情報システムと制御システムの違いおよび共通する内容

      

概要

情報システム(ITシステム)と制御システム(ICS/OTシステム)では、リスク管理要件やコンポーネントなど様々な違いがある。これらの違いにより、サイバーセキュリティの観点においても、資産を対象にしたリスク管理の重みづけ、インシデントレスポンス時の対応内容、セキュリティ対策方法等に違いが生じる一方、共通する部分も多く存在する。本記事では、この情報システムと制御システムの違いや共通している内容について説明する。
なお、ここで述べる制御システムは、プラントや工場で使用されるコンポーネント(DCS、SCADA、PLC など)やそれらを接続するネットワーク全般のことを指し、情報システムは、オフィス等で利用される従業員の PC や各種システム(公開用/業務用サーバ等)等を指している。

                

情報システムと制御システムの違い

情報システムと制御システムの違いについて、NIST SP800-82 [1] や Hipopos の独自観点より表1にまとめている。
      

# カテゴリ 情報システム 制御システム
1 信頼性(可用性) ・許容されるケースが多い
・計画外のリブートは可能なことが多い
・許容されるケースが少ない
・計画外のリブートは難しい(停止はあらかじめ計画して実施)
2 リスク管理 ・CIA
・CIA
・HSE
3 システム ・標準OS
・様々なアプリケーション
・ユーザによるソフトウェアの変更が許容されるケースが多い
・人が操作する割合が多い
・標準OS、専用OS
・限定的なアプリケーション
・ユーザによるソフトウェアの変更が許容されないケースが多い(通常ベンダが設定)
・マシン同士のコミュニケーションの割合が多い
4 リソース 様々なアプリケーションを入れることを想定しているため、余裕あり 特定の産業プロセスを実現するために設計されているため、余裕がないことが多い
5 通信 ・標準プロトコル
・イーサネット通信がメイン
・不規則的
・標準プロトコル、ベンダ独自プロトコル
・イーサネット通信だけでなく、アナログ、シリアル通信も利用
・規則的(リアルタイム通信)
6 データ ・多種多様
・個人情報、経営関連のデータあり
・決められたデータ形式・サイズであることが多い
・生成物のデータといったオペレーション関連データが多い。顧客データを含む場合あり。
7 コンポーネントの使用期間 ・3~5年
・都度のアップデート/パッチ適用は可能
・10年~20年
・都度のアップデート/パッチ適用は難しい
8 コンポーネントの場所 データセンターや社屋 工場や遠隔地
9 コンポーネントの管理 システム担当者 施設の運用者
10 セキュリティ対策導入状況 サイバーセキュリティ対策に関する検討/導入は進んでいる。 ・物理的対策が中心(セーフティの考え)
・近年はサイバーセキュリティ対策も注目されているが、未検討/未導入の組織が多い。
11 サイバー攻撃発生頻度 非常に多い 少ない
12 サイバー攻撃インセンティブ ・システム数が多く狙いやすい
・インターネットと直接接続されているものが多く狙いやすい
・機微情報が保存されている率が高く、敵国情報収集に有用
・個人情報等が保存されている率が高く、身代金要求の駆け引きに利用しやすい。
また、クレジットカード情報や仮想通貨情報等、直結した金銭源を取得できる。
・大きな経営ダメージを与えることが可能(国レベルまで発展可能)
・人命を損失できる可能性がある
・システム停止への影響が大きいため、身代金要求の駆け引きに利用しやすい

      

注目ポイント

以降は、Hipopos が特に理解が重要だと考えているカテゴリをピックアップしてまとめている。

      

