ITソリューション企業総覧2014Web
インタビュー 経済産業省 上村昌博氏

インタビュー 経済産業省 上村昌博氏

特集 特集1 社会インフラへ迫るサイバー攻撃

わが国でも本格化する
制御システムへのサイバー攻撃対策


 

経済産業省 商務情報政策局 情報セキュリティ政策室長 上村昌博氏に聞く

s-01_01_2

経済産業省
www.meti.go.jp

聞き手:ITソリューション編集部


 Stuxnet(スタックスネット)によるイラン各施設へのサイバー攻撃など、制御システムへの標的型攻撃が海外を中心に顕著となってきた。

 制御システムは、いうまでもなく発電所や水道、工場設備など社会インフラの心臓部ともいうべきものだ。制御システムに対するサイバー攻撃はもはや海外にとどまらず、わが国でも事例はみられ、その対策が経済産業省主導のもと、本格的に展開されつつある。

 ここでは、経済産業省商務情報政策局情報セキュリティ政策室室長上村昌博氏に近況を聞いた。

企業の競争条件をも悪化させかねないサイバー攻撃の影響

 2010年1月のGoogleなどに対する標的型サイバー攻撃を始め、2010年9月のStuxnetによるイランにおける核施設への攻撃ほか、海外を中心にサイバー攻撃の事例が多々報告されるようになってきている。しかし、わが国も例外ではない。

 経済産業省商務情報政策局情報セキュリティ政策室室長上村昌博氏は「実はわが国でも、こうした特定組織を標的にし、主に知的財産の詐取を目的とした標的型サイバー攻撃は4年間で6倍にまで増加しているのです」と実情を説明する。

 「特筆すべき最近の傾向は、発電所や工場等のプラント動作を監視や制御する制御システムに対するサイバー攻撃で、わが国でも、設備系のPC100台がウイルス感染させられ、システムが停止したケース等、数例の事例が報告されています」という。こうしたサイバー攻撃によって、価値の源泉となる知的財産が流出すれば、企業の競争条件を悪化させうる由々しき事態だ。

サイバーセキュリティと経済研究会

 標的型サイバー攻撃による社会情勢を重くみた経済産業省では、商務情報政策局長による「サイバーセキュリティと経済研究会」と称する検討会を設置し、2011年8月に中間報告書を発表した。この中で検討会は、(1)標的型サイバー攻撃に対する情報共有、(2)制御システムセキュリティ、(3)セキュリティ人材育成の3つの柱が最重要である旨、提言した。

 これら3つの提言の中で、本稿での主題でもある(2)の社会インフラにおける心臓部である制御システムに目を向けてみると、さらに次の3つの課題が浮彫りになってくる。

 第一に、外部ネットワークとの接続やOSの共通化が進んできた点だ。2009年3月時点でみても、すでに約40%がネットワーク接続されているし、約90%が汎用OSであるWindowsを搭載しているなどオフィスシステム並の環境に移り変わってきている。

 第二に、制御システムの輸出ベンダに対して、海外ユーザーたちがセキュリティ評価・認証を求める点だ。2010年頃からの傾向で、すでに50%強の制御システムベンダーが経験している。これは、もはや取引条件といえよう。この評価・認証とは、政府の支援や参画を受けた欧米主導のISA(International Society of Automation:国際計測制御学会)に基づく「ISA Secure認証」のことだ。

 そして第三が、わが国でも安全規格の策定や人材育成への支援をはじめ、セキュリティテスト実施のための評価ツールや安全性を検証する機関や施設、すなわちテストベッドが求められてきた点だ。海外をみると、米国ではアイダホ国立研究所が、情報システムを介して制御システムに接続可能な施設等を整備している。

制御システムセキュリティに関する課題への対策とタスクフォース設置

 経済産業省では、上記3つの課題への対策のために「制御システムセキュリティ検討タスクフォース」を設立、2011年10月から2012年6月に亘って精力的な検討を行った。

