産業用制御システムの運用・制御技術(OT)向け

サイバーセキュリティサービス

IoT時代の到来により、工場・プラントなどのあらゆる産業設備がインターネットにつながり、データを収集・分析・活用することで生産効率を高めるインダストリー・インターネットに期待が寄せられています。これに伴い、ネットワーク越しに産業用制御システムと言ったOTシステムが外部からサイバー攻撃を受け、不正に操作されるリスクが顕在化してきました。特に、発電所・石油化学プラント・製鉄プラント・公共交通機関などの社会インフラがサイバー攻撃を受けて稼働停止や爆発・火災などを引き起こす事態では、都市機能がまひするなどの甚大な被害が発生します。これまでのサイバー攻撃はITシステムに向けられたものでしたが、今後はITネットワークを通じて産業設備が攻撃対象になることで、ITセキュリティに加えて制御システムの不正制御を防ぐOTセキュリティ対策が欠かせないものとなります。

MSYSとGE Digitalは、脆弱性チェックサービスにより明らかになった制御システムの脆弱性に対し、OT分野にはGE Digitalの知見と製品、IT分野にはMSYSの持つITセキュリティの知見と製品を組み合わせることでトータルセキュリティを提供し、日本企業のインダストリー・インターネット導入を支援・推進してまいります。

services bridge the gap

GE Digital社のOTサイバーセキュリティサービスとは?

General Electric Company (NYSE: GE)は、2014年にカナダのWurldtech社を完全子会社化し、GE Digital社の中核事業として、OTセキュリティ分野に参入しています。

2017年より、GE Digitalブランドに統一し、サイバー攻撃の脅威から重要インフラを守るために、デバイスメーカーやシステム運用会社と連携しています。

GE Digitalは、製造業に精通しており、プロセス制御を運用し、保護することがどういうことかを理解しています。GE Digitalのテクノロジーは、産業プロセスを保護する目的に特化しており、産業に対する深い洞察に基づく長年の開発努力によりOTセキュリティ製品は重要インフラをかつてないレベルで可視化し、サイバー攻撃から保護することができます。OTサイバーセキュリティに関する詳細な知識、産業プロセス環境にベストプラクティスを適用する能力を、専門の優秀なスタッフが、高い技術でセキュリティテクノロジーやプロセスをさまざまな業界に適用します。石油・ガス、交通、電力、医療など多くの産業で、GE DigitalのOTセキュリティサービス事業の技術が、フォーチュン500社のお客様のブランドイメージの維持に役立っています。攻撃対象領域を減らしつつ、長期的且つ強固に、OTサイバーセキュリティ対策を実現する、最適なプランを策定するお手伝いをいたします。

産業用制御システム(ICS)向けセキュリティレベルチェックサービス

ICS向けのセキュリティと品質テストには、高度な知識と専門性が求められます。OT(運用・制御技術)の専門知識、サイバーセキュリティに関する詳細な知識に基づき、産業プロセス環境にベストプラクティスを適用する能力が必要です。サーバーセキュリティに対するコンサルティングサービスと制御機器のロバスト性テストツールを提供とするGE Digital社のOTセキュリティエンジニアが、柔軟性のあるオペレーションを計画・設計し、人員、プロセス、テクノロジーに反映させるお手伝いをします。

サイバーセキュリティ対策に必要なこと

  • 現状の理解
  • 内在する脆弱性の発見
  • セキュリティ対策の優先順位付け
  • 標準規格への準拠・比較分析

サイトセキュリティヘルスチェック

簡易にセキュリティ状況をオンサイトでチェックし、直近の脅威をレポートします。

サイトセキュリティアセスメント

業界の標準及びベストプラクティスに照らし、オンサイトで施設を包括的に評価し、詳細にレポートします。レポートは推奨される軽減策と戦略に優先順位を付けて、中長期的なセキュリティ対策のロードマップを提示します。

