生産工程における 制御システムセキュリティ対策 - meti...iec...
TRANSCRIPT
JIPDEC(一般財団法人日本情報経済社会推進協会) 情報マネジメント推進センター
センター長 高取 敏夫
2014年10月24日
http://www.isms.jipdec.or.jp
Copyright JIPDEC,2014-All rights reserved
生産工程における 制御システムセキュリティ対策
1
Copyright JIPDEC,2014-All rights reserved
JIPDEC組織体制
JIPDEC(一般財団法人日本情報経済社会推進協会)
設 立:昭和42年12月20日
事業規模:26億1,450万円(平成26年度予算)
職 員 数:111名(平成26年4月現在)
広報渉外部
JIPDEC
総務部 電子情報利活用研究部 プライバシーマーク推進センター
総務課
情報マネジメント推進センター
電子署名・認証センター 経理課
情報通信管理課
審査業務室
事務局
安信簡情報環境推進部
2
Copyright JIPDEC,2014-All rights reserved
情報マネジメント推進センターの 主な業務内容
情報技術に関連するマネジメントシステムの認定機関としての業務及び各制度に関連する普及業務
ISMS/ITSMS/BCMS認定システム実施に伴う諸業務
ISMS/ITSMS/BCMS認定審査の実施
ISMS/ITSMS/BCMS関連の委員会事務局業務
IT資産管理(ITAM)に関する調査研究業務
国際認定機関やフォーラム( IAF、PAC等)との相互連携の推進
ISO/IECなど(国際規格、ガイド策定等)への積極的貢献
制御システムセキュリティ認証に関する調査研究業務
3
Copyright JIPDEC,2014-All rights reserved
制御システムセキュリティの必要性
IACS(Industrial Automation and Control System)は、エネルギー分野(電力、ガス等)や石油・化学、鉄鋼等のプラント、鉄道等の交通インフラ、機械、食品等の生産・加工ラインなど社会・産業基盤を支える産業用オートメーション及び制御システムである。
IACSは、従来、専用システムで構成され、外部ネットワークとは接続されていないことから、セキュリティ上の脅威は殆ど意識されていなかった。しかし、近年、業務システム向けに開発された汎用技術(PCやサーバの基盤環境、TCP/IP等のプロトコル等)、ネットワーク(遠隔操作、遠隔保守等)、メディア(データ抽出、パラメータ変更)の活用が進んだ結果、いわゆるサイバー攻撃の対象となりうる状況にある。
IACSがサイバー攻撃を受けて停止した場合、社会インフラやビジネスの継続に深刻な影響を及ぼすだけでなく、HSEに対する深刻な影響が生じる可能性もある。
4
産業用オートメーション及び 制御システム(IACS)
産業プロセスの安全で、セキュアで、信頼できる運用に直接作用するか間接的に影響を及ぼす可能性がある要員、ハードウェア及びソフトウェアの集合。
注記:これらのシステムには次のものが含まれるが、これらのみに限定されない。
分散制御システム(DCS)、プログラマブルロジックコントローラ(PLC)、リモート端末(RTU)、インテリジェント電子装置、監視制御及びデータ収集(SCADA)、ネットワーク化された電子検知制御並びに監視及び診断システムを含む、産業用制御システム。
先進的または多変数制御、オンラインオプティマイザ、専用の機器モニタ、グラフィカルインタフェース、プロセス履歴管理、製造実行システム、工場情報マネジメントシステムなどの、関連する情報システム。
制御、安全及び製造作業機能を連続、バッチ、離散及びその他のプロセスに提供するために使用される、関連する内部、ヒューマン、ネットワーク又はマシンインタフェース。
記憶媒体、センサ、アクチュエータ。
Copyright JIPDEC,2014-All rights reserved 5
(出典:IEC/TC 62443-1-1 定義 3.2.57より引用)
制御システムセキュリティを 実現するための基準
制御システム分野で広く共通的な活用ができる規格であり、制御システムの利用者、装置製造者のそれぞれで広く活用できるセキュリティ規格としてIEC 62443シリーズがある。
