エネルギー業界のセキュリティ対策は、「何をすべきか」から「どう実行するか」のフェーズへ電力インフラをどう守る?

電力業界でも活用が進みつつあるIoT。それに伴い、制御システムのセキュリティ対策の重要度が増している。Splunk Services Japanの矢崎誠二氏は、もはやIoTや制御システムのセキュリティは「何をすべきか」で悩む段階は過ぎ、具体的に対策をどう進めるかという段階に差し掛かっているという。対策の実現に不可欠なのが「データ」だ。

» 2018年08月13日 10時00分 公開
[PR/スマートジャパン]
PR

「何をすべきか」から「どう対策を実行するか」のフェーズへ

Splunk Services Japanの矢崎氏

 拡大の一途をたどり、2020年には最大で581億ドル規模に成長すると見られているIoT市場。電力業界においても設備の運用効率化などに向けて、IoTの活用や、デジタル化に向けた取り組みに大きな注目が集まっている。一方で、これまでクローズドな環境で運用されていた制御システムをネットワークに接続する機会が増え、それに伴って「セキュリティ対策」が非常に重要な役割を担いはじめている。

 Splunk Services Japanでセキュリティ・スペシャリストを務める矢崎誠二氏は、スマートジャパン・MONOist編集部主催の「製造・電力・エネルギー業界向けIoT/制御システムセキュリティセミナー」において、「デバイスは見ない、データを見る〜Splunkで答えが見えるIoTセキュリティとは〜」と題するセッションを行った。この中で同氏は、セキュリティはいまやIoT市場を構成する重要なピースとなっており、「IoTへの投資においては、最初からセキュリティを考えなければいけないという風潮が高まっている」と指摘した。

 事実、ここ数年、IoTや制御システムに対するさまざまな脅威が顕在化している。フィンランドでは冬に暖房システムがDDoS攻撃を受けて停止したり、逆にIoT機器に感染してさまざまなサービスを攻撃する「Mirai」、そしてその脆弱性を検出して知らせる「Hajime」などのコードが知られるようになった。また、米小売大手のTargetで発生した情報漏洩事件は内外に大きなインパクトを与えたが、「最初の侵入経路は空調システム、つまりIoTだったことに留意が必要だ」と矢崎氏はいう。

 こうした事態に対し、守る側も手をこまねいているわけではない。米国土安全保障省(DHS)やヨーロッパのENISA、ICS-CERTなどがIoTのセキュリティ対策に関するガイドラインを定め、公表している。

 例えばDHSでは、設計からネットワーク接続時に至るまで、6つのフェーズに分けて対策を提言している。具体的には、パスワード設定時の配慮からサポート終了期限の定時、レッドチームによる脆弱性検査といった対策を求めており、「文書としても短くまとまっており、分かりやすい」(同氏)

 またENISAは、一口にIoTといっても複雑多岐に渡ることを踏まえ、6つの領域に分け、それぞれの適用領域ごとの事情を踏まえた基本要件を提示している。一方ICS-CERTは2015年、制御システムにどういった脆弱性があるかについてアセスメントを行い、その結果をレポートとして公表した。これによると、既に638件もの課題・弱点が見つかったという。

 矢崎氏はこうした取り組みを紹介した上で、「こうしたガイドラインによって、IoTセキュリティの課題となすべきことはほぼ網羅されつつある。もはや、何から始めれば良いか、何をすべきかという段階は過ぎ、具体的に対策をどう実行すべきかというフェーズに来ている」とした。

フォーマットを問わずデータを集め、多彩な用途に応用できる「Splunk」

 市場では、IoTやデジタルトランスフォーメーションの波とともに、これまでシステムごと、場所ごとにばらばらにサイロ化した形で蓄積されてきたデータの統合が求められている。この課題をSplunkは、「どんなデータでも集め、貯めて処理できるビッグデータを処理するためのプラットフォームである『Splunk』を通して解決する」と矢崎氏は述べた。

 現在、ITだけでなくIoTやOT(制御側)も含めたデータを分析しようとすると、センサーやアクチュエータ、あるいは管理システムなど、さまざまな対象からデータを取り込まなければならない。必然的にデータのフォーマットはバラバラで、一つ一つ「整数か文字列か」「長さは何バイトか」といった事柄を確認して処理できる形に整えなければならず、実際に分析に取り掛かるまでに多数のパッケージを用意する必要があった。

 これに対しSplunkプラットフォームの特徴は、どんな種類のデータでも収集し、処理できることだ。矢崎氏は「取り込むデータは何でもいいし、フォーマットが違っていてもかまわない」と述べ、1つのパッケージでデータの収集・取り込みから検索、分析までが行えると説明した。だからこそSplunkの製品は、2009年ごろに主流だったITオペレーションの支援から、ログデータを活用したサイバーセキュリティ対策へ、さらにはWeb解析やIoTを活用したビジネス分野の応用へと、多彩な用途に活用されている。

