制御系セキュリティの国内での取り組み

新 誠一技術研究組合制御システムセキュリティセンター

理事長

重要インフラのサイバー・テロに向けた官・民の取り組み

【第1回】映画の世界が現実に

http://techon.nikkeibp.co.jp/article/FEATURE/20130226/267953/?ref=ML

【2000年】オーストラリアで元従業員が下水処理場のシステムに不正侵入し、80万リットルの汚水を近隣の公園や河川に流出させた（外部の関連ページ）

【2007年】イギリスで軍事衛星システム「SkyNet」が乗っ取られ、軍事通信用の衛星回線情報が改竄された（外部の関連ページ）

【2008年】ポーランドで14歳の少年がテレビのリモコンを改造して路面電車システムに侵入し、4車両を脱線させた（外部の関連ページ）

【2011年】イランが、サイバー攻撃により米国の無人航空機（UAV）を自領に誘導して着陸させ、米国の最新技術の入手に成功した（外部の関連ページ）【2011年】同年9月には、日本でも防衛産業に対してサイバー攻撃が行われ、機密情報が漏洩した可能性が報じられた

【2012年】サウジアラビアで、石油会社サウジアラムコの約3万台のパソコンがウイルスに感染し、データが消去された（外部の関連ページ）

2013/3/4

http://csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdfhttp://www.dailywireless.org/2007/05/08/skynet-satellite-hacked/http://www.telegraph.co.uk/news/worldnews/1575293/Schoolboy-hacks-into-citys-tram-system.htmlhttp://www.globalresearch.ca/israeli-intelligence-report-us-drone-downed-by-iran-cyber-attack/28114http://www.reuters.com/article/2012/09/07/net-us-saudi-aramco-hack-idUSBRE8860CR20120907

1971年: 4004 マイクロプロセッサ

4004は世界初のマイクロプロセッサです。この画期的な発明が、Busicom 社

の計算機の心臓部となり、パーソナル・コンピュータをはじめ生命の無い物にも知性を与える道を開きました。

http://www.intel.co.jp/jp/personal/museum/hof/?iid=jpsiteindex+personal_museum_hof&

http://www.intel.co.jp/jp/personal/museum/hof/4004.htmhttp://www.intel.co.jp/jp/personal/museum/hof/4004.htmhttp://www.intel.co.jp/jp/personal/museum/hof/4004.htm

利便性

■Stuxnetの概要

・ 2010年9月に、イランのナタンズにある核燃料施設のウラン濃縮用遠心分離機を標的として、サイバー攻撃がなされた・この攻撃は、4つの未知のWindowsの脆弱性を利用しており、PCの利用者がUSBメモリの内容をWindows Explorerで表示することにより感染する・ウイルス開発費用は恐らく500万ドルから1000万ドルであり、核施設周辺を空爆するより安価であると言われている・遠心分離機には過剰な負荷がかかり、20%が破壊されたと言われている・一部では、Stuxnetは、イスラエルと米国が開発し攻撃を実行したと言われている・イランの核開発計画は、Stuxnetにより大幅に遅れた（3年程度）との噂もある

Source: http://ebiquity.umbc.edu/blogger/2010/09/23/is-stuxnet-a-cyberweapon-aimed-at-an-iranian-nuclear-site/

シマンテック社が確認した感染数を各国別に示したもの

マルウェア

USBメモリ

S7シリーズの PLC

遠心分離機

制御用PCSIMATIC WinCC

マルウェア感染

http://ebiquity.umbc.edu/blogger/2010/09/23/is-stuxnet-a-cyber-weapon-aimed-at-an-iranian-nuclear-site/

■Stuxnetの特徴Stuxnet の標的は、「独シーメンス社の SIMATIC WinCC とSIMATEC PCS 7 制御されている制御システム」である。

SIMATIC WinCC とは、PLCの制御用PC向けのPCであり、シーメンス社製のPLC（Programmable Logic Controller）の S7 シリーズの制御PCに使用されることが多い。

SIMATIC PCS 7とは、 SIMATEC WinCC の可視化ソフトウェア、STEP 7 設定ソフトウェアを統合ソリューションの総称である。

SIMATIC WinCC の画面イメージ

SIMATIC STEP 7 の画面イメージ

S7シリーズのPLC

エンジニリングツール

http://www.mitsubishielectric.co.jp/fa/products/sft/melsoft/lineup/iq_works/index.htm?1001008980