・IEC 62443-1 シリーズ : この規格全体の用語・概念等の定義
・IEC 62443-2 シリーズ : 組織に対するセキュリティマネジメントシステム
・IEC 62443-3 シリーズ : システムのセキュリティ要件や技術概説
・IEC 62443-4 シリーズ : 部品(装置デバイス)層におけるセキュリティ機 能や開発プロセス要件
Copyright JIPDEC,2014-All rights reserved 6
制御システムセキュリティ標準
Copyright JIPDEC,2014-All rights reserved 7
IEC62443-4コンポーネント・デバイス
IEC62443-3技術・システム
IEC62443-1
IEC62443-2管理・運用・プロセス
標準化 評価・認証
装置ベンダ
インテグレータ
事業者 ・WIB*2)
・ISCI:ISASecure*3)
・Wurldtec Achilles*4)
*1)
<評価事業者>
PIMS
DCS/Slave
DCS/MasterEWS
・CSMS認証*2
・EDSA認証*3
*1) IEC62443のCyber securityの標準化作業は、IEC/TC65/WG10が担当。(日本国内事務局はJEMIMAが対応)
*2) Cyber Security Management System:ISMSを制御システム関連組織向けに特化した要求事項を規定
*3) EDSA:Embedded Device Security Assurance:制御機器(コンポーネント)の認証プログラム→IEC62443-4に提案されている
(出所:IPA「IEC62443及びCSMS/EDSA規格の詳細」 に一部加筆修正)
IEC 62443シリーズの動向
Copyright JIPDEC,2014-All rights reserved 8
制御システムのオーナーや運用・保守事業者、システムインテグレータの組織を対象としたのが、CSMS認証である。これに対して、製品・機器を対象としているのが、EDSA認証であり、ISA Security Compliance Institute(ISCI)が、制御システムコンポーネント(製品)認証プログラムのEDSA(Embedded Device Security Assurance)認証を実施している。そのベースとなった基準をIEC 62443シリーズに反映している。
(参考:独立行政法人情報処理推進機構)
Copyright JIPDEC,2014-All rights reserved
IEC 62443シリーズの要求事項
9
62443-2-1
Establishing an IACS
security program
62443-2-4
Requirements for IACS suppliers
CSMS
要求
運用面をベースに要求
機能面をベースに要求
62443-3-3
System security requirements and security levels
62443-4-1
Product
development requirements
62443-4-2
Technical security requirements for IACS components
要求
装置への
セキュリティ要求
要求
制御システムの サイバーセキュリティマネジメントシステム
(CSMS) IEC 62443-2-1:2010(Industrial Communication networks – Network and
system security – Part2-1:Establishing an industrial automation and control system security program)は、IACS(Industrial Automation and Control System)をサイバー攻撃から保護するための要素を規定している。
IEC 62443-2-1(Ed.2)
Requirements for an IACS Security management system
主要なカテゴリーは、リスク分析、CSMSによるリスクへの対処、並びにCSMSの監視及び改善の3つで構成されている。
リスク分析をベースとしたセキュリティマネジメントシステムの構築が可能である。