 もちろん、DHSが提示した6つのIoTセキュリティ対策の枠組みにも適用可能だ。設計段階ではバグの管理に、開発段階では検査ツールと連動しての脆弱性管理やパッチコントロールに活用できる。中でも、「対策」「優先付け」「透明化」という運用フェーズを、Splunkはプラットフォームとしてデータ基盤、サーチ、分析という3つのフェーズで実現できると矢崎氏は説明した。このため第一のステップはの基盤構築である。

「データ」がなければ何も見えず、分からない

 「まずデータを収集しなければならない。障害が発生したときにデバイスだけ見ていても、データがなければ何も見えないし、分からない」(矢崎氏)。だからこそあらゆるデータを収集し、高速に検索し、セキュリティ分析に活用できるインフラが重要だという。

 国際制御計測学会(ISA)では「ISA95」で、現在の制御システムを4つのレイヤーに分類している。さまざまなセンサーやアクチュエータで収集した数字を制御システムが温度データとして認識。それらをSCADA/MESで生産温度として処理し、ERPなどのプラント管理システムで「正常か、異常か」を判断する仕組みだ。

 だが、「上のレイヤーでは大量のデータが失われており、解像度が低い。下のレイヤーもまとめて見ることが、セキュリティ対策の上では非常に重要だ」と矢崎氏は述べた。

 しかもこうして網羅的に産業データを収集できれば、セキュリティのみならず、予防保守や予測メンテナンスにも適用できる。既にSplunkではKepwareやPI System、PDEXといった複数のパートナーと連携して、上のレイヤーから下のレイヤーまで、データを収集する仕組みを実現しはじめているという。また、TCP/IPで接続しているならば、通信を全てキャプチャーして取り込み、そこからさまざまな分析、知見を得ることも可能だと同氏は説明した。

 「Splunkはこうした処理が非常に得意だ。今までは、データベースに入れる前に、それがどんな種類のデータなのかを認識させる必要があった。しかしSplunkでは、いったん全部入れてしまって、後からこれはアラームか、センサーのデータなのかといった事柄を抜き出すことができる。これが、後の分析を容易にさせる大きな特徴だ」(矢崎氏)

 2つめのステップである検索もSplunkの得意技で、大容量のデータを高速に検索できる。矢崎氏によれば「理論上は、どんなにデータが大きくても対応できる。顧客の中には1日当たり4ペタバイトものデータを分析されているケースもある」といい、グローバルに分散するデータセンターや工場のデータをまとめて監視することも可能だとした。

 最後は分析のステップだ。既にユーザーカンファレンスで紹介済みの事例では、車の生産ラインからデータを取り込んで分析することで、生産プロセス全体の中でどの工程がボトルネックか、あるいは各工程でエラーが多い部分はどこかといった事柄を把握し、効率改善に活用しているという。

 同じように、ENISAがIoTセキュリティに関して提唱している15項目の対策やOWASPが示すガイドラインをSplunkに実装すれば、「マルウェア感染やDDoS攻撃、あるいは不正な機器による通常とは異なる振る舞いを見つけ出すのは極めて簡単で、対策を網羅的に実行できる」。

 例えば、「IoT機器に感染するMiraiボットネットを検出したい」という場合なら、「Splunkでは極めて簡単に(数分程度でサーチを作成)サーチルールを記述することができ、そうしたサーチやベストプラクティスの集合体は『Splunk Security Essentials』に集約されている」という。もし不審な兆候を見つけ出すだけでなく、それをトリガーにしてチケット管理やワークフローを回したい場合には、別途「Splunk Enterprise Security」を組み合わせることで、プロセス全体を管理できるとした。

セキュリティ対策にも、セキュリティ以外の用途にも……広がる適用領域

 Splunkは既に導入事例も多く、利用の幅も広がっている。例えば米国のEnterprise Productsでは、のべ5万1000マイルに及ぶパイプラインの監視にSplunkを活用し、ITシステムとOTの安定運用に加え、双方にまたがるセキュリティ管理を実現。「セキュリティインシデントのレスポンスタイムが95%改善されるという成果が得られた」という。

 また、オーストラリアの電力会社であるLUMO Energyや、風力発電事業者であるInfigenでは、セキュリティ監視だけでなく、リアルタイムに電力の需要・供給のバランスを把握するためにSplunkを活用しているという。

 このように、「セキュリティ対策にも使えるし、セキュリティ以外のことにも使え、複数の利用価値がある」というSplunkのプラットフォーム。ITとOTにまたがるセキュリティ運用だけでなくIndustry 4.0の実現など、データを集めて分析することによって生まれる価値はさまざまだ。Splunkではそうした顧客を支援すべく無償のトライアル版を用意するほか、1000を超えるアプリやFAQ集、開発者向け情報といったリソースも整備し、活用を支援していく。

 最後に矢崎氏はあらためて「IoTのセキュリティで、何をすればいいかという段階はもう過ぎた。限られたコストの中でどのように対策を実行していくかというフェーズに移っている」と強調し、Splunkをその基盤として活用してほしいと呼び掛けた。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:Splunk Services Japan合同会社
アイティメディア営業企画/制作:スマートジャパン 編集部/掲載内容有効期限:2018年9月20日