ITソリューション企業総覧2014Web
インタビュー マカフィー 佐々木弘志氏

インタビュー マカフィー 佐々木弘志氏

特集 特集1 社会インフラへ迫るサイバー攻撃

世界の社会インフラに迫る
サイバー攻撃とセキュリティ対策


 マカフィー シニア・セキュリティ・アドバイザー 佐々木弘志氏に聞く

s-05_06

マカフィー
www.mcafee.com/Japan/

聞き手:ITソリューション編集部


 社会インフラに対するサイバー攻撃は、私たちのライフラインを脅かすリスクのひとつとして、きわめて深刻な要因であるといっても過言ではない。世界ではすでに、社会インフラを標的としたサイバー攻撃に関する事例が多々発生、その攻撃内容も進化を遂げつつあるなか、今後も更に攻撃を加速させうるリスクとして脅威が高まってきた。

 社会インフラには、電力をはじめガス、水道、プラント(化学、金属等)、金融、ロジスティクス(輸送)など産業及び生活を支えるために不可欠なものがあげられる。ここでは、社会インフラに迫るサイバー攻撃とはどういうものかを、その危険性や実態を踏まえて紹介するとともに、世界におけるセキュリティ対策の最新トレンドを、マカフィー(株)サイバー戦略室兼ガバメント・リレイションズ シニア・セキュリティ・アドバイザー 佐々木弘志氏に聞いた。

社会インフラへのサイバー攻撃は第5の戦場
―新たにオープン化の波も―

(1)社会インフラに対するサイバー攻撃の特徴

 最大の特徴は攻撃の目的だ。例えば、APT(Advanced Persistent Threat)は、純粋な意味での金銭目的や犯罪目的、政治的な抗議ではなく、国家の支持または資金援助によって特定の標的に対して実行されるサイバー上のスパイ行為もしくは犯罪行為として知られる。佐々木氏は「APTのような通常の標的型サイバー攻撃の目的は、とにかく見つからないように情報を窃取することです」という。

 「ところが、Stuxnet(スタックスネット)等で知られる社会インフラを標的としたサイバー攻撃は、“最終的に破壊する”ことが目的に加わっています。こうした目的でサイバー攻撃が行われる背景には、サイバー空間自体が、陸、海、空、宇宙に続く、もはや「第5の戦場」としてとらえられていることがあげられます」とその実情を語る。

 すなわち、戦争行為としてのサイバー攻撃が注目される中で、相手国に効果的なダメージを与える標的として、社会インフラが注目されているのである。2013年3月に、韓国の放送局や金融機関を襲った大規模なサイバー攻撃は、国家レベルでの関与が疑われており、社会インフラがサイバー攻撃の標的となった注目の一例といえそうだ。

(2)高まるサイバー攻撃の危険性

 なぜ最近になって、社会インフラに対するサイバー攻撃の危険性が高まってきたのか。もちろん攻撃側のツールの進歩も挙げられるのだが、そこには社会インフラならではの事情も存在する。それは「社会インフラを支える、いわば心臓部ともいえる「制御システム」が存在するからです。制御システムは、社会インフラであるという性質上、基本的に停止することなく稼動する(可用性)、すなわちミッションクリティカル性が求められます。その一方、システムのライフタイムも10年単位がほとんどで、古いシステムが残り続けるという事情もあります」と佐々木氏はいう。

 実は、これまでの制御システムは、外部との接続が行われておらず、システムをコントロールするOS(Operating System)も制御システム専用であっため、いわゆる「クローズ」な環境にあり、一般のマルウェアとは無縁の存在であると信じられてきた。ところが、佐々木氏は「IT技術の進歩に伴い、工場やプラントのLAN(Local Area Network)化が進み、制御システムにもオフィス環境と同様にWindowsのような汎用OSの採用が進む機会が増えてきました。これにより、これまでクローズだった制御システムも“オープン”になってしまい、攻撃者に必要とされる技術がとりもなおさず彼らの得意分野なので、攻撃しやすい状況が生まれてきました」と制御システムにおける最近の事情を強調する。

 このようなオープン化の流れの中でも、制御システムは「可用性」により装置の交換や変更が簡単にできないため、脆弱性(攻撃者が利用可能な弱点)をもった古いシステムは依然として残り続けている。つまり、弱点はあるのに防御が簡単でないという状況が起こっているのだ。

サイバー攻撃の実態

(1)サイバー攻撃の事例

 次に、ここ数年、世界で実際に起こっている社会インフラに対するサイバー攻撃の実例を紹介したい。以下には、社会インフラそのものに対する意図的な攻撃の可能性があるものだけを抽出した。したがってここには、偶発的なマルウェア感染の疑いが強いものは含まれていない。

