今回は、 貯蔵タンクの直接の事故ではなく、ケミカル・エンジニア誌に載った制御システムへの近年のサイバー攻撃の脅威を指摘した資料を紹介します。進化を続けるサイバー攻撃では、2005年に英国で起こったバンスフィールドのタンク貯蔵ターミナルにおける爆発事故の原因である安全システムの故障を遠隔操作で意図的に作り出すことも可能だと指摘しています。
< はじめに >
■ 近年、産業用制御システムに対するサイバー攻撃が増加している。いま、あなたは何ができるか?
< サイバー攻撃の状況
>
■ 産業用制御システムを販売するシュナイダー・エレクトリック社(Schneider
Electric)が、トリコネックス・トリコン安全システム(TriconexTricon safety
system)のハードウェアを動かすソフトウェア(プログラム)であるファームウェアの中に、これまで知られていなかった脆弱性を悪用したサイバー攻撃に関する分析内容が2018年1月に発表された。
■ 攻撃者は、世界的電機メーカーであるシュナイダー社の顧客の工場のひとつを標的とし、施設のワークステーションや安全システムのコンピュータ内に侵入し、遠隔操作型のトロイの木馬(Remote Access Trojan; RAT)をインストールさせた。これにより、いつでも簡単にシステムにアクセスできるようになり、安全設定や操作制限を変更することができるようになった。
■ この遠隔制御ができることにより、攻撃者はシステムに侵入し、プラントの安全システムを機能させないようにしたり、体系的で広範囲な障害を引き起こさせることができるようになった。
しかし、攻撃者がシステム内を偵察しているときに、誤って緊急シャットダウンの操作を開始させてしまった。このプラントがシャットダウンした原因を調査した結果、現在「トリトン」(Triton)として知られているサイバー攻撃のマルウェアが発見された。
■ このケースでは、攻撃者はこの種のシステムを危険にさらすことのできるスキルとツールを開発しようとしていた。攻撃者の動機は、彼らが組織犯罪集団である場合は工場所有者から金銭を得ようとしたか、あるいは彼らがウクライナのブラック・エネルギー・アタッカーのような民族的(国家)組織である場合は政治的理由で混乱と不安を引き起こそうとした可能性がある。
■ 例えば、2005年12月にあった英国のバンスフィールドのタンク貯蔵ターミナルにおける爆発事故は安全システムにおける2つの故障によって引き起こされたものであるが、この種のサイバー攻撃が有する潜在力を示すものである。この爆発事故では、推定10億ポンド(1,400億円)の損害が発生し、被害を受けた関係組織は長期間にわたって施設が使えなくなった。
< 事後の分析 >
■ トリトンによる攻撃は失敗に終わったが、攻撃者はあきらめたわけではないだろう。攻撃者は、今回、何が悪かったのかを事後分析して問題点を特定し、あらたに別の攻撃目標をさだめ、スキルをさらに伸ばそうとしているだろう。実際、産業用制御システム(Industrial control systems; ICS)や監視制御・データ取得システム
(Supervisory Control And Data Acquisition ; SCADA)に対する攻撃案件が増加しており、組織内でオペレーショナル・テクノロジー・システム(Operational technology systems)に携わっている人たちは憂慮する必要がある。
■ もし、あなただったら、つぎの3つの事項について問いかけるべきである。
● 攻撃者が次に侵入しようと考えているシステムのオーナーは誰だろうか?
● 攻撃者がサイバー攻撃の性能を完成させたら、何をするだろうか?
● 攻撃者が新しいスキルを習得すれば、あなたのシステムは危険にさらされるか?
