製造システムのセキュリティ確保に向けたパナソニックでの取り組み

Size: px

Start display at page:

Download "製造システムのセキュリティ確保に向けたパナソニックでの取り組み"

せとかよどぎみ
6 years ago
Views:

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :40:21 +09'00' 製造システムのセキュリティ確保に向けたパナソニックでの取り組み 201７年２月２１日パナソニック株式会社製造システムセキュリティ室藤井俊郎

2 本の内容会社概要パナソニックのモノづくりの特徴製造システムでのサイバーセキュリティリスク製造システムセキュリティ確保の取り組みガバナンス具体的対策最後に

3 会社概要

地球環境への貢献をはじめグローバルにより良い世界の実現に貢献していきます事業セグメント別売上率地域別売上率その他 8% オートモーティフ & インタ

4 パナソニックグループの概要 3/41 本社 : パナソニック株式会社創業 :1918 ( 正 7) 年 3 売上 :7 兆 5,537 億円従業員 :25 万 4,084 名 (2016 年 3 ) ブランドスローガン住宅社会ビジネス旅動など多様な空間領域で様々なパートナーとお客様ひとりにとってのより良いくらしを追求し拡げていくと共に地球環境への貢献をはじめグローバルにより良い世界の実現に貢献していきます事業セグメント別売上率地域別売上率その他 8% オートモーティフ & インタストリアルシステムス 32% AVC ネットワークス 14% アフライアンス 27% エコソリューションス 19% アジア 15% 欧州 9% 中国 12% 州 18% 本 46% (2015 年度連結ベース )

5 パナソニックのモノづくりの特徴

6 多くの製造拠点と様々な商品 5/41 グローバル 311 拠点 ( 国内 131 拠点海外 180 拠点 ) 2016 年 4 現在欧州 CIS 20 拠点中国北東アジア 70 拠点本 131 拠点北中南 24 拠点アジア中東亜 66 拠点量産から少量産まで物から型デバイス商品まで L/Tから短 L/T 商品まで受注案件物から即納商品まで B2BからB2Cまで多様な市場お客様商品のモノづくりを実践

7 IoT 活の世界の潮流 6/41 グローバルで進む IoT 活によるモノづくり度化ビジネスモデル変ドイツインダストリー 4.0 中国中国製造 2025 インターネットデジタル化による場のスマート化製造情報化を進め製造国から製造強国へ国インダストリアルインターネット IoT を活した産業の新と新しいサービス創造 IoT で独連携の 6 項で覚書締結本ものづくりと ICT の融合によるつながる場

8 IoT 時代のパナソニックが目指すモノづくり 7/41 IT を駆使した IoT でのスマートマニュファクチャリングを構築マスカスタマイゼーションゼロディフェクトモノづくり IoT ビッグデータ AI の利活用でうまくつくる (QCD の飛躍的向上 )

9 設備の IoT ネットワーク対応 ( 例 ) 8/41 低コストで IoT ネットワーク構築 WEB サーバ機能搭載 PLC に接続既存設備をレトロフィットセンサーやカメラを後付で IoT 対応 PLC(SUNX FP7) メールでの異常通報日報連絡 Ethernet パナソニックネットワークカメラ (PSN) PLC (SUNX FP7) リアルタイム遠隔監視 Ethernet データ蓄積予防保全マイクロレーザ測距センサ HG-C スイッチングハブ Ethernet

10 モノづくりでの製造システムセキュリティの位置づけ 9/41 事業特性に適応し他社と差別化した特あるモノづくりパナソニック流モノづくりコア技術商品戦略事業戦略モノづくり戦略商品場を進化させるプロセス新と差別化技術創出モノづくりの共通基礎体強化製造システムセキュリティ現場強化モノづくり材育成製造 IT 基盤強化モノづくりアセスメント