リスク管理

情報セキュリティの3要素として C(機密性)I(完全性)A(可用性)があり、中でも情報システムのセキュリティ要件では「データの機密性」が重要視されている。これは、情報システムで管理するデータの中に経営に関連する機微情報や個人情報などが含まれているためである。特に個人情報は個人情報保護法といった法律により管理が定められており、もし違反をした場合は罰金等の処罰が下される(処罰の前に個人情報保護委員会等から是正報告される)。また、データ漏洩等が発生した場合は、損害賠償責任を問われたり、組織の信頼低下につながったり、経営危機に陥ったりすることも少なくない。諸外国では、個人情報だけでなくデータの重要性についても議論は拡大しており、例えば中国サイバーセキュリティ法では個人情報だけでなく、国家の安全や社会的公益に関連するデータについても適切な保護・管理が求められている。データの取り扱いを理由に特定地域の事業が出来なくなる事例も増えており、今後もこのようなデータの機密性や重要性の管理・保護については重要視され続けると考える。
制御システムにおいては、問題が発生すると物理的な影響を及ぼすシステムも多く、最悪の場合、人命や地域社会への影響を及ぼす可能性があるため、CIAだけでなく、H(Health:健康)、S(Security:安全)、E(Environment:環境)といった観点の配慮が必要になる。その中でも特に安全性が重要視されている。また、制御システムの問題発生により、工場やラインを停止することは大きなビジネスインパクトを及ぼすため、可用性も重要視されている。これらは、倫理的な面もあるが、工場における事故は法令不履行となり監督官庁への報告や罰則があることも理由としてある。特に、重要インフラとして位置づけされている制御システムは、HSE の影響が非常に大きく、あらゆる事象(災害、物理的被害、システム故障等)が発生しても安定稼働するように設計されていることが多い。
情報システムと制御システムには、上記のような特徴があるため、リスクに対する優先度付けが異なる。なお、情報システムにおいても、人命などに直接影響を及ぼすシステムであれば、リスク管理の重要要素は安全性にとなるが、多くのシステムがそのような影響を及ぼさないため、リスク管理の軸として配慮されてないと考えるのが妥当であろう。
      

      

システム

ITシステムは、ミッションクリティカルなシステムを除き、新たなアプリケーションの導入、OSやソフトウェアのアップグレードやアップデートに寛容であり、システムの停止/再起動についても大きな制限はない。
一方、制御システムは目的の制御プロセスに特化した設備であり、可用性の観点や専用のハードウェア/ソフトウェアや制御方法等が関係するため、ソフトウェアのアップグレードやアップデートを容易にできないことが多い。また、新たな機能を追加するための十分なリソースが無いことが多い。さらに、メンテナンスなどによるシステムの停止については、事前に十分な実施事項の計画を必要とする。
上記のような特徴により、制御システムのインシデントレスポンスでは、端末をネットワークから隔離するといった対応が難しい。また、制御システムやエンドポイントはファームウェアやOSのアップデートを行った対策ができないため、多層防御の考え方を採用するのが一般的となっている。

      

通信

情報システムでは標準的なイーサネット通信(TCP/IP)が多く、TLS/SSLを用いた暗号化通信の使用も平常化されてきている。
一方、制御システムでは現在でもアナログ/シリアル通信、ベンダ固有の専用プロトコル多く利用されている。最近は、情報システムでも使用されているようなイーサネット通信をベースとしたプロトコルを利用するといった標準化も進んでいるものの、情報システムと比べると、多種多様のプロトコルが使用されている。また、制御システムで利用されている標準イーサネット通信は、セキュリティ機能を具備するプロトコルが出てきたものの、まだ黎明期である。これは機能の問題ではなく、制御システムの更新頻度や可用性を担保しているためと推察する(Hipopos の別記事において、制御システムに採用されているプロトコルシェアついて記述しているので、参考にしていただければと思う [2])。

制御システムにおけるセキュアなプロトコルの例として、TLS を利用した Modbus/TCP Security [3]や CIP Security for Ethernet IP [4] といったプロトコルがある。これは、Industry 4.0 や Society 5.0 の提唱後、情報システムと制御システムを相互接続することによる効率性とコスト削減効果への期待から、セキュリティ考慮が必要となったためである。これらの背景より、制御プロトコルを管理する各団体がセキュアなプロトコルの研究開発を進めている。

続いて、情報システムの場合、通信の起点の多くは人によるものであるため、不規則な通信が行われていることが多いが、制御システムおいては、マシン同士の通信が行われることが多く、情報システムの通信と比べると規則的である。そのため、制御システムではホワイトリストを用いた監視・検知製品が多く見受けられる。また、IPS といったネットワーク通信を監視する防御製品は可用性に支障をきたす可能性があるため、制御システム内では IDS モード(検知アラートのみで通信自体の遮断は行わない)で導入されるケースが多い。