① 2013年3月。韓国政府機関、金融機関、メディアがサイバー攻撃を受け一時機能停止。

② 2012年8月。サウジアラビアの石油会社で30,000台にのぼるワークステーションがサイバー攻撃を受けた(Shamoon)。

③ 2012年5月。米国ミシガン州の天然ガスパイプラインがサイバー攻撃を受けた。

④ 2011年2月。ブラジルの発電所で制御システムがマルウェアに感染し、運用停止(故意であるかどうかは不明)。なお、ブラジルでは、2005年及び2007年にもサイバー攻撃で停電が発生したといわれているが真偽は不明だ。

⑤ 2009年~2010年。イランの核施設にある相当数の遠心分離機がStuxnet(スタックスネット)と呼ばれるマルウェアにより破壊された。

 これらの事例は、いずれも大きな損害を生んでいるか、生む可能性の高いものであり、社会インフラに対するサイバー攻撃が行われた場合の影響の大きさを如実に示しているといえそうだ。

(2)データでみるサイバー攻撃の割合

 これらの事例に加えて、社会インフラにおけるサイバー攻撃の実態を示している統計を紹介する。

 2013年、米国のICS―CERT(Industrial Control Systems Cyber Emergency Response Team:米国国土安全保障省の産業制御システムセキュリティ機関)が発表したレポートによれば、2012年には米国内の重要な社会インフラへの攻撃が198件報告されたのに対し、2013年は上半期だけで既に200件を超えるインシデント報告を受けているという。その対象となった産業セクターの内訳は、エネルギー分野が53%で半数以上を占め、続いて重要工業分野(鉄、金属、発電、輸送部品の製造)が17%で続いている(図1)。

s-05_08_2

図1 ICS―CERT2013年レポートによるサイバー攻撃対象の社会インフラ(ICS―CERTサイトより)

 

 2009年から2011年の調査では、35%と水道分野の割合が最も多かったものと比べると、明らかに変化がみられる結果となった。

 また、社会インフラへのサイバー攻撃の直接的な例ではないが、検索エンジンSHODANの存在をあげておく。SHODANは、インターネット接続している機器の情報を取得できる検索エンジンである(図2)。ルータやサーバに限らず、遠隔監視システム、監視カメラ、プリンタに至るまでインターネット接続している機器に関する情報を確認できるようになっている。「例えば、この検索エンジンを利用して、脆弱性が存在する古いバージョンのサーバを使った設備を探し出し、その脆弱性を利用した攻撃を行うといったシナリオも考えられます。社会インフラには、前述のように古いシステムが残っていて対策もなしに“オープン”の場合が多いため攻撃対象になりやすいのです」佐々木氏は警告する。

s-05_02

図2 検索エンジン「SHODAN」(SHODANホームページより)

 

サイバー攻撃に対する各国の危機意識と備え
―セキュリティ対策に伴うインフラ事業者への報酬と罰則―

 世界各国は、こうした脅威に対してどのような対策を行っているのだろうか?

 2013年2月、米国のオバマ大統領が米国内の重要な社会インフラに対するサイバーセキュリティ強化策の大統領令に署名を行った。目的は、近年増加する重要な社会インフラに対するサイバー攻撃を未然に防ぐためである。この大統領令に基づいて、現在NIST Frameworkと呼ばれる枠組みが検討されており、例えば、サイバーセキュリティ対策を積極的に行う社会インフラ事業者にはインセンティブ(報酬)を与え、そうでない事業者との差別化をするといった案が検討されている。

 また、欧州においても、今年EU(欧州連合)の政策機関であるEC(欧州委員会)が発表したサイバーセキュリティ戦略において、情報セキュリティ指令案の遵守を重要な社会インフラ事業者に対しても求めている。

 一部では、独自のセキュリティ対策を行っている業界も存在する。米国の電力業界が定めているセキュリティ対策の規格であるNERC(North American Electric Reliability Corporation:北米電力信頼性評議会。北米各地の電力安定供給を目的に、電力業界や連邦政府、州政府などにより1968年創設) CIP(Critical Infrastructure Protection:重要インフラ保護サイバーセキュリティ基準)がそれだ。NERC CIPとは、NERC策定の電力インフラ事業者が遵守しなければならないセキュリティ対策の規格であり、適用していない事業者には罰金が科せられる。

 また、汎用的な制御システムセキュリティの国際規格であるIEC62443も注目を集めている。いまだドラフト段階の項目があるものの、一部の項目については認証等の動きも行われている。

 いずれにせよ、世界の大きな潮流としては、国や業界主導で何らかのガイドラインなり規制、認証なりを整備し、ある程度の強制性をもって、各事業者がセキュリティ対策を行うことを求めていくという方向であろう。

 佐々木氏は「セキュリティ対策は、費用対効果が見えにくく必要性が理解されない場合に、無視されることは容易に想像されますね。ですが、社会インフラ自体が攻撃対象になった場合の損害の大きさを考えますと、国や業界がどこまで対策すべきか基準を示しつつ、ある程度の強制をもって進めざるをえないのは自然な流れなのかもしれません」という。

