関連するソリューション
OT/産業制御系セキュリティ
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト 藤原 和紀
2024年4月に「ザイログ(Zilog)社が6月14日にZ80の販売を終了する」と発表がありました。
(正確にはZ80のCMOS版であるZ84C00ファミリー)
Z80はIntel8080の上位互換として1976年に発表された8ビットCPUで、一時期はシャープのX1やMSXシリーズ、セガの初期のゲーム機などに採用されていました。
実に48年にわたって製造されてきたことも驚きですが、まだ現役で使われていることも驚きです。ですが互換CPUも多く製造されていますので、しばらくは無くなって困るというケースは少なそうです。
一方、同じく半導体では、熊本では台湾TSMC(Taiwan Semiconductor Manufacturing Company, Ltd.)社の
子会社であるJASM(Japan Advanced Semiconductor Manufacturing)の第一工場の竣工で半導体バブルが起きています。
そのTSMCですが2018年8月にはランサムウェアにより、工場で一時生産を停止したという事例があったのを覚えているでしょうか。
制御システム関連のサイバーインシデント事例はIPAが公開しており、本件の詳細は以下の
「【事例6】2018年 半導体製造企業のランサムウェアによる操業停止」として紹介されていますが、その被害額は最大190億円とも言われています。
制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」
シリーズ
この事件もきっかけとなり、半導体企業のセキュリティについてはSEMI(Semiconductor Equipment and Materials International)という団体がSEMI E187/ E188の規格を定めています。
SEMI E169 : 機器情報システムセキュリティガイド(2014年)
SEMI E187 : 半導体製造機器のサイバーセキュリティ仕様(2022年)
SEMI E188 : マルウェアを防止する為の機器の仕様(2022年)
という事で、今回はOT(Operational Technology)セキュリティの話を少ししたいと思います。OTとはざっくりですが製造業の工場やビル、大型船舶などの現場で使われているシステムです。ITとの違いは過去のコラムをご参照ください。
【エバンジェリスト・ボイス】OTセキュリティはITセキュリティと何が違う?
進むスマート工場の波
昨今、インダストリー4.0に基づき工場のスマート化が提唱されてきましたが、実際にスマート工場が次々と建設されています。スマート工場とはあらゆる生産設備と生産管理をネットワークで接続し、生産の効率化を目指した工場です。と同時に、OTセキュリティの導入事例も徐々に増えてきており、OTセキュリティの普及期に入ってきたと実感しています。
他方では江崎グリコ社がシステム障害により4月14日からチルド食品の出荷を停止しましたが、今年も障害が相次いでいます。
特にHOYA社では4月に外部からの攻撃により生産を停止し、レンズの供給に障害が出ています。
江崎グリコ社はシステムの更改に失敗したもので、外部から攻撃を受けたわけではありませんが、いずれも操業を停止した場合の影響が甚大であることを物語っています。
エアギャップの終焉
過去のOTセキュリティはエアギャップ(工場と外部がつながっておらず、隔絶している状態)のみで、侵入経路はUSB等のメディアを介したものがほとんどでした。エアギャップ自体は有効な手段でしたが、今や物理的エアギャップを取っている企業は少数になってきています。
スマート工場というほどでは無いにしろ、例えばラインごとの不良率を管理して効率をよくする。あるいは発注数や需給予測の結果で生産計画を変えるなどといった生産管理はOT環境ではなくIT環境で動作します。
製造業ではセキュリティよりも生産性が重要視される世界ですので、OTとITを融合することによって効率化を目指す流れが主流となっています。
そして、生産管理もセキュリティもクラウド管理の流れとなっていますので、OT環境もインターネット接続が必要となってきています。
ここで問題となるネットワークですが、OT環境とIT環境の接続はファイアウォールやIPSで論理的に分割されている状態となっています。もちろん適切に管理・監視が行われていればいいのですが、現場任せというケースも少なくありません。
尚、クラウド管理の流れは工場だけではありません。ビルネットワークもクラウド活用が増えていますし、医療機器等もクラウド接続が増えています。更に、今まで回線が貧弱でスタンドアロン管理しかなかった船舶も、今後は衛星ネットワーク等の活用でクラウド管理が当然になる日も近いと思われます。
OT環境のマイクロセグメンテーション
ITとOTを分けるファイアウォールやIPSといった境界型セキュリティは導入が必須ですが、これだけではラテラルムーブメント等の横方向の通信を検出することができません。ラテラルムーブメントとは、侵入後、横方向(工場等ですとOTネッワーク内だけの通信)に侵害範囲を拡大していく攻撃手法です。対策として最近進んでいるのがマイクロセグメーションという手法です。OTネットワーク内を細かくセグメント分けし、それぞれのセグメントの出入りを制御・監視することで、ラテラルムーブメントを抑止・検出するという方法です。
このマイクロセグメーションが非常に有効だという事は間違いのない事実ですが、実装にはいくつかの課題があります。
一番の問題は、ネットワーク分割する元となる工場ネットワーク全体の把握が困難という事です。まずはここを抑えないとマイクロセグメーション化が始まりません。
この点は課題としている企業が多く、一番に相談を頂くポイントです。
続いて設計時の問題点として、セグメント間でどのような通信がどのようなタイミングで発生しているのかを把握していない為、正確なフィルタを作ることができないという問題です。これは実際に装置を入れ、一定期間監視をする必要があります。
このような問題がある為、マイクロセグメーションは新設のネットワークに導入する場合は比較的設計が容易なのですが、既存のネットワークでは新規に張りなおす以上の労力が必要になります。
これらの問題はOTネットワークにおいて可視化が進んでいないという事の表れでもあります。
また、多く相談を頂くのは、「実際に監視するのは誰か」「工場の要員で監視が出来るのか」「不審かもしれない通信が検出したとして抑止していいのか誰が判断するのか」等といった運用のご相談もよく受けます。この点は運用監視設計やリモート監視といった提案ができますので、ご相談頂けますと幸いです。
Microsoft Defender for IoTによるOTネットワークの可視化
可視化を進めることにより、工場ネットワーク全体の把握が可能となり、日々どの機械からどの機械に通信が行われているかも把握できます。そして何より、抑止すべき通信かどうかの判断材料となります。
この見える可に貢献するのがMicrosoftのDefender for IoTです。
Microsoft Defender for IoT
名称からOTにも使えるものだとだとわかりづらいですが、Microsoftは「業用制御システム (ICS) や
運用技術 (OT) など、モノのインターネット (IoT) と産業インフラストラクチャに対するリアルタイムの資産検出、脆弱性管理、 サイバー攻撃に対する保護を利用できます。」と解説しています。
Microsoft社は2020年、OT向けソリューションを開発していたCyberX社を買収し、OT,IoT向けのセキュリティに乗り込んできました。ただ、大々的にOT向けを謳っていないので、この製品がOTセキュリティ製品であることはほとんど知られていません。
当社はCyberX時代に代理店となり、現在OT環境に向けて提案、PoC、構築、診断、運用管理などのサービス展開を行っております。以下がサービス内容となります。
ICS/OT/IoT ネットワーク監視・インシデント対応サービス
更にMicrosoft Defender for IoT は現在、Microsoft 365 E5 および E5 セキュリティプランのライセンスに含まれていますので、同ライセンスをご契約中であれば新たにライセンスを購入する必要は有りません。
この機会に、まずはOT環境の見える可をご検討頂ければと思います。
ご興味がおありでしたら、弊社にご相談頂ければ対応させていただきます。
それでは、また次回までしばらくお待ちください。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