 これは、制御システムのセキュリティ強化に向けたセキュリティ基準や評価手法などの課題を検討するために、制御システムベンダーをはじめユーザー、セキュリティ関連企業等の官民メンバで構成し設置されたものである。

 図1にタスクフォースや各WG(ワーキンググループ)等との関連を示した。とくに、各WGが実務レベルでの具体的な課題について検討する重要な場となっている。

s-01_02

 図1 タスクフォースとステアリングコミッティー、各WGとの関連(経済産業省提供)

 

(1)テストベッドWG

 このWGで、わが国にテストベッドを設立することが決まった。上村氏は「具体的には平成23年度新規産業創造技術開発補助金に採択されたCSSC(技術研究組合制御システムセキュリティセンター)のテストベッドが2013年5月、宮城県多賀城市のみやぎ復興パークに開所したのです」と今後のサイバー攻撃対策の上からもきわめて重要な成果をアピールする。現在、ここで研究開発はじめ評価認証体制の構築、国際間連携などが鋭意進められているところだ(図2)。

s-01_03

図2 テストベッドWGの検討結果(経済産業省提供)

 

(2)標準化WG

 ここでは、制御システムの標準化動向に関して調査し、国内ベンダー等への影響度合を勘案しつつ、高品質や高信頼等わが国にとって優位な技術や特徴を活かした戦略的な国際標準化を推進する。具体的な標準化対応は最近、IEC(International Electrotechnical Commission)62443が正式決定した。

 これは、米国のISA Secureにも関連しており、CSSCが国際標準に向けた提案や活動を展開していく際は、今後IEC62443が対象となる。

(3)評価・認証制度WG

 現在、米国での認証はISCI(ISA Security Compliance Institute)に基づくが、このISCI認証がIEC62443に統合される見込みなので、わが国はISCI認証と連携しながら、国内で認証スキームの実施可能な機関を設置して、国内認証を可能とすべく取り組んでいく。

 とくにISA/ISCI連携に際しては、IPA(情報処理推進機構)が認証スキームのボードに参画することにより、国内意見を反映させた国際認証スキームの構築を推進している。

(4)インシデントハンドリングWG

 ここでは、わが国制御システムに対するサイバー攻撃がもたらす被害発生後の対処手順のガイドライン及び、脆弱性取扱いの枠組み検討が行われた(図3)。

01_04_2

図3 インシデントハンドリング対処手順を示したガイドライン(経済産業省提供)

 一方で、米国DHS(Department of Homeland Security:国土安全保障省)の産業制御システムセキュリティ機関ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)と継続的にインシデント対応や脆弱性対応等について連携しながら、JPCERT/CC内に日本版ICS-CERTとしてICSR(Industrial Control System Security Response Team:制御システムのセキュリティインシデントに対応する制御システムセキュリティ対策グループ)が立ち上げられ対応が進められているところだ。

(5)普及啓発WG

 ここでは、既存セキュリティ教育を調査し、制御システムセキュリティに対応した教育プログラムやサイバー演習の必要性を明確にしている。加えて、普及啓発の対象や組織内の役割分担や普及啓発の内容自体も明らかにされた。さらに、関連の団体やユーザー企業が連携しながら普及啓発を図っていく。

国全体及び国際間連携をふまえた精力的な取組み

 ここでは、経済産業省における制御システムセキュリティへの取組みを中心に紹介した。

 一方で、NISC(National Information Security Center:内閣官房情報セキュリティセンター)がとりまとめた最新サイバーセキュリティ戦略でも、重要インフラ防護と制御システムセキュリティの重要性が明記されている。したがって経済産業省では、政府全体の政策展開の中で、重要インフラ、制御システムセキュリティに取り組んでいる。

 上村氏は「もちろん、前述の米国やEU、ASEANなど国際連携下の情報交換も進めています。安全確保は産業の発展に不可欠なITの利活用を下支えする重要な要素であり、わが国経済成長にとっても必要不可欠なものとして、今後とも肝に銘じておかなければならないでしょう」と警鐘を鳴らす。

 

»