■Stuxnetの攻撃手順

ウィルスに感染したUSBメモリ

WORM_STUXNET

①

SIMATICSTEP 7 ２

SIMATICPCS 7 ３

PLC6ES7-417

PLC6ES7-315-2

③ ③

②

③ ②

①USBメモリ等の外部記録媒体を経由して、スタックスネットのウィルスがウィンドウズOSに感染。

システムの脆弱性を利用することにより、権限昇格や、情報システム環境内部でウイルスの拡散などを実行

独シーメンス社製ソフトウェア (SIMATIC STEP 7) を悪用して、PLC (プログラマブルロジックコントローラ) に悪質な

コードの書き込み

④制御システム上にある装置に対する攻撃の実行

④

②独シーメンス社製遠隔監視ソフトウェア(SIMATIC WinCC or SIMATIC PCS 7) の脆弱性を悪用して、SQL コマンド経由で SIMATIC WinCCあるいは、SIMATIC PCS 7 の稼働するWindows システムに感染

独シーメンス社製ソフトウェア (SIMATIC STEP 7) を悪用して、PLC (プログラマブルロジックコントローラ) に悪質な

コードの書き込み

③独シーメンス社製エンジニアリングツール(SIMATIC STEP 7) を悪用して、PLC (プログラマブルロジックコントローラ) に悪質なコードの書き込み

SIMATICWinCC １

１ SIMATIC WinCCは、 PC ベースのオペレータコントロールおよびモニタリングシステムなどの機能をもつSCADAソフトウェア。２ SIMATIC STEP 7は、プログラミングだけでなくパラメータ設定・構成などの機能をもつソフトウエア。３ SIMATIC PCS7は、プロセス制御システム。

8

イランへサイバー攻撃指示

2012年6月2日(土)9時3分配信 共同通信

【ワシントン共同】オバマ米大統領がイラン中部ナタンズのウラン濃縮施設を標的に、イスラエルと共同開発したコンピューターウイルスによるサイバー攻撃を指示、ウラン濃縮に使う遠心分離機５千基のうち千基を一時使用不能に追い込んだことが明らかになった。１日付のニューヨーク・タイムズ紙が米政府高官らの証言に基づき、ホワイトハウスの作戦司令室内でのやりとりなど作戦の全容を報じた。

http://news.nifty.com/cs/world/worldalldetail/kyodo-2012060201001208/1.htm 2012/6/2

http://news.nifty.com/cs/catalog/news_pssearch/vender/1.htm?sourceNM=%8B%A4%93%AF%92%CA%90M&sourceID=kyodo

■神話の崩壊

• 非インターネット環境の神話崩壊USBおよびエンジニアリングツール経由の感染

• 非汎用OSは攻撃されないという神話崩壊特定OSを用いたコントローラを狙い撃ち

• 専門家善人神話崩壊

エンジニアリングツールやコントローラの専門家の参加

10

想定外の自然災害

地震 津波

想定外のサイバー攻撃

発生事象

・システムの停止

・製品の生産不可

・不良品の製造

・製造関連情報の消失

自然災害とサイバー攻撃

発生し得る事象は変わらない

11経済産業省 サイバーセキュリティと経済研究会報告書より引用

制御系セキュリティ対策の難しさ

•ソフトの暴走はメカの暴走

•容易に止められない．

•保有が長期．システムに実装されているソフトウェア、ハードウェアのアップグレード、入れ替え等が難しい。

・クラウド，予備機によるシミュレーションの活用

・ソフトウェア，ハードウェアの新陳代謝化

・ハードも含んだシミュレーション

制御システムの特徴 対 策

12

制御システムセキュリティへの対策動向

■システム、コンポーネントが具備すべき基準を規格として制定■基準を満足しているかの認証制度の制定と活用■制御システム向けセキュリティ技術（製品）の開発■技術研究組合設立による制御システムセキュリティ対策の推進加速

2011 20122010 2013経済産業省の動向

技術研究組合：制御システムセキュリティセンター（2012/3/6 発足）

海外でのセキュリティ関連規格認証制度の普及・拡大

制御システムセキュリティ検討タスクフォース（2011/10～2012/4）

サイバーセキュリティと経済 研究会（2010/12～2011/8）

13

CSSCの組合員（2013.12.6現在）

14

Control System Security Center (CSSC)