■ 今回の攻撃はひとつのメーカーのあるタイプのコントローラーを危険にさらした一例であるが、これまでの産業用制御システム(ICS)や監視制御・データ取得システム (SCADA )への攻撃がいろいろなサプライヤーのさまざまな製品に対するものであったことを認識することが重要である。
■ あなたが使っている製品がまだ侵害されていないという理由だけで、将来にわたって侵害されることは無いと考えるのは間違っている。ソフトウェアや制御システムの基盤は非常に複雑であり、脆弱性の存在する可能性は多くの人が思っているよりもずっと高い。侵害された製品をつくった誰もが、侵害された事実をやっとのことで見つけるまで、問題があったことに気づいていなかった。
■ 産業用制御システム(ICS)や監視制御・データ取得システム
(SCADA)の根本的な問題は、元々、外部のシステムから切り離して設計されており、サイバー領域におけるセキュリティを念頭に置いて設計されていないことである。セキュリティ自体は、物事をより速く、より良く、より安くすることに焦点を当てた経営陣のために生み出されたものである。その結果、産業用制御システム(ICS)や監視制御・データ取得システム (SCADA)が組織の実績や人員・機材などの資源計画を管理する事業システムと接続されることがよくある。これらの接続により、第三者のサプライヤーやサポート機能がインターネット経由で遠隔操作できるようになり、さらに脆弱性が生じるようになった。これは、攻撃者がセキュリティのツールであるSHODANやAutosploitなどを用いてあなたの使用しているシステムを見つけ出す可能性のあることを意味する。
■ 攻撃者が、一旦、あるシステムについて知れば、そのシステムに侵入して侵害する方法を得ようとする。その多くは極めて高度な機能を備えている。英国政府の評価によると、組織犯罪集団のサイバー攻撃の能力は、民族的(国家)組織の高度で進んだサイバー攻撃の能力と比べて、わずか4〜5年遅れているだけだという。
< 衝撃的な影響力 >
■ 民族的(国家)組織として行動する攻撃者は独自に明確な課題をもっており、多くは容易に自分たちの仕業とわかるような作戦を実行することをいとわない。民族的(国家)組織の攻撃者は、国の重要施設を破壊することが国民の間に広く不安と不満を引き起こす簡単な方法であることを認識している。それと同時に、民族的(国家)組織の攻撃者は影響力の大きい目標を攻撃することで、多大な経済的損害を与えることができる。
■ 企業が制御システムをITネットワークに接続するにつれて、分離独立を実現するためにネットワーク間の通信を実現するための拡張装置であるデュアル・ネットワーク・カードを備えたパソコンが一般的になったが、問題解決には十分でなかった。しかし、いまは制御システムを高レベルでの接続を実装するために強力な解決策が利用できる。ただし、レベル0とレベル1のデバイス(すなわち、プラントにおけるセンサー、送信機器、アクチュエーター)には、確実に動作する機能がない。現在、 ISAワーキンググループがこの問題を検討しているが、システムのセキュリティを向上させるためには、さらに多くの課題を解決させていく必要があることは明らかである。
< あなたに何ができるか? >
■ この増大する脅威を考えると、プラント・オペレーターが尋ねたいと思っている質問は、直面しているリスクの種類を特定し、そのリスクに対処するため最も費用対効果のある方法があるかということであろう。使用されている技術、プロセス、化学物質などはプラントごとに大きく異なるため、すべてに当てはまるような答えは無い。しかし、やるべきことの第一歩は、サイバー攻撃のリスクが高まっていることを認識することである。一方、産業用制御システム(ICS)や監視制御・データ取得システム (SCADA) に対するサイバー攻撃のリスクを積極的に管理する法改正の要望が世界中で増えていることも認識する必要がある。
■ この一例として、英国が「重大事故のハザード管理」(Control of
Major Accident Hazards; COMAH)の適用範囲を見直し、初めてデューティホルダー( Dutyholders;事業責務を課せられている人)がサイバー・セキュリティ・リスクの管理の責任を担う規定が定められたことである。これらの変更は、改正されたIEC 61511(Safety instrumented system for the
process industry sector; 安全計装システムの機能安全規格)に規定された新たな指針や今後のネットワーク・情報システムと整合している。
■ 次に記載するステップは、産業用制御システム(ICS)や監視制御・データ取得システム
(SCADA)の基盤に関する専門家の意見を考慮に入れて、リスクの特定と管理方法について焦点を当てたものである。この業務をサポートするための有効な指導書はいろいろある。例えば、産業用制御システム(ICS) のセキュリティに関するものとしては、英国の国立サイバー・セキュリティ・センター(National Cyber Security Centre )が発行したものがあり、つぎのような8項目に分けた標準書である。
● 継続的な統治(ガバナンス)の確立
● 企業リスクの管理
● 産業用制御システムのライフサイクルの管理
● 意識とスキルの改善
● セキュリティの改善策の選択と実装
● 脆弱性の管理
● 第三者からのリスクの管理
● 応答機能の確立
■ この作業の中で第一項が非常に重要である。あなたの所属する組織がサイバー攻撃のリスクと脅威を理解し、管理できるような有効で知的な統治(ガバナンス)機能がない限り、つぎの作業へは至らないだろう。ほかの7つのステップを実行していくため、サポートし、根拠を明確にし、予算化をしていくのが、統治(ガバナンス)を担うチームである。
■ その統治(ガバナンス)機能は、コンプライアンスが必ずしもセキュリティと同等とは限らないという認識のもとにあるべきである。それぞれの組織や場所などにある脅威、リスク、衝撃的な影響を知的で状況判断のもとで評価せずに、一方的な思い込みの押しつけで行うだけでは、セキュリティに関して誤った安心感を生み出してしまう危険性がある。