11 製造システムでのサイバーセキュリティリスク

12 工場でのサイバーセキュリティの取り組み 11/41 パナソニックの場を取り巻くサイバーセキュリティの状況サイバーリスクの実態社内場できな経営ロスがじた事例は現在発していない社外では IPA 等からも情報が出ているように様々な事例が発しているユーザからの要請通常の情報セキュリティ以外に場のサイバーセキュリティに特化した要請は無いしかし BCP の視点からサプライチェーン確保の要請はきいスマート場効率化品質の取り組みの中で場の ICT 化は確実に進んでいるサイバーセキュリティを考慮した場のネットワーク /IT 設計になっていないその他状況リアルタイム処理 (<1ms) が必要ウイルス対策ソフト等を導出来ない固有の機器 (PLC DCS 製造装置等 ) はセキュリティ対策のツールソフトが無い使期間がい (10 年以上 ) ので脆弱性への対策が終息

13 工場でのサイバーセキュリティの取り組み 12/41 場を取り巻くサイバーセキュリティの状況サイバーリスクの実態社内場できな経営ロスがじた事例は現在発していない社外では事故は発社外では IPA 等からも情報が出ているように様々な事例が発しているユーザからの要請通常の情報セキュリティ以外に場のサイバーセキュリティに特化した要請は無いサプライチェーン産の確保継続は絶対しかし BCP の視点からサプライチェーン確保の要請はきいスマート場効率化品質の取り組みの中で場のICT 化は確実に進んでいるスマート場化の取り組みはもう既に進んでいるサイバーセキュリティを考慮した場のネットワーク /IT 設計になっていないその他状況リアルタイム処理(<1ms) が必要ウイルス対策ソフト等を導出来ない固有の機器 ITで常識的な対策を (PLC DCS 製造装置等) はセキュリティ対策のツールソフトが無い OTでは実施できない使期間がい(10 年以上 ) ので脆弱性への対策が終息

14 工場でのサイバーセキュリティの取り組み必要性検討 13/41 場でサイバー攻撃を受けた時に想定されるリスク場の稼動停検査異常等による品質の低下レシピ改ざん等による歩留まり低下情報の漏洩お客様情報設計情報製造ノウハウ経営への影響 BCP の視点お客様からサプライチェーンの維持を強く求められておりサイバー攻撃を受けてもパナソニックの産稼動品質を確保する取り組みが重要となっている産性の向上産性信頼性の向上及びコストダウンの取り組みに IT の活が必須となってきており場でもサイバー攻撃を考慮しなくてはならなくなってきている場の稼動品質維持ユーザーからの信頼確保の為には対策を始めておく必要がある

15 製造システムセキュリティの取り組み ( ガバナンス )

16 工場でのサイバーセキュリティの進め方 15/41 パナソニック社内では情報セキュリティがわれており定着してきている情報セキュリティ情報セキュリティを実施していく全社体制情報セキュリティ基本規程基準ガイドライン等のルールの制定 ISO27001 認証取得及び準拠した活動による PDCA 活動の定着 IT セキュリティ IT セキュリティを実施していく全社体制 (CSIRT/SOC) 情報システムとしてのガイドライン等のルールの制定パナソニック製品の情報セキュリティ製品セキュリティセンターを軸にした全社体制 (PSIRT) 製品セキュリティ規程基準ガイドライン等のルールの制定既存の取り組みを前提として重複盾となるような取り組みにしない製造システムセキュリティのターゲットはイントラネットと場との接点及びインターネットと場の接点から場側とする