15

TestbedinTagajo

Head Quarter

in Tokyo Odaiba

東京研究所

16

http://unit.aist.go.jp/waterfront/

所在地：東京都江東区青海2丁目4番7号独立行政法人産業技術総合研究所臨海副都心研究センター 別館８F

//upload.wikimedia.org/wikipedia/commons/5/50/Shinagawa_Baidai_cannon.jpg//upload.wikimedia.org/wikipedia/commons/5/50/Shinagawa_Baidai_cannon.jpg//upload.wikimedia.org/wikipedia/commons/b/ba/USS_Mississippi_1863.jpg//upload.wikimedia.org/wikipedia/commons/b/ba/USS_Mississippi_1863.jpg

サイバー攻撃 インフラ防御、法整備急務常時監視、違憲の恐れ 企業秘密もネック

電力、ガス、防衛産業など国の重要インフラへのサイバー攻撃対策の必要性が高まっている。米国は２月、セキュリティー強化を目指す大統領令を出した。日本も官民の情報共有に動き出し、制度改正の議論も始まっている。ただ、通信の監視や企業の被害情報開示などは言論の自由や企業秘密と絡むだけに、ルール整備には課題があるとの声も多い。

２月下旬、ビル事業者などが集まり、都内で高層ビルの空調・電力制御システムへのサイバー攻撃について、経済産業省が模擬実験を行った。インターネットに接続していないシステムだが、ウイルスが入ったＵＳＢメモリーを差し込むと、あっという間に感染した。

http://www.nikkei.com/paper/article/?b=20130311&ng=DGKDZO52623770Z00C13A3TCJ000 2013/3/11

18

模擬システム概要

ビル分野の模擬システム

19Copyright (C) Mitsubishi Research

Institute.Inc.

HMI

コントローラ、スイッチ、電源 空調BAサーバ

20発電プラント状況表示系統図画面例

発電プラント出力表示図画面構成例演習プレイヤ操作端末画面表示例

模擬システム概要（参考）模擬システム画面表示例

BTG盤

東北多賀城本部

21

http://www.sonycid.jp/profile/d_office.html

みやぎ復興パークとは

東日本大震災により被害を受けた東北地域のものづくり産業の復興及び新たな産業の創出・発展を図るための拠点

所在地：宮城県多賀城市桜木3丁目4番1号ソニー(株)仙台テクノロジーセンター敷地内みやぎ復興パーク内

21Source: http://www.city.tagajo.miyagi.jp/

「正義のハッカー」養成 サイバー模擬攻防、宮城に施設

http://www.nikkei.com/article/DGXNASDD280HT_Y3A520C1XX1000/ 2013/6/4

サイバー攻撃が急拡大する中、官民が連携してウイルスの侵入から企業や組織を守る「正義のハッカー」の養成に乗り出した。５月28日には宮城県多

賀城市に工場や発電所の制御システムを守るハッカー養成施設を開設し、全国の主要都市では400人

が参加するハッカーの技術コンテストを開催、千葉でも若手を養成する合宿を実施する。「マイナンバー」制度の導入もあり、ハッカー養成が急務となりそうだ。■工場やプラントも標的

「サイバー攻撃に対抗できる技術を開発し、安心できる防御と認証の仕組みをつくる」。技術研究組合制御システムセキュリティセンターの新誠一理事長は28日の開所式で力強くあいさつした。新設され

たのは、日本初のサイバー攻撃の模擬攻防施設だ。技術者は攻撃を体験することでシステムの弱点を知り、防御に生かす。

平成25年6月10日

Overview

23

テストベッド：入り口と模擬中央監視卓

24

模擬システム：（１）排水・下水処理プラント

25

模擬システム：（２）ビル

26

模擬システム：（３）自動車組立

27

模擬システム：（５）ガスプラント

28

模擬システム：（６）化学プラント

29

模擬システム：（７）広域制御（スマートグリッド）

30

認証

第一人者俺は正しい

第二人者．検査しましょう．

第三人者．貴方を認めよう．

IEC62443

評価認証・標準化委員会

2012.7 2013 2014.4

CSSC

＜国際相互認証スキーム＞

ISCI認証と同等の基準で国内向けの認証(試行)を実施

国内CSSC研究成果の反映

＜研究成果の活用＞

委員会活動線表(評価認証)

委員会活動線表(標準化) CSSCウェブサイト抜粋

主たる担当機関：アズビル、NRIセキュア、東芝、東芝ソリューション、日立、富士電機、横河、電通大、倉敷芸術科学大、AIST、IPA、(事務局)MRI目標：制御システムのセキュリティに関する評価認証の国際相互認証のスキーム確立、及び標準化活動の実施