      

セキュリティ対策導入状況

情報システムでは、従来よりサイバー攻撃から保護するためのセキュリティ対策が検討・実施されてきており、多種多様なセキュリティ製品・設定やセキュリティ対策の考え方(多層防御やゼロトラスト等)が存在している。
一方、制御システムにおいては、従来よりセーフティという考えの基、多重独立防護層 [5] という保護概念で設計されていることが多い。具体的には、制御システム自体の安全設計、異常動作保護、物理的破壊、災害対策等からの保護対策が実施されてきた。セーフティには、サイバー攻撃の観点が含まれていないため、制御システムはサイバー攻撃対策が遅れていると言われている原因の一つでもある。ただし、Industry 4.0 の提唱後、情報システムと制御システムの連携が進み、制御システムもサイバー攻撃からの保護を重要視されるようになった。現在は、制御システムに特化したセキュリティ製品の開発やフレームワーク等も登場しており、情報システムと同じ程度の水準(制御システムによって異なるが)のセキュリティ対策が求められている。
      

      

情報システムと制御システムの共通する内容

制御システムと情報システムを比較すると、使用プロトコルやコンポーネントが異なる等様々な違いがあるものの、共通する内容も多い。例えば、制御システムのコンポーネント自体は、情報システムと同様の技術(ノイマン型のコンピュータ、通信技術/規格など)が使用されているため、セキュリティにおける技術的対策も共通する内容がほとんどである。そのため、制御システムに特化したセキュリティ製品の多くは、「制御システムプロトコルや独自プロトコルに対応している」、「制御システムの可用性に影響しないパッシブな異常検知」、「制御システムが動作する極めて過酷な環境での動作保証」などが大きな特徴であり,内部で使用されている技術は情報システムを対象としたセキュリティ製品/対策と同様である。また、インシデントレスポンス等の対応においても,情報システムにおけるミッションクリティカルなシステムであれば、即時にサーバをネットワークから隔離するといったインシデントレスポンスは実施せず、パッチを当てるセキュリティ対策も事前に十分な計画をしてから実施することが多いように,情報システムでも制御システムと同様の対応をすることがある。以上より,技術的対策および対応時の考え方も情報システムと制御システムは多く共通する内容がある。
 
          

おわりに

本記事では、情報システムと制御システムの違いおよび共通する内容について解説した。情報システムと制御システムでは、利用される環境や目的は異なっているが、システムを構成するコンポーネント単位で考えると同様の技術をベースにしているため、セキュリティにおける技術的対策は共通する部分が多い。ただし、それぞれの作られた背景や考え方は異なっているため、制御システムに関する知識を得ることは、制御システムセキュリティの技術的検討や製品開発する近道であると考える。
情報システムと制御システムの融合が加速されていく中、従来からある制御システムの考えを継承しつつセキュリティ対策を進めるのか、それとも新しい考えを適用しセキュリティ対策を進めるかを考えていくことが重要と感じている。

      

参考文献

[1] NIST(翻訳IPA), NIST SP800-82 Rev.2, “産業用制御システム(ICS)セキュリティガイドSCADA、DCS、PLC、その他の制御システムの設定 日英対訳版”, https://www.jpcert.or.jp/research/2016/NISTSP800-82r2_20160314.pdf, 2020年9月28日閲覧
[2] Hipopos, (2019), "産業用ネットワーク入門", https://hipopos.com/learnings/35fc41fbad2ae1e75aec
[3] Modbus.org, (2018)."MODBUS/TCP Security", https://modbus.org/docs/MB-TCP-Security-v21_2018-07-24.pdf, 2020年9月28日閲覧
[4] ODVA, "CIP Security", https://www.odva.org/technology-standards/distinct-cip-services/cip-security/, 2020年9月28日閲覧
[5] 多重独立防護層に基づくプロテクティブ制御系の設計, "J-Stage:伊藤利昭 著", https://www.jstage.jst.go.jp/article/jacc/59/0/59_403/_pdf, 2020年9月28日閲覧

      

更新・修正履歴

登録日: 2020年10月01日 初版

      

登録日時2020-10-01 22:20:10
更新日時2020-10-01 22:37:40