工場でのサイバーセキュリティの取り組み範囲 16/41 製造システムセキュリティ対象ポリシーが異なる外部ネットワーク場内ネットワーク

事業場ネットワーク PLC/DCS/ 製造装置等場固有機器製造現場ネットワーク制御機器リモートネットワーク出出製造システム

LAN アクセスポイント 2 全社ネットワークネットワーク制御機器 PC IT レベル (OA) 従業員経営レヘル電記憶媒体般

FW オヘレータレヘル電記タブレットウェアラブル PLC/ 持込 PC憶媒体産情報機器産 DCS 無線 LAN カメラ現場の従業員 1

PLC/ ( 製造委託 ) プ接続装置 0 フィールトレヘル DCS 等 DCS 等 SIMカート ( 物流等請負 ) 範囲スタンドアローン

場マネジメントシステム総務部 ( 従業員 ) MES エネルキーマネシメント等産物流管理カメラ場オペレーションシステム開発品質部 (

17 工場でのサイバーセキュリティの取り組み範囲 16/41 製造システムセキュリティ対象ポリシーが異なる外部ネットワーク場内ネットワーク MES/SCADA 等 FW プロキシSV 場マネジメント / オペレーションシステム FW PC 電記憶媒体 VPN 装置場事務所事業場ネットワーク PLC/DCS/ 製造装置等場固有機器製造現場ネットワーク制御機器リモートネットワーク出出製造システム場内ネットワーク FW プロキシ SV 製造ラインフィールドネットワークネットワーク制御機器 4 ネットワーク制御機器 3 電記憶サーバ媒体無線 LAN アクセスポイント 2 全社ネットワークネットワーク制御機器 PC IT レベル (OA) 従業員経営レヘル電記憶媒体般クライアントPC 般クライアント PC 産タブレットウェアラブル持込 PC クライアントPC 製造部産情報機器従業員マネシメントレベルカメラ FW オヘレータレヘル電記タブレットウェアラブル PLC/ 持込 PC憶媒体産情報機器産 DCS 無線 LAN カメラ現場の従業員 1 クライアントコントロールレヘル PC 等アクセスポイント保守業者メーカー ( 社員 ) ( 構内請負 ) ( 派遣社員 ) ダイヤルアッ PLC/ PLC/ ( 製造委託 ) プ接続装置 0 フィールトレヘル DCS 等 DCS 等 SIMカート ( 物流等請負 ) 範囲スタンドアローンイントラに接続していないローカルLANを形成機器システム PLM(ERP/PDM 等 ) 施設原動部 ( 従業員 ) 基地局出場内ネットワーク場マネジメントシステム総務部 ( 従業員 ) MES エネルキーマネシメント等産物流管理カメラ場オペレーションシステム開発品質部 ( 従業員 ) SCADA 監視制御等複数ラインの管理監視場固有機器 PLC DCS 等場固有機器産装置保守 / 解析等検査装置パソコン製造装置 / 測定機検査機センサーロボット / 搬送

18 推進体制 17/41 場での主的改善活動がえるよう産技術者が中となって推進 IT セキュリティ情報セキュリティとの接点が多くあるので横断的体制を構築針産技術本部傘下に製造システムセキュリティ室を設置全社横断の活動を推進する場のサイバーセキュリティ対策を位平準化し BCP リスクを低減する推進体制製造システムセキュリティコミッティにて針の決定推進を進める産技術本部製造システムセキュリティ室家電住宅載 BtoB 製造システムセキュリティコミッティデバイスメンバー製造システムセキュリティ責任者製造システムセキュリティ推進者情報システム職能推進者情報セキュリティ職能推進者

19 製造システムセキュリティの取り組み ( 具体的対策 )

20 5 評価指標考え方 19/41 場に適した製造システムサイバーセキュリティ対策の確ガイドラインにより場として必要なベースラインを明確化グローバル全拠点への推進による位平準化の実現各拠点の BCP リスクに応じた対策を進める

21 5 評価指標製造システムセキュリティの計画 20/41 次の 3 ステップを 3 カ年計画で進める 1 ウイルス / マルウエア侵入防止の徹底 2 工場で異常を検知出来るしくみの導入 3 インシデント対応の確立

22 5 評価指標方針 21/41 1 ウイルス / マルウエア侵防の徹底技術情報漏洩防対策として場での対策は 2009 年にガイドライン化していた IoT を活したスマート場としての変化点を踏まえて必要な内容に進化させる (1) 製造システムが ERP 等の経営システムと接続 (2) ビッグデータ解析等に向けてクラウドの活 (3) 製造にいるシステム (SCADA/HMI 等 ) 機器 (PLC/ センサ / タフレット等 ) 進化 2 場で異常を検知出来るしくみの導現在場に適した異常検知システムは存在しない場に導できる異常検知システムを開発は導していくサイバーセキュリティインシデントも設備故障と同様の考えで要求レベルを設定する ( 故障率 / 復旧までの時間等 ) 3 インシデント対応の確異常を発した際に要求レベルを充たすインシデント対応が出来るよう体制を構築していく