Copyright JIPDEC,2014-All rights reserved 10
CSMSの対象者
Copyright JIPDEC,2014-All rights reserved 11
運用・ 保守
IACS
制御システムを 保有する 事業者
(アセットオーナー)
制御システムの 運用・保守事業者
構築 制御システムの 構築事業者
(システム インテグ レータ)
CSMSのメリット
(1)サイバー攻撃に対するリスクの低減
(2)IACSの運用担当者に対するセキュリティ管理策の行動指針の徹底
(3)事業者の担う社会的責任の遂行
(4)第三者の観点から見た新たな気づき
(5)リスクマネジメントに対する理解の促進
(6)サイバーセキュリティに関する対外的な説明
Copyright JIPDEC,2014-All rights reserved 12
CSMS認証基準の構成
Copyright JIPDEC,2014-All rights reserved 13
4.2 リスク分析
4.2.2 事業上の根拠:IACSのサイバーリスクに対処するため組織の固有のニーズを識別及び文書化する。
4.2.3 リスクの識別、分類及びアセスメント:組織が直面している一連のIACSのサイバーリスクを識別し、これらのリスクの可能性及び重大度のアセスメントを行う。
4.3 CSMSによるリスクへの対処
組織は、CSMSのセキュリティ対抗策として、「5.詳細管理策」より管理策を選択しなければならない。選択した管理策及びそれらを選択した理由、並びに管理策の中で適用除外とした管理策及びそれらを適用除外とすることが正当である理由を示した「適用宣言書」を作成しなければならない。
4.4 CSMSの監視及び改善
4.4.2 適合:組織向けに開発されたCSMSに従っていることを確実にする。
4.4.3 CSMSのレビュー、改善及び維持管理:時間の経過に合わせてCSMSがその目標に合致し続けることを確実にする。
CSMS認証基準(IEC 62443-2-1:2010)
Copyright JIPDEC,2014-All rights reserved 14
事業上の根拠
4.2.2 事業上の根拠
組織は、IACSのサイバーセキュリティを管理するための組織の取り組みの基礎として、IACSに対する組織の固有の依存性に対処する、上位レベルの事業上の根拠を策定しなければならない。
CSMS認証基準(IEC 62443-2-1) JIP-CSCC100-1.0より引用
Copyright JIPDEC,2014-All rights reserved 15
リスクの識別、 リスクの優先順位のアセスメント(1/4)
4.2.3.1 リスクアセスメント方法の選択 組織は、組織のIACS資産に関連するセキュリティ上の脅威、ぜい弱性及び結果* に基づいてリスクの識別とその優先順位付けを行う、リスクのアセスメント及び分析のための特定のアプローチ及び方法を選択しなければならない。
4.2.3.2 リスクアセスメントの背景情報の提供 組織は、リスクの識別を開始する前に、リスクアセスメント活動の参加者に対して、方法に関する訓練などの適切な情報を提供しなければならない。
4.2.3.3 上位レベルのリスクアセスメントの実行 IACSの可用性、完全性又は機密性が損なわれた場合の財務的結果及びHSE(health、 safety and environment)に対する結果を理解するために、上位レベルのシステムリスクアセスメントが実行されなければならない。
*脅威やぜい弱性がもたらす影響の度合いを示している。
CSMS認証基準(IEC 62443-2-1) JIP-CSCC100-1.0より引用
Copyright JIPDEC,2014-All rights reserved 16
リスクの識別、 リスクの優先順位のアセスメント(2/4)
-上位レベルのリスクマネジメントの方法-
①IACSに対する脅威やIACSのぜい弱性によって組織が直面するリスクをシナリオとして作成する。リスクシナリオは、システムの開発、導入、変更、更新、廃棄などライフサイクルを想定して作成する。
②リスクシナリオに基づき、リスクが発生する可能性について、分類する。
Copyright JIPDEC,2014-All rights reserved 17
カテゴリ 説 明
高 今後1年以内に発生する可能性が高い脅威/ぜい弱性