オンサイトでサイトセキュリティアセスメントを実施することで
以下の結果を得ることができます。

既存のICSシステムのセキュリティの状況を調査し報告します。

調査で確認できたセキュリティ課題をレポートし、さらに今後対策すべき内容をリスクレベル別に提示します。

調査結果に基づき、リスクレベルに対して今後のセキュリティ対策計画を策定することができます。

セキュリティ対策の中長期計画、対策に要する人的・物理的・金銭的リソース投入の判断指標が得られます。

ご提供サービス比較表

Services ComponentsSite Security Health CheckSite Security Assesment
顧客の目標現状のセキュリティのレベルを短期間に安価にチェックするセキュリティ対策を中長期的な視点で策定する
アセスメントの方法論GE Digital独自*GE Digital独自*
セキュリティギャップ解析限定した範囲で調査詳細に調査
構築レビュー(Scaled)
成果物
所見報告書(Scaled)
Close-out presentationSite Security Health Check
詳細な資産レビューワークブックSite Security Health Check
プロセス
情報収集
ドキュメントレビュー(Scaled)
インタビューとオンサイト検査アナリスト、オンサイトで1日
テクニカルテスト×
オフラインデータ分析×
リスクアセスメント(Scaled)
リスク軽減の推奨事項直近の脅威について簡易にレポート。セキュリティの方向性を指し示します。推奨される軽減策と戦略に優先順位を付けて、中長期的なセキュリティ対策のロードマップを提示します。

*国際標準ベース

ICSに特化したOTセキュリティプラットフォーム「OpShield」

OpShield

ICS/SCADAセキュリティ

OpShieldは、サイバー攻撃の脅威からICSとOT資産を守る用途に特化し、設計されたハードウェア型のセキュリティソリューションです。ICSのデータトラフィックをコマンド/パラメータレベルまで常時監視し、悪意ある制御動作を検知・遮断することで制御システムの安定稼働を確保します。OpShield製品は、「OpShield Perimeter Unit(ペリメターユニット)」と、高温・高湿度の環境下でも動作可能な設計でPLCなどの制御機器の間近に設置する「OpShield Field Unit(フィールドユニット)」の2種類で構成されます。

OpShieldの機能

ネットワーク上のコマンドの常時監視

  • OTネットワーク内のトラフィックをプロトコルコマンドやパラメータレベルまで検査が行えます。
  • OpShieldによる監視では、通常のIPS/IDSソリューションと同様、まず基本的なヘッダー情報を確認しますが、その後プロトコルの構文や文法構造についても確認し、保護対象のデバイスの通常運用に照らしてコマンドを解析し監視します。

ネットワーク通信のホワイトリスティング

  • ホワイトリスティングを設定することで、設定されたポリシーと合致しないすべてのトラフィックについて、ブロック、許可、またはアラート表示することができます。
  • この方式でネットワーク通信を制御することにより、攻撃者がインダストリアルプロトコルに含まれる「シャットダウン」「スキャン」「ファクトリーリセット(初期化)」などのプロトコルコマンドや、「セットポイント」などのパラメータを悪用することを防ぎます。

ICSに特化したシグネチャアップデートサービス
有償サービス

  • OpShield は、OT機器の脆弱性を対象としたエクスプロイトを防ぐための、シグネチャを豊富に取り揃えています。
  • GE デジタルは長期間有効で、エクスプロイトの亜種からも防御可能なシグネチャを用意、今後発生しうる脆弱性の問題については随時対策し、アップデートサービスとして提供します。産業用制御システムでのセキュリティパッチ適用は、システム停止・再起動を要する事、対象となる機器が多い事、システムの動作確認(評価・検証)を要する事などが理由となり実施が困難です。しかしながら、OpShieldがサポートしている制御システム機器については、シグネチャを適用することで、根本にある同じ脆弱性を利用したゼロデイ攻撃などの新型の攻撃からも守ることができます。
  • *OpShieldがサポートしているプロトコル、OT機器が対象

対応制御システムプロトコル

Modbus、BACnet、Profinet、DNP3、OPC Classic、Ethernet/IP-CIP、IEC104など、20を超える産業プロトコルに対応

