提供。
 ICSでのセキュリティパッチ適用は、システム停止・再起動を要すること、対象となる機器が多いこと、システムの動作確認(評価・検証)を要することなどが理由で実施が困難。しかし、OpShieldがサポートしている制御システム機器は、シグネチャの適用により、根本が同じ脆弱性を利用した攻撃などの亜種の攻撃からも守ることができる。

◎制御システム機器のロバスト性(堅牢性)テストプラットフォーム「Achilles Test Platform(ATP)」
 制御システム機器(PLC*9、DCS*10など)等の通信に特化して、未知と既知のセキュリティ脆弱性を検出するロバスト性検証をテストすることができる。制御システム機器の開発/設計段階で、ATPを使用してテストすることで、開発者にとって想定外となる脆弱性の問題について確認する手助けが可能。一定のセキュリティ水準を満たすと「Achilles Certification*11(アキレス認証)」を取得することが可能。

*1:[ICS]Industrial Control Systemの略
*2:[OT]Operation Technologyの略
*3:[ホワイトハッカー]コンピュータやネットワークの高度な知識や技術を持つ者を指す「ハッカー」のうち、特にその技術を善良な目的に活かす、サイバー防御技術者を指す。
*4:[IPS(Intrusion Prevention System)]侵入防止システム。外部との通信を監視し、侵入の試みなど不正アクセスを検知し攻撃を未然に防ぐシステム。
*5:[IDS(Intrusion Detection System)]侵入検知システム。不正アクセスは「シグネチャ」と呼ばれる攻撃パターンのデータベースから判断し、悪意あるトラフィックを検出して通知する。
*6:[ホワイトリスト]ネットワーク上のすべての通信を監視。許可リスト(ホワイトリスト)にない不正な通信をシャットアウトし、さまざまな攻撃からネットワークを効果的に守る。
*7:[シグネチャ]既知の攻撃パターンに基づく攻撃とマッチングする事により不正な攻撃を検知する方式。
*8:[エクスプロイト]既知の脆弱性をターゲットとした悪意あるプログラムであり、その中に含まれるデータや実行可能コードがコンピュータ/ハードウェアで動作するソフトウェアの脆弱性を悪用する。
*9:[PLC]Programmable Logic Controllerの略。シーケンス(順番)を制御するコントローラーで「シーケンサー」とも呼ばれる。入力機器(スイッチ、センサなど)の信号の状態から、事前に決めた条件(プログラム)に従い出力回路をコントロールする。条件を変更する事で、ユーザーは機器を制御できる。
*10:[DCS]Distributed Control Systemの略。大規模なプロセス制御対象に対し、複数のコントローラーで協調・統合した制御をする分散型制御システム。
*11:[Achilles Certification]GEデジタルが提供している、制御システムにおける世界的なセキュリティ認証プログラム。

日本印刷産業連合会の検索サイト