■ 産業用制御システム(ICS)や監視制御・データ取得システム
(SCADA)の健全性をチェックするには、実証済みの方法を用いて作業をサポートする必要がある。これには、これまでの経緯や状況に応じたサイバー攻撃の脅威について知的な分析を実施し、産業用制御システム(ICS) とリスクの専門家が協同で実行していくべきである。このリスクの専門家は産業用制御システム(ICS)や監視制御・データ取得システム (SCADA)分野で作業してきた経験を有しているのが好ましく、そうすることによって、問題点を把握し、課題の質問について正しく理解し、各運転状況に特有な面を認識し、焦点の絞られた課題をフォローアップできる。
■ 組織が有している独自の特質は技術(テクノロジー)だけではない。それらは産業用制御システム(ICS)や監視制御・データ取得システム (SCADA)に関係する人間やプロセスに及ぶ。一方、技術(テクノロジー)と同様、リスクや脆弱性の要因は関係する人間やプロセスの中にもある。そして、セキュリティの管理を適切なものにするには、3つの組み合わせに焦点を当てる必要がある。
■ また、重要なことは、高水準であってもセキュリティ・アーキテクチャを見直し、ネットワーク全体の設計と構築が行われる際に出てくるいかなる変更も確認することである。さまざまな分野での作業経験から、簡単な変更によってリスクを大幅に削減できることがわかってきている。
これらには以下のことが含まれる。
● 専門家による防護監視のツールや手法を用い、プロセス・データの流れを調べて、疑わしい活動状況を探してみる。
● 産業用ファイアウォールを選択して使用し、設定の範囲外の変更を防護してみる。
● 産業用制御システム(ICS)や監視制御・データ取得システム
(SCADA)のセキュリティの見直しに専門家を従事させ、セキュリティ・アーキテクチャをよく調べてみる
● オペレーターやプロセスエンジニア向けに特別な認識訓練を実行して、リスクや脅威を気づかせてみる。
● 経営陣にサイバー攻撃者のリスクと能力について正しく理解させ、サイバー攻撃のリスクに関心を持たせるとともに有効にリスク管理できるようなリソースを再評価してみる。
■ 一方、この作業が更に厄介なのは、「モノのインターネット(IoT)」装置が飛躍的に増加し、プラントにおける配備がまだ正しく評価されないうちに、多くのセキュリティのリスクがもたらされていることである。あなたのまわりでモノのインターネット(IoT)装置を配備する前に、利点とともそれらがもたらすリスクについても考慮する必要がある。これらの装置の多くにはセキュリティ機能が実際付いておらず、極めて簡単に侵害されることがよくある。このため、サイバー攻撃のリスクについて関心をもって厳しく検討し、良いこととともに悪いことが起こる可能性を考慮する。それから、企業の運営やプラント操業を行っていく中で、リスクを管理する産業用制御システム(ICS)・監視制御・データ取得システム (SCADA )・モノのインターネット(IoT)の基盤の構築に熟知している専門家から助言を得ることによって、投資に見合う価値を示すことができるだろう。
■ トリトンの攻撃の事例を述べたように、サイバー攻撃のリスクが無くなることはない。制御システムを攻撃者から守るための戦いは継続的なものであり、企業運営の最重要課題としてみていく必要がある。
所 感
■ ケミカル・エンジニア誌の興味深いサイバー攻撃に関する記事である。産業用制御システムに関係がなくなって久しいが、近年におけるサイバー攻撃の進化や実態の一端を知ることができた。単にインターネットを混乱させるだけの攻撃でなく、遠隔操作型のトロイの木馬をインストールさせ、いつでも簡単にシステムにアクセスできるようにし、安全設定や操作制限を変更することができるサイバー攻撃が登場してきたという。
■ このような遠隔操作型のサイバー攻撃では、2005年に起こった英国のバンスフィールドのタンク貯蔵ターミナルにおける爆発事故の原因である安全システムの故障を意図的に作り出すことができるという。近年、中東で貯蔵タンクへのロケット弾によるテロ攻撃が発生している中、サイバー攻撃を受けたという不確かな情報が飛んでいるが、これまで制御システムはインターネットから切り離されており、安全だという認識だった。「あなたが使っている製品がまだ侵害されていないという理由だけで、将来にわたって侵害されることは無いと考えるのは間違っている」という指摘は当たっている。考えてみれば、家庭でも「モノのインターネット」(IoT)化した住宅が出てきて、電気製品のスイッチを容易に遠隔操作できるようになっており、便利になっているが、確かにサイバー攻撃の脅威が増加しつつあると感じる。
注記; 英国バンスフィールドのタンク貯蔵ターミナルにおける爆発事故については、つぎの資料を参照。
● 「英国バンスフィールド油槽所で発生した爆発火災について -バンスフィールド事故調査委員会調査報告書(第 1 報) より抜粋-」
● 「英国バンスフィールド油槽所タンク火災における消火活動(2005年)」
● 「英国バンスフィールド油槽所タンク火災における消火活動(その2)」
備 考
本情報はつぎのインターネット情報に基づいてまとめたものである。
・Thechemicalengineer.com, Cyber attacks on industrial control systems
are increasing. What can you do? , Article by David Alexander(Digital
Trust and Cyber Resilience expert, PA Consulting Group), 1st May 2018
後 記: 貯蔵タンクの事故情報がこのところまったくありません。タンク事故の多い「米国テキサス」を検索しても事故情報が出てきません。世の中の景気が良くないと、タンクの操業や人の動きに変動がなく、かえって変化のない安定した状態になるのかも知れません。それよりも、新型コロナウィルスの影響で取材や情報が無くなっている方が大きいのではないかと感じています。こういう状況ですので、今回は制御システムのサイバー攻撃について紹介することとしました。
0 件のコメント:
コメントを投稿