生命財産にも関わる「監視／制御システムのセキュリティに目を」とNIST担当者

2月14日に行われた「重要インフラセキュリティセミナー」において、米NISTのキース・スタウファー氏が、社会の根幹を担う部分で利用されている遠隔制御／監視システムを取り巻く脅威と対策について語った。

[高橋睦美，ITmedia]

　データの完全性以上に「セーフティ」が強く求められる産業向けのリモート監視／制御システムは、ITシステムとはまた異なるリスクに取り囲まれている。社会の円滑かつ安全な運営を保つには、この制御システムのセキュリティにも目を向けていかなくてはならない――。

　2月14日に行われた「重要インフラセキュリティセミナー」において、米国立標準技術研究所（NIST）のキース・スタウファー氏が、製造業の現場をはじめ、電気やガス、石油といったエネルギー産業、通信、運輸といった社会の根幹を担う部分で利用されている遠隔制御／監視システム「SCADA」（Supervisory Control and Data Acquisition）を中心に、制御システムを取り巻くセキュリティ上の脅威について説明した（関連記事1、関連記事2）。

　SCADAは、送電線／パイプラインや工場の生産ライン、あるいはビルの各フロアなど、遠隔地に置かれたセンサーとコントロールルームとの間で情報をやり取りし、制御するためのシステムだ。発電所や精油所などの大規模プラントにはじまり、製造業の生産ラインやビル制御システムなどでも採用されているという。

　数年前まで、こうした制御システムのほとんどは、独自のプロトコルに基づく個別のシステムとして構築され、ネットワークも隔離されていた。しかし次第にSCADAやTCP/IPなどのオープンプロトコルが採用されるようになり、制御システムどうしの、あるいはイントラネットやインターネットとの相互接続が進んでいるという。

　「これにより、SCADAのセキュリティに対するいくつかの脅威が生まれてきた。ほかのネットワークからアクセス可能なポイントが生まれたうえ、システムが非常に複雑化し、オペレーターによる把握が困難になったためだ」（スタウファー氏）

　例えば、制御システムを構成する機器にしても、そのシステム用に個別に開発されたコンポーネントの代わりに、PCやファイアウォール、ルータ／スイッチといった汎用的なIT機器が採用されるようになった。これらを動かすOSも独自のプログラムではなく、Windowsをはじめとする汎用OSが広がっている。

　これはコストや柔軟性といった面でメリットをもたらした一方で、いくつかの脆弱性ももたらしたとスタウファー氏は述べた。

　例えば、汎用OSを導入した場合に起こりがちな事態が、多くの不要なポートやサービスが外部に対して開けっ放しになるケースだ。これは典型的な脆弱性といえる。また「OSへのパッチ適用後に再起動が必要になることも多いが、多くの制御システムでは手軽に再起動するわけにはいかない」（スタウファー氏）ため、パッチの適用が困難だ。

　中には、機器を提供するベンダーが、オペレーター側がその存在すら知らないモデムを、メンテナンス用に勝手に設置していたりするケースもあるという。これも典型的な「バックドア」になり得る。

　制御システム全体の複雑化に起因する問題もあるという。特にやっかいなのは、システム所有者もオペレーターも「システム全体のコンポーネントを理解していないし、その複雑さも完全には把握していないことだ」とスタウファー氏。

　「システム上に何があるのかを把握していなければ、それを安全にすることは困難だ」（同氏）。にもかかわらず制御システムの場合、システムどうしの相互依存性が複雑なうえ、インシデント検出の仕組みも限られていることから、現状把握が非常に困難だという。

　基幹インフラを担う制御システムの場合には、ITシステムとは若干異なる問題が浮上してくる。ITシステムの場合、セキュリティの3要素「CIA」の中で最も重視されるのは「I」（完全性）ということになるが、インフラで重視されるのは逆に「A」（可用性）。「インフラでは、24時間365日体制のアベイラビリティこそ第一の問題。もしインフラの制御システムがダウンしたら、電気や水まで止まってしまう」と同氏は述べた。

　もしここでセキュリティインシデントが発生すると、生命や財産に直結する大事故につながる可能性がある。事実、ダムの水位を計測するセンサーに故障が発生し、情報が正確に送られなかったがためにダム決壊に至ったという事故もあったという。

　制御システムの場合は、その役割を踏まえ、セーフティやリアルタイム性、信頼性といったほかの要素を維持しながらセキュリティを高めていくという非常に困難な課題に取り組んでいかなければならないとスタウファー氏は述べた。

　現在NISTでは、米国政府や重要インフラを担う企業などと連携しながら、制御システムのセキュリティを高めるためのプログラムを展開している。ISO 15408に基づいて絵師魚システムに必要な要件を定めるフォーラムを立ち上げたほか、SCADAおよび産業制御システム向けのセキュリティガイドライン「SP800-82」（PDFファイル）の策定、セキュリティ用のテストベッドの提供といった作業に取り組んでいるという。

　スタウファー氏は「制御システムのセキュリティ問題を解決するには、多層的な防御のアプローチが必要だ」と指摘。境界での防御やアクセスコントロール、侵入検出、パッチ管理も含めた設定管理に加え、適切なポリシーや手順の浸透などが必要だと述べた。

　「米国でも、ポリシーを書くのは簡単だけれど、それが実装されているケースは少ない。いくらすばらしいポリシーを作成したとしても、それが実際に実装されなければ意味はない。制御システムのエンジニアとITセキュリティ担当者の両方に対する教育やトレーニングも重要だ」（同氏）

　多様なデータが飛び交うITシステムと異なり、制御システムが転送するデータの形式は、たいていの場合一定だ。このため、何か普段と異なる事態が生じたときにそれを把握するのはより容易なはずだとスタウファー氏。継続的に脆弱性計測を実施し、システムを構成するコンポーネントを把握していくことが、制御システムのセキュリティを高める上で役に立つとした。また、新しいテクノロジーが登場したとしても、それを盲目的に導入するのではなく、しっかりテストを行ってからにすべきだとも述べている。