ハードウェアについて

Opshield3000(PerimeterUnit)
上:OpShield300(Field Unit) 下:OpShield3000(Perimeter Unit)

【3000/300の違い】

  • OpShield3000(Perimeter Unit)
    Perimeter Unit(主にOTネットワークの境界に設置)OpShield300を20台まで接続・管理可能
  • OpShield300 (Field Unit)
    Field Unit(制御機器に直近で接続)過酷な環境下(高温、高湿度など)で動作可能な設計 ※OpShield3000との連携が必要

概略機能

  • 「ホワイトリスト作成機能」:現状トラフィックを自動収集しホワイトリスト化
  • 「コマンドレベル/パラメータレベルの常時監視機能」:各種産業機器のコマンド/パラメータをリアルタイム監視
  • 「バーチャルゾーニング機能」:GUI上の簡単な操作でネットワークのゾーン化が可能
  • 「OTベースのプロセス向けポリシーの作成および実施機能」
  • 「管理・監視機能」:GUI管理画面、Syslog、SNMP

構成例

インライン構成例

ミラー構成例

制御システム機器のロバスト性(堅牢性)テストプラットフォーム
「Achilles Testing Platform(ATP)」

制御システム機器のロバスト性テスト、検証、認定プラットフォーム

制御システム機器(PLC、DCSなど)等の通信に特化して、未知のセキュリティ脆弱性と既知の脆弱性を検出するロバスト性検証をテストすることが出来ます。制御システム機器の開発/設計段階で、ATPを使用してテストすることで、開発者にとって想定外となる脆弱性の問題について確認する手助けが出来ます。一定のセキュリティ水準を満たすと「Achilles Certification(アキレス認証)」を取得する事が可能です。

≪Achilles Test Platform≫ [ATP]

  • 自動化したテスト機
  • 制御システム機器用に専用設計されたテストツール
  • 制御システム機器の機能をモニタリング可能
  • ネットワークパラメーターのモニタリング可能
  • 制御パラメーターのモニタリング可能

≪Achilles Test Software≫ [ATS]

  • ATPと同様の機能
  • 仮想環境(VM)上で稼動可能
  • 製品開発プロセスに組み込みやすく低コスト
  • [ICS]Industrial Control System(産業用制御システム)の略
  • [OT]Operational Technology(運用・制御技術)の略
  • [IPS(Intrusion Prevention System)]侵入防止システム。ネットワークの外部との通信を監視し、侵入の試みなど不正なアクセスを検知して攻撃を未然に防ぐシステム。
  • [IDS(Intrusion Detection System)]侵入検知システム。不正アクセスのパケットなのかの判断は「シグネチャ」と呼ばれる攻撃パターンのデータベースを使用し、不正アクセスなどの悪意あるトラフィックを検出して通知します。
  • [ホワイトリスト]ネットワークにおけるすべての通信を監視。許可リスト(ホワイトリスト)にない不正な通信をすべてシャットアウトすることで、さまざまな攻撃からネットワークを効果的に守ります。
  • [シグネチャ]既知の攻撃パターンに基づく攻撃とマッチングすることによって不正な攻撃を検知する方式。
  • [エクスプロイト]既知の脆弱性をターゲットとした悪意あるプログラムであり、その中に含まれるデータや実行可能コードがコンピュータ/ハードウェアで動作するソフトウェアの脆弱性を悪用します。
  • [PLC]Programmable Logic Controllerの略。シーケンス(順番)を制御するコントローラーで「シーケンサー」と呼ばれる場合もある。入力機器(スイッチ、センサなど)の信号の状態により、あらかじめ決められた条件(プログラム)に従い出力回路をコントロールする。この条件(プログラム)を変更する事により、ユーザーが自由に機器を制御できます。
  • [DCS]Distributed Control Systemの略、分散型制御システムとなり、大規模なプロセス制御対象に対し、複数のコントローラで協調・統合した制御をする装置になります。
  • [Achilles認証]GEデジタルが提供している、制御システムにおける世界的なセキュリティ認証プログラム。

※文中の製品名および会社名は、各社の商標または登録商標です。