中 今後10年以内に発生する可能性が高い脅威/ぜい弱性
低 これまでに発生したことがなく、発生する可能性がほとんどないと考えられる脅威/ぜい弱性
(出所:IEC 62443-2-1 AnnexAより引用)
可能性の尺度の例
リスクの識別、 リスクの優先順位のアセスメント(3/4)
③リスクシナリオに基づき、リスクがもたらす結果(影響の度合い)について、分類する。
Copyright JIPDEC,2014-All rights reserved 18 (出所:IEC 62443-2-1 AnnexAを元に作成)
結果の尺度の例
リスク領域
事業継続計画の作成 情報セキュリティ 産業活動の安全性 環境的安全性 全国的な影響
カテゴリ 1サイトでの製造停止
複数サイトでの 製造停止
コスト(単位: 100万$)
法的 公衆の信頼
サイト 内の人
サイト 外の人
環境 基盤及び サービス
高 >7日 >1日 >500 重い刑事犯罪
ブランド イメージの喪失
死亡 死亡又は重大な地域 インシデント
地域機関もしくは国家機関からの召喚、又は広範囲に及ぶ長期間の 重大な損傷
数の事業分野に対する影響又は地域サービスの大規模な動作 中断
中 >2日 >1時間 >5 軽い刑事犯罪
顧客の信頼の喪失
休職又は重傷
苦情又は地域社会への影響
地域機関からの召喚
1社の事業分野を超えるレベルへの影響の可能性。地域のサービスへの影響の可能性
低 >1日 >1時間 >5 なし なし 応急手当又は記録可能な 負傷
苦情なし 報告可能限度を下回る小規模かつ限定的な放出
1社の事業分野を超えるレベルへの影響の可能性。地域のサービスへの影響の可能性
(出所:IEC 62443-2-1 AnnexAを元に作成)
リスクの識別、 リスクの優先順位のアセスメント(4/4)
④リスクについてランク付けをすることで、優先順位を明らかにする。リスクのランク付けは、リスクの発生する可能性と影響の大きさに基づいて設定される。
Copyright JIPDEC,2014-All rights reserved 19
結 果
可能性
高 中 低 高 高リスク 高リスク 中リスク
中 高リスク 中リスク 低リスク
低 中リスク 低リスク 低リスク
(出所:IEC 62443-2-1 AnnexAを元に作成)
リスクレベルの基準の例
関連するリスクの識別及び優先付け(1/2)
Copyright JIPDEC,2014-All rights reserved 20
4.2.3.8 詳細なリスクアセスメントの方法の識別
詳細なぜい弱性アセスメントで識別された詳細なぜい弱性に優先順位を付けるための方法が、組織のリスクアセスメントの方法に含められなければならない。
4.2.3.9 詳細なリスクアセスメントの実行
組織は、詳細なぜい弱性アセスメントで識別されたぜい弱性を組み込んだ詳細なリスクアセスメントを行わなければならない。
4.2.3.11 物理的リスクのアセスメントの結果とHSE上のリスクのアセスメントの
結果とサイバーセキュリティリスクのアセスメントの結果の統合
資産のリスク全体を理解するために、物理的リスクのアセスメントの結果とHSE上のリスクのアセスメントの結果とサイバーセキュリティリスクのアセスメントの結果が統合されなければならない。
4.2.3.12 IACSのライフサイクル全体にわたるリスクアセスメントの実行
開発、実装、変更及び廃棄を含む、技術ライフサイクルのすべての段階にわたって、リスクアセスメントが行われなければならない。
CSMS認証基準(IEC 62443-2-1) JIP-CSCC100-1.0より引用
関連するリスクの識別及び優先付け(2/2)
Copyright JIPDEC,2014-All rights reserved 21
-詳細なリスクアセスメントの方法-
①詳細なぜい弱性アセスメントの結果を踏まえたIACSのリスクをシナリオとして作成する。サイバーセキュリティの観点だけでなく、要員のセキュリティ、物理的・環境的セキュリティなどについても適切に考慮することが重要である。
②制御システムの重要度とリスクの発生可能性から、リスクレベルを識別する。重大なリスクはCSMS責任者による管理リスクとする。
リスクレベルの例
レスクレベル 状 況
高 操業上重要なシステムにおいて、極めて危険