23 製造システムセキュリティの取り組み ( 具体的対策 ) 1 ウイルス / マルウエア侵入防止の徹底

24 5 評価指標 1 ウイルス / マルウエア侵入防止の徹底 23/41 参照できるガイドライン等情報収集社内の既存規程ルール CSMS(IEC ) NIST SP IoT セキュリティガイドライン JPCERT/CC 資料調査情報収集他社委託 CSSC VEC 等の団体情報セキュリティ管理規程情報システム基本規程産 PC セキュリティガイドパナソニック場でのベースラインとなるガイドラインを制定グローバル 311 拠点 ( 国内 131 拠点海外 180 拠点 ) へ展開

25 5 評価指標ガイドラインの内容 24/41 具体的内容 1 物理的セキュリティネットワークセキュリティネットワークに接続する機器製造現場の物理的管理策製造現場への機器の持ち込みネットワークセグメント設計各セグメントに接続可能な機器ネットワークの通信制御リモートネットワーク構成管理

26 5 評価指標ガイドラインの内容 25/41 物理的管理機器の持込による感染対策 ( 再度徹底 ) (1) USB メモリー PC の持込による感染防止 (2) 製造測定装置の持ち込みによる感染防止 (3) セキュリティゾーニングによる入退出のコントロール USB PC 持ち込み手順ルールを決め日々運用する入り口セキュリティゾーン ( 工場 ) ウイルスチェック入退出管理セキュリティカメラ OS ハーションチェック実施設備設備導入ネットワーク接続前に確認ウイルスチェック実装したセキュリティ機能の確認

27 5 評価指標ガイドラインの内容 26/41 ネットワークを通じての感染対策 (1) 社内イントラからの侵入 FW の設置 (2) 工場の外部接続からの侵入 VPN(2 要素認証 ) (3) 必要に応じてネットワークのセグメントを別ける (4) 社内イントラとの通信は想定している通信に限定 (5) 工場ネットワークからはインターネットにアクセスしない等ネットワーク境界対策 (FW) 外部ネットワーク VPN 装置社内イントラ FW サーバ PC 端末製造装置その他 FW 工場内セグメント分離対策ホワイトリスト型 SW PC 端末製造装置 PLC 等ネットワーク境界対策 (VPN) 証明書及びユーザ名パスワード認証等セグメント SCADA/HMI/PC 端末製造装置その他 FW FW フィールドネットワークフィールドネットワーク工場内ネッワークフィールドネットワーク

28 5 評価指標ガイドラインの内容 27/41 具体的内容 2 機器共通の管理策ネットワーク機器ネットワーク機器ネットワーク制御機器 FW( ファイアウォール ) 無線 LANアクセスポイント VPN 装置情報機器情報機器共通一般用クライアントPC 生産用クライアントPC 生産用サーバ (CIM MES 等 ) 生産用情報機器 ( カメラスマートフォンタブレット等 ) 持込 PC 電子記憶媒体製造装置製造装置共通 PLC/DCS 等の制御装置 HMI/SCADA 等の表示操作装置カメラその他製造装置その他通信カード SIMカード

5 評価指標ガイドラインの解説書の作成 28/41 ガイドラインの各項毎に実施内容 ( 例

29 5 評価指標ガイドラインの解説書の作成 28/41 ガイドラインの各項毎に実施内容 ( 例 ) を簡単に解説し実施例をす場内 / フィールドネットワークに設置される機器は事業場ネットワーク経由でもインターネットに接続できないようにする場内 / フィールドネットワークに設置される機器の多くは脆弱性が残ったままの状態ですこのような状態は不正なアクセスやウィルス / マルウェアの侵のリスクがいためインターネットへ接続できないようにします実施例 ) 場内ネットワークから事業場ネットワークにあるプロキシサーバへの接続を FW で禁する解説書

30 5 評価指標ガイドラインのチェックリストの作成製造システムセキュリティガイドライン ( 侵入防止編 ) チェックシート最終承認 29/41 承認会社名部署工場名チェック対象日付 : 日付 : 結果 ( 評価点数 ) 必須項目の評価推奨項目の評価点数はいいいえ N/A 点数はいいいえ N/A 代表者 3.1 物理的セキュリティ 0 / 7 0% / ネットワークセキュリティ 0 / 11 0% / 8 0% ネットワークに接続する機器の管理 0 / 3 0% / 2 0% 機器共通の管理策 