今後の取組みについては下記の線表を予定。

ISCIに準拠した相互認証のスキーム確立

＜国内認証試行＞

33

【第5回】EDSAの認証プログラム

2013/5/22http://techon.nikkeibp.co.jp/article/FEATURE/20130130/263302/?ST=embedded&P=5

ビデやおしり洗浄を遠隔操作!? LIXIL製トイレアプリに脆弱性-米Trustwave

http://news.goo.ne.jp/article/mycom/trend/mycom_838203.html 2013/8/5

米Trustwaveは、LIXIL製トイレ「SATIS」のAndroid向けアプリにセキュリティの脆弱性があると発表した。SATISは、スマートフォンアプリ連携機能を備えたトイレ。スマートフォンとBluetooth接続する

ことで、アプリからシャワートイレの個人設定を行ったり、端末に保存している音楽をトイレ本体のスピーカーで再生できる。専用アプリ「MY SATIS」はGoogle Playより無料でダウンロード可能。今回、発表された脆弱性は、BluetoothのPIN(識別番号)が「0000」にハードコードされて

いるというもの。脆弱性を悪用することで、専用アプリを外部から操作し、任意のトイレを思うままに制御できるという。この件についてLIXIL広報部では「現在、脆弱性の有無を含めて調査中」としている。

http://news.goo.ne.jp/article/mycom/trend/mycom_838203.htmlhttp://news.goo.ne.jp/article/mycom/trend/mycom_838203.html

住民票・答案…複合機の蓄積データ、公開状態に

東大など３大学で、ファクスやスキャナーなどの複合機で読み取った学生ら延べ２６４人の個人情報がインターネット上で誰でも閲覧できる状態になっていたことが６日、読売新聞の調査で分かった。

現在販売されている複合機の大半はネットに接続され、初期設定のままだと情報が外部から閲覧できる状態となるが、大学側は「知らなかった」と説明している。専門家は「メーカーは利用者に十分な説明をすべきだ」と指摘している。

http://www.yomiuri.co.jp/net/news0/national/20131106-OYT1T01518.htm 2013/11/7

プリウスなどのハッキング「指南書」、米専門家が公開へ

［ボストン ２８日 ロイター］ -米政府の助成を受けて車のセキュリティーシステムにつ

いて研究している専門家２人が、トヨタの「プリウス」などのハッキング方法を発見し、注意喚起を目的にその「指南書」を近く公開することになった。

ツイッターの研究者チャーリー・ミラー氏とセキュリティーコンサルタント会社ＩＯＡｃｔｉｖｅのクリス・バラセク氏は、プリウスのほかフォードの「エスケープ」の重要なシステムを攻撃するための技術文書を作成。ロサンゼルスで今週開かれる、ハッカーやセキュリティー関係者らのイベント「デフコン」で、これらの車種をハッキングするためのソフトも披露する。

ミラー氏らによると、プリウスについては時速約１３０キロで走行中に急ブレーキをかけたり、運転手の意思とは関係なくハンドルを動かしたりできたほか、エスケープは低速走行中にブレーキが利かないようにすることができたという。

ただハッキング中は、２人とも車内からノートパソコンを使って直接車のネットワークに侵入していたため、遠隔操作の方法が明らかになるわけではない。

２人は、今回のデータ公表をきっかけに、他の良心的なハッカーも車のセキュリティ面の欠陥を指摘できるようになれば良いと語った。

2013年 07月 29日 14:09 JST

http://jp.reuters.com/article/jpUSpolitics/idJPTYE96S04820130729

専用ツール

GPS試験ツールネットワーク試験ツール

現在，過去，未来

現在

過去

解析モデル化

未来

予測シミュレーション

最適化制御

),(

),(

1111

1111

uxgy

uxfx

),(

),(

2222

2222

uxgy

uxfx

),(

),(

uxgy

uxfx

),(

),(

2233

2233

uxgy

uxfx

情報セキュリティ対策

通信

記憶

処理

暗号 認証 監視対策技術

情報技術

富士通研究所、暗号化したまま計算ができる準同型暗号を2,000倍に高速化

http://news.mynavi.jp/news/2013/08/29/016/?utm_medium=email&utm_source=enterprise&utm_campaign=20130830_fri&utm_content=text_002 2013/8/30

富士通研究所は、データを暗号化したまま統計計算や生体認証などを可能にする準同型暗号の高速化技術を世界で初めて開発したと発表した。

データを暗号化したまま演算処理が可能な暗号方式として「準同型暗号」があるが、従来の準同型暗号はビット単位で暗号化を行うため処理時間が長く、電子投票などで利用されている加算処理のみが実用化されているという。準同型暗号を用いて任意の演算を行う方式はIBMが提唱して