中 既に発生する可能性のあるリスクがあり、発生した場合、操業に影響を与える可能性がある
低 発生する可能性は低いか仮に発生しても、操業にはあまり大きな影響を与えない
リスク許容度の確立(1/2)
Copyright JIPDEC,2014-All rights reserved 22
4.3.2.6.5 リスクに対する組織の許容度の決定
組織は、ポリシーの作成及びリスクマネジメント活動の基礎として、組織のリスク許容度を決定し、文書化しなければならない。
リスクに対する組織の許容度を設定し、リスクアセスメントにおいて抽出されたリスクに対する方針を明らかにする。
CSMS認証基準(IEC 62443-2-1) JIP-CSCC100-1.0より引用
リスク許容度の確立(2/2)
Copyright JIPDEC,2014-All rights reserved 23
リスク許容度を設定した場合、リスクレベルが高と評価されたリスクについて、組織はプラントの計画停止やシステム更新まではそのリスクを許容するが、それ以上は許容できないという判断をしたことになる。
リスク許容度の例
レスクレベル 状 況 対応方針
高 操業上重要なシステムにおいて、極めて危険
プラントの計画停止やシステム更新等に合わせ、管理策を実施する。
中 既に発生する可能性のあるリスクがあり、発生した場合、操業に影響を与える可能性がある
管理策実行については、ユーザと協議にて決定する。
低 発生する可能性は低いか仮に発生しても、操業にはあまり 大きな影響を与えない
積極的な管理策は行わない。
CSMSによるリスクへの対処
Copyright JIPDEC,2014-All rights reserved 24
4.3.2 セキュリティポリシー、組織及び意識向上
システム又は組織がその資産を保護するためにサイバーセキュリティサービスをどのように提供するかを規定または統制する一連の規則である。
4.3.3 選ばれたセキュリティ対抗策
「4.3 CSMSによるリスクへの対処」に規定するCSMSのプロセスの一部として「5.詳細管理策」より管理策を選択しなければならない。選択した管理策及びそれらを選択した理由、並びに管理策の中で適用除外とした管理策及びそれらを適用除外とすることが正当である理由を示した「適用宣言書」を作成しなければならない。
リスクマネジメント及び管理策の導入
Copyright JIPDEC,2014-All rights reserved 25
4.3.4.2.1 IACSリスクの継続的管理
組織は、設備の使用期間全体にわたって、受け入れられるレベルになるようにリスクを管理するために、IACS装置及び対抗策の選択及び導入を含んだリスクマネジメントの枠組みを採用しなければならない。
選択した管理策を導入する。リスクの対処は、組織が許容できる期間内に行う必要があるため、その期間を念頭に置いた管理策の適切な導入計画の策定が求められる。ただ、新たなプロセスや基準を持ち込むのではなく、従来から行っていた活動をブラッシュアップし、PDCAサイクルを適用する方向で整理し、CSMSの管理策へと発展させる方法も有効である。
CSMS認証基準(IEC 62443-2-1) JIP-CSCC100-1.0より引用
上位レベル及び詳細なリスクアセスメントの更新
Copyright JIPDEC,2014-All rights reserved 26
4.2.3.10 再アセスメントの頻度及びトリガーになる基準の識別
組織は、技術、組織又は産業活動の変化に基づいた、再アセスメントのトリガーになるあらゆる基準を識別するだけでなく、リスク及びぜい弱性の再アセスメントの頻度も識別しなければならない。
適切なタイミングで上位レベル及び詳細なリスクアセスメントを更新する必要がある。更新のトリガーとしては、たとえば以下のケースが挙げられる。
・IACSの新規システム導入時
・IACSのシステム更新時
・IACSのシステムの変更
・法律・規制の変更
・IACSに対するリスクの変化
CSMS認証基準(IEC 62443-2-1) JIP-CSCC100-1.0より引用
CSMSの監視及び改善(1/2)
Copyright JIPDEC,2014-All rights reserved 27
4.4.3 CSMSのレビュー、改善及び維持管理
4.4.3.1 CSMSに対する変更を管理及び導入するための組織の割り当て
CSMSの変更の改良及び導入を管理及び調整し、定義された方法を使用して変更を策定及び導入するために組織が割り当てられなければならない。
4.4.3.2 CSMSの定期的な評価
管理を行う組織は、セキュリティ目的が満たされていることを確実にするために、CSMS全体を定期的に評価しなければならない。
4.4.3.3 CSMSの評価のトリガーの確立
組織は、CSMSの関連要素のレビュー及び場合によって変更を行うきっかけとなる、設定されたしきい値を持つトリガーのリストを確立しなければならない。これらのトリガーには、少なくとも、重大なセキュリティインシデントの発生、法律及び規制の変更、リスクの変化及びIACSに対する大きな変更が含まれる。しきい値は、組織のリスク許容度に基づかなければならない。
4.4.3.5 リスク許容度のレビュー
組織、技術、事業目的、社内業務及び外部事象(識別された脅威及び社会状況の変化を含む)に対する大きな変化が存在するときは、リスクに対する組織の許容度のレビューが開始されなければならない。
CSMS認証基準(IEC 62443-2-1) JIP-CSCC100-1.0より引用
CSMSの監視及び改善(2/2)
Copyright JIPDEC,2014-All rights reserved 28
組織は、CSMSに関する過去の有効性と今後の見込みのアセスメントを行うため、CSMSの状況を定期的にレビューすることが求められる。
個別の取り組みについては、活動計画にレビューの時期を定め、進捗を管理することが望まれる。その際、目的はCSMS認証基準を網羅することではなく、IACSの保護であることを周知し、PDCAが「作業のための作業」に陥らないように留意すべきである。
Copyright JIPDEC,2014-All rights reserved
CSMSの普及に向けて
制御システムのセキュリティの向上には、CSMS認証が普及して、制御システム事業者が認証取得する流れを確立することが有効であり、制御システム分野のセキュリティレベルの向上につながるものと考えられる。
CSMS認証基準(Ver.0.8版)の運用開始
CSMS認定基準(Ver.1.0版)の制定
CSMSの周知と人材の育成
認証取得に関するコスト負担の軽減
認証取得に対する事業メリットの明確化
29
組込みセキュリティとは
Copyright JIPDEC,2014-All rights reserved 30
自動車や家電、医療機器などに組み込まれたコンピュータからなる「組込みシステム」を、意図的な攻撃や改造、誤った設定などから守ることである。
組込みシステムでは、設計情報やソースコード、不具合や遠隔メンテナンス機能の情報が漏えいすると重大な脅威となる。開発者によりデータ持ち出し、ネット書き込みによる機密情報の漏えいなど、組織のルール策定、社員の意識向上など組織的なセキュリティ対策が重要である。
(出典:組込みシステムのセキュリティ取組みガイドブック 中部経済産業局)
組込みセキュリティの取組み手順
Copyright JIPDEC,2014-All rights reserved 31
①対象とする組込みシステムの構造を簡素にし、モデル化する。
②作成したモデルを見ながら守るべき対象(資産)を洗い出しする。
③洗い出した資産に対する脅威を想定する。
④リスクアセスメントを実施する。リスクアセスメントとは、リスクの特定、リスク分析及びリスク評価のプロセス全体のことである。
(JIS Q 0073:2010の3.4.1参照)
⑤リスクアセスメントの結果、受容できない脅威があれば、セキュリティ技術対策を検討する。リスク対策とは、リスクを修正するプロセスのことである。(JIS Q 0073:2010の3.8.1参照)
⑥企画・開発、運用から廃棄までの製品のライフサイクルの各フェーズ毎にセキュリティ対策を実施する。
(出典:組込みシステムのセキュリティ取組みガイドブック 中部経済産業局)
Copyright JIPDEC,2014-All rights reserved
今後も、様々な活動を通じてCSMSの普及促進に努めます。
皆様方のご支援、ご協力をお願いいたします。
【お問い合わせ先】
一般財団法人日本情報経済社会推進協会
情報マネジメント推進センター
URL http://www.isms.jipdec.or.jp/ 32