具体的な対策例
―米国原子力発電の場合―

 世界での事例として、最も厳しいレベルの基準に従っているといわれる米国の原子力発電所の対策例を紹介したい。

 9.11のテロを経験した米国では、原子力施設のサイバーセキュリティは、テロ対策の一環としてとらえられている。実際に、米国のNRC(Nuclear Regulation Commission:原子力規制委員会。非軍事目的で使用される放射性物質の安全使用を確保する機関で1974年に設立。米国内の原子力施設はNRCの規制に従わなければならない)は、原発事業者に対して、テロや内通者を含む脅威DBT(Design Basis Threat:設計基礎脅威。核物質防護システムを設計する上で考えなければならない脅威。サイバーだけに限らない)を想定した非常に厳格で具体的な規制を行っており、その規制を守るための対策を示したガイドラインを提供している(注)

(1)セキュリティ対策の多重化「多層防護」

 そのガイドラインの基本戦略は「多層防護」だ。簡単にいうと、セキュリティ対策を多重に施すことで、たとえ内通者がいたり、テロに遭ったとしても、どこかで食い止めようという考え方である。アンチウイルス等のウイルス対策を行うのはもちろんだが、それだけでは破られてしまうかもしれないので、ネットワークに流れるデータに不正なものがないかをIDS(Intrusion Detection System:侵入検知システム)で監視したり、放射能漏れなど重大事故を引き起こす可能性のある設備に対しては、外からは一切操作できないようにして、モニタリングだけ可能にするといった考え方だ。

 佐々木氏は「特に、重大事故につながる恐れのある設備は、権限のある人でも外からの操作はできません。ここでは、データの流れを一方向に制限するデータダイオードと呼ばれる製品が多く用いられます。この製品はハードウェアレベルで逆方向の通信を遮断する仕組みをとっていて、脆弱性をもつ可能性のあるソフトウェアレベルで遮断を行う場合より強固な仕組みが実現可能です」と注目の機能を語る。例えば、Waterfall社のデータダイオードとMcAfee社のSIEM(後述)と呼ばれるソリューションとの提携により、安全な形でのモニタリングができる仕組みが実際に運用されている(図3)。

s-05_07

図3 さまざまなログやイベントを収集して状況認識を実現するSIEM(McAfee SIEMより)

 

(2)制御システムにおける要「状況認識」

 もうひとつの重要な考え方として、「状況認識」があげられる。ここでいう「状況認識」とは、システム全体のログやイベント情報を集めて相関分析を行い、早期に異常を察知し対策を行うことだ。佐々木氏は「特に社会インフラを支える制御システムに対しては大事な考え方です。前述のように、制御システムは可用性重視のため古いシステムが残り続けることが多く、攻撃を受けやすい環境にありますね。ですから、さまざまなソリューションによる防護も重要ですが、ある程度攻撃が成功してしまうという前提で、いかに早く攻撃に気づいて対策が打てるかがポイントであり、そのため「状況認識」の実現が重要なのです」と、説明する。

 状況認識を実現するツールとして、SIEM (System Information and Event Management)というソリューションが知られており(図4)、McAfee社は米国の原子力発電所プラントベンダーであるウエスチングハウス(Westinghouse)社と提携して、米国の原子力発電所における状況認識の実現に寄与している。

s-05_04

図4 さまざまなログやイベントを収集して状況認識を実現するMcAfee SIEM(McAfee SIEMより)

 

 それでは、システム全体のログやイベント情報を集めて上記の相関分析を行うとはどういうことだろうか。複数のログを組み合わせて初めて異常と判断できる例を紹介する(図5)。この図では、「Aさんのパソコンがサーバ上の機密情報にアクセスしている」というログと、「Aさんは退出中(入退室管理のログから)」というログが同時に発生した場合に、「Aさん不在なのに、Aさんのパソコンが機密情報にアクセスしている」という結果となるが、SIEMはこの状況をあらかじめルール化しておくことで、問題検知を可能としているのである。

s-05_05

図5 McAfee SIEMの相関分析例(McAfee SIEMより)

 

 今後、日本における課題と望ましい姿は、どのようなかたちが相応しいのであろうか。佐々木氏は「日本における最大の課題は、仮に社会インフラの事業者が脅威を理解したとしても、何をどこまで対策しなければならないのかの拠り所がない点ではないでしょうか。世界で社会インフラへのサイバー脅威に向けたセキュリティ対策が進む中、日本は、こうした海外の取組みを参考にするなどして、社会インフラの事業者がどのようなセキュリティ対策をとるべきか示される状態を目指して進むべきでしょう」と、今後に期待を寄せる。


注:米国NRCが定めるサイバーセキュリティの基準は以下の2つのドキュメントに示されている。「Title 10 Code of Federal Regulations(CFR), section 73.54(10 CFR 73.54)」及び「Regulatory Guide 5.71(RG5.71)」。10 CFR 73.54では、すべての原子力施設において安全、セキュリティ、緊急対策に関係するコンピュータ、通信システム、ネットワークを保護することが規定されており、RG5.71はこのレベルのセキュリティを実現するための具体的な手順を提供している。

« »