いるが、処理速度に課題があり、実用化されるのはまだ先だという。

http://news.mynavi.jp/photo/news/2013/08/29/016/images/004l.jpghttp://news.mynavi.jp/photo/news/2013/08/29/016/images/004l.jpg

安全解析手法

手法 説明

HAZOP（Hazard and Operability Study）

設計意図からの逸脱によるハザードを明示する手法

FTA（Fault Tree Analysis）

ハザードの発生原因を上位から下位へ論理展開し因果関係を明示する手法

FMEA（Failure Mode and Effects Analysis）

構成部品の故障モード（failure mode）から上位構成部品への影響を明示する手法

Copyright© 2012 OTSL Inc. All rights reserved.

2 個の FPGA で実装した典型的なデュアル・チャネル SIL3 産業用「セーフ」シ

ステム例

http://www.altera.co.jp/end-markets/industrial/functional-safety/ind-functional-safety.html 2013/5/22

PLCへ応用

A

B

C

PLC1 PLC2

E

F

D

PLC3

C

E

F

D

A

B

E

F

A

B

C

D

Backup Backup Backup

DI DO AI AO

ＲＡＩＤ５

ＰＬＣとは･･･便利な世の中の「縁の下の力持ち」※工場や、某魔法の国でも頑張っています(Programmable Logic Controller)

極めて高い安全性と安定性が求められる

RAIDの考え方を応用して、異なる会社のPLCを冗長化・分散化設計することにより、さらなる安全性・安定性の確保をする研究

Made by鈴木良

ホモとヘテロ

知識，ソフト→メカニズム化

Cxy

BuAxx

コーディング

モデル化

自動生成

メカニズム化

対策１：振る舞い監視

仮想

現実

•モデル群の振る舞いと現物群の振る舞いの一致性検証

モモデル

現物

•モデル上での検証

•現物とモデルの一致性検証

47

新陳代謝

60兆個の細胞が同一の遺伝子を持つ

SysML

Diagram

Structure

Diagram

Behavior

Diagram

Use Case

Diagram

Activity

Diagram

Internal Block

Diagram

Block Definition

Diagram

Sequence

Diagram

State Machine

Diagram

ParametricDiagram

Requirement

Diagram

Modified from UML 2

New diagram type

Package Diagram

Same as UML 2

毎日5千億個の細胞が生まれ

毎日5千億個／日の細胞が出ていく

Super Distributed Object→Robot Technology Component→Security, Safety, and Save

OMGにおける標準化

ISOにおける標準化

ISO15745 Part 4 ADS-net, FL-net

免疫系，ホルモン系

対策2：開発ツールのオンライン利用

モデル モデル モデル

現物 現物 現物

Processor In the Loop Simulation(プロセッサーまでも仮想化したシミュレーション)

Hardware In the Loop Simulation(現物も含んだシミュレーション)

Software In the Loop Simulation

（全て仮想世界におけるシミュレーション）

マルチベンダーによる複数コントローラの動作検証

国際標準化の必要性49

パロアルト、標的型攻撃に対抗するクラウド技術「WildFire」

悪意ファイルをサンドボックス上で実行

http://cloud.watch.impress.co.jp/docs/news/20111107_489074.html

WildFireは、標的型攻撃を防御

するためサンドボックスを利用したクラウドサービス。昨今、検知を回避する能力を備えた未知のマルウェアによる標的型攻撃が多発している。WildFireでは、悪

意のあるファイルを仮想クラウドベースの環境で自動的に実行して悪意のある活動を明らかにすることで、たとえそのマルウェアが未知のものであっても、それがどんな影響を及ぼすのかを特定できるという。

2012/1/6

http://cloud.watch.impress.co.jp/img/clw/docs/489/074/html/pa02.jpg.htmlhttp://cloud.watch.impress.co.jp/img/clw/docs/489/074/html/pa02.jpg.html

まとめ

• 制御装置，メカ，エレキ→ソフトウェア→

• 物からサービス，制御装置→ IT機器

• 専用品→汎用品

• 情報セキュリティ技術の導入

• 制御システム独自の情報セキュリティ技術開発

• 安心，安全な制御システム(評価，認証，標準化）

• メカ，ハード，ソフトを区別しないモデルベース開発

• ホモとヘテロ