制御システムのセキュリティ～サイバー攻撃の現状とリスク分析のすすめ～

2018年10月17日（水） 16:20 – 16:40

独立行政法人情報処理推進機構（IPA）

セキュリティセンター

セキュリティ対策推進部

福原 聡

日経 xTECH EXPO 2018オープンシアター講演

Copyright © 2018 独立行政法人情報処理推進機構

本日の内容

1. 制御システムとは

2. 制御システムのセキュリティ

3. 制御システムにおける脅威

4. サイバー攻撃事例

5. リスク分析のすすめ

～IPA制御システムのセキュリティリスク分析ガイド第2版の紹介～

6. 制御システムのリスク分析ガイド 第2版7. リスク分析の概要

8. リスク分析（１）：資産ベースのリスク分析

9. リスク分析（２）：事業被害ベースのリスク分析

10. リスク分析結果の解釈と活用法

11. リスク分析ガイド別冊：リスク分析の実施例2

Copyright © 2018 独立行政法人情報処理推進機構

1. 制御システムとは

• 制御システムとは電力・ガス、石油・化学等のプラントにおける監視制御や、機械・食品の工場の生産ライン等で利用されているシステム

• 制御システムの特性

社会基盤、産業基盤を支えており可用性が最重要。停止による社会的な影響・事業継続上の影響が大きい

システムのライフサイクルが10-20年と長期間

3

Copyright © 2018 独立行政法人情報処理推進機構

2. 制御システムのセキュリティ

• セキュリティ対策の必要性

• インターネット、リモート回線等外部ネットワークとの接続

• 構成コンポーネントがWindowsやLinux等の汎用品

• USBメモリの利用

• 制御システムに対する攻撃

• 日本の20～40%の制御システムはサイバー攻撃を受けている

• カスペルスキー https://ics-cert.kaspersky.com/ から推定

• 60%の制御ネットワークは外部から侵入可能

• ポジティブテクノロジー https://www.ptsecurity.com/upload/corporate/ww-en/analytics/ICS-attacks-2018-eng.pdf

4

Copyright © 2018 独立行政法人情報処理推進機構

3. 制御システムにおける脅威

• 制御システムにおける脅威(2016年 高い順)

① ソーシャルエンジニアリングとフィッシング

② USBメモリや外部のPCを介してマルウエア感染

③ インターネット/イントラネットからのマルウエア感染

④ リモートアクセス

5①～④：脅威

監視端末

制御

サーバ

HMI（操作端末）

SW

SW

バルブ　センサ

EWS

FW

制御ネットワーク （情報側）

制御ネットワーク（フィールド側）

情報ネットワーク

フィールド機器

コントローラ

アクセス

ポイント

コントローラ

①、③

②

④

• BSI Industrial Control System https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005E.pdf?__blob=publicationFile&v=3

Copyright © 2018 独立行政法人情報処理推進機構

4. サイバー攻撃事例（1）

• 不正操作による大規模停電

2015年12月、ウクライナ西部で、3時間～6時間にわたり大規模停電が発生。22万5千人に影響を及ぼした。侵入にはマルウェア「BlackEnergy3」が使われたが、停電を引き起こした最終的な攻撃は、攻撃者による制御システムの不正操作であったと言われる。

翌2016年12月、同じくウクライナの首都キエフ北部と周辺地域で、

30分～1時間15分にわたる大規模停電が発生。制御システムがマルウェア「Industroyer/Crashoverride」に感染し、当該マルウェアが送電変電所の遮断機を不正操作したと言われる。

6

Copyright © 2018 独立行政法人情報処理推進機構

4. サイバー攻撃事例（2）

• 不正操作による製鉄所の設備損壊

2014年12月、ドイツの製鉄所で溶鉱炉の正常なシャットダウンができなくなり、設備が損壊する事件が発生。攻撃者はマルウェアを添付したメールを通じて社内ネットワークに侵入し、その後、制御ネットワークに侵入を拡大した。

• ランサムウェア感染による自動車工場の操業停止

2017年5月～6月、フランス、英国および日本の大手自動車メーカーの工場で、コンピュータがWannaCryに感染し、1日～数日間操業が停止した。

7

Copyright © 2018 独立行政法人情報処理推進機構

5. リスク分析のすすめ

• リスク分析の位置付けと重要性

• 保護すべきシステムやそれによって実現している事業（サービス等を含む）に対する脅威と被害のレベル（可能性と大きさ等）を明確化

• セキュリティ対策上、必要不可欠

• 詳細リスク分析

• より正確なリスク分析

• セキュリティ投資の優先順位等、組織として戦略的に検討可能

• 一度実施するとそれをベースに継続的セキュリティレベルの向上可能

8

Copyright © 2018 独立行政法人情報処理推進機構

6. 制御システムのリスク分析ガイド 第2版

• 制御システムのリスク分析手法について解説

• 2018/10/15に第2版リリース(第1版は2017/10)• 第2版の特徴

• わかりやすく

• 効率よく分析できる

• 必要なセキュリティの知識はより低く

• 第2版の改善点

• ガイドを用いたリスク分析事例からの

フィードバックの反映

• 資産のグループ化の簡略化

• 分析手法の効率化

9

https://www.ipa.go.jp/security/controlsystem/riskanalysis.html

2018年10月15日公開

12/10にIPAにて事業者向け有料セミナー開催予定

Copyright © 2018 独立行政法人情報処理推進機構

7. リスク分析の概要（1）～2種類のリスク分析

ガイドで紹介する2種類の詳細リスク分析

• 資産ベースのリスク分析

• 保護すべきシステムを構成する資産のリスクを、各資産の重要度（価値）、脅威、脆弱性の３つを指標として評価する

• 事業被害ベースのリスク分析

• 保護すべきシステムで実現されている事業やサービスの運用が脅かされるシナリオを検討し、それらのシナリオを引き起こす具体的な攻撃ツリー（一連の攻撃手順）が成立するリスクを、各攻撃ツリーの事業被害の大きさ、脅威、脆弱性の３つを指標として評価する

10

脅威

資産

脆弱性

資産

脆弱性

資産

脆弱性

資産

脆弱性

資産

べース

事業被害

べース

脅威

事業被害

攻撃

ツリー

Copyright © 2018 独立行政法人情報処理推進機構

7. リスク分析の概要（2）～2つのリスク分析の位置づけ

• 相互補完によるリスク分析の有効性向上

11

資産ベース

資産を網羅的に分析、弱点を

対策強化

・ネットワークの入り口を無差別に攻撃

・組織内ネットワーク経由で拡散

・手あたり次第攻撃

事業被害

ベース

事業被害を引き起こすシナリオから、攻撃ツリーの構成資産を洗い出し、ポイントで対策

強化

・様々な侵入口を探索

・侵入後システムを分析して侵攻

・正規ルート等を悪用して目的遂行

・妨害

・混乱

・脅迫

・金銭

・情報窃取

・誤作動

・停止

・破壊

・2次被害誘発

バラマキ

無差別

標的型

意図的

リスク分析 分析の特徴サイバー

攻撃形態攻撃の特徴攻撃の目的

リスク分析 サイバー攻撃

有効性

Copyright © 2018 独立行政法人情報処理推進機構

7. リスク分析の概要（３）～リスク値とは

• リスク値とは：リスク分析で算出されるリスクの高さの指標

12

9

リスク値C リスク値

Bリスク値

A

6

リスク値D

リスク値C

リスク値B

4

3

リスク値E

2 リスク値D

リスク値C1

1 2 3

資産の重要度または

事業被害レベル

リスク値高脅威レベル×脆弱性レベル

Copyright © 2018 独立行政法人情報処理推進機構

8. リスク分析(1)資産ベースのリスク分析

• 事前準備で洗い出し、分析対象として 精査

した、保護すべき制御システムを構成する資産群を対象に、

• 各資産のリスクの大きさ（リスク値）を、

• 資産の重要度

• 脅威レベル（脅威の発生可能性）

• 脆弱性レベル（発生した脅威を受容する可能性）

から算定

13

監視端末

制御

サーバ

HMI（操作端末）

SW

SW

バルブ　センサ

EWS

FW

制御ネットワーク （情報側）

制御ネットワーク（フィールド側）

情報ネットワーク

フィールド機器

コントローラ

アクセス

ポイント

コントローラ

不正アクセス B

マルウエア感染 C

情報窃取 A

プロセス

不正実行A

脅威

(攻撃手法)リスク値

不正アクセス

B

マルウエア感染 C

情報窃取

プロセス

不正実行D

脅威

(攻撃手法)リスク値

C分析結果

Copyright © 2018 独立行政法人情報処理推進機構

9. リスク分析（２）事業被害ベースのリスク分析①：攻撃ツリー

14

攻撃ツリー ＝一連の攻撃手順

Copyright © 2018 独立行政法人情報処理推進機構

9. リスク分析（２）事業被害ベースのリスク分析②：リスク値

• 保護すべき制御システムで実現されている事業やサービスを対象に、

• 事業被害を引き起こすシナリオを成立させる各攻撃ツリーのリスクの大きさ（リスク値）を、

• 事業被害レベル

• 脅威レベル（攻撃の発生可能性）

• 脆弱性レベル（発生した攻撃を

受容する可能性）

から算定

15

監視端末

制御

サーバ

HMI（操作端末）

SW

SW

バルブ　センサ

EWS

FW

制御ネットワーク （情報側）

制御ネットワーク（フィールド側）

情報ネットワーク

フィールド機器

コントローラ

アクセス

ポイント

コントローラ

事業被害

Copyright © 2018 独立行政法人情報処理推進機構

10. リスク分析結果の解釈と活用法（１）

• リスク値の活用

• リスクの把握～改善箇所の抽出、選定

• リスクの低減と低減効果の確認

• セキュリティテストの対策箇所の抽出、特定

16

＜2種類のリスク分析の活用法の違いと相関＞

• 継続的なセキュリティ対策の実施（PDCAサイクル）

監視端末

PLC

制御サーバ

FW

HMIA B

C

B

B

資産ベースリスク分析の対策の検討

対策困難な場合あり

A-E資産ベース分析

の資産のリスク値

資産ベースの分

析の要対策箇所

（リスク値A、B)

侵入口

攻撃対象1

攻撃拠点1

経由

攻撃拠点2

事業被害

事業被害ベースリスク分析の対策の検討

AB

事業被害ベースの分

析の要対策箇所

A-E事業被害ベースの分析の攻撃ツリーのリ

スク値

攻撃ツリー

Copyright © 2018 独立行政法人情報処理推進機構

10. リスク分析結果の解釈と活用法（2）

• セキュリティテストによる分析結果の実機での確認

セキュリティテストの種類・目的・対象

17

目的テスト対象

ネットワーク OS／ミドルウェア アプリケーション

既知の脆弱性検出

・脆弱性検査（システムセキュリティ検査）

・脆弱性検査（Webアプリケーション診断）

・ファジング

未知の脆弱性検出・ソースコードセキュリティ検査

侵入可否の検証 ・ペネトレーションテスト

不審通信の検査 ・パケットキャプチャテスト

不正なネットワーク機器の調査

・ネットワークディスカバリ・ワイヤレススキャン

Copyright © 2018 独立行政法人情報処理推進機構

11. リスク分析ガイド別冊：制御システムに対するリスク分析の実施例

• 典型的なモデルシステムに対するリスク分析の完全な実施事例① データフローマトリックス

② 資産の重要度の判断基準

③ 各資産に対する重要度一覧

④ 事業被害レベルの判断基準

⑤ 事業被害と事業被害レベルの検討

⑥ 脅威レベルの判断基準

⑦ 脅威レベルの検討

⑧ 資産ベースのリスク分析シート

⑨ 攻撃シナリオ一覧の作成

⑩ 攻撃ルートの作成

⑪ 事業被害ベースのリスク分析シート 2018年10月15日公開

⑫ 制御システムのリスク分析結果（リスク低減のための改善策） 等

18

https://www.ipa.go.jp/security/controlsystem/riskanalysis.html

リスク分析シート一式（Excelファイル）は、以下のURLからダウンロード可能。

Copyright © 2018 独立行政法人情報処理推進機構

IPA 制御システムのセキュリティ

• 制御システムに関するセキュリティ情報のポータルサイト

https://www.ipa.go.jp/security/controlsystem/index.html• コンテンツ

• セキュリティ普及啓発資料

• 調査報告書、ガイド、映像教材

• 脆弱性対策情報

• 人材育成（ICSCoE）• 海外資料の概訳（ICS-CERT、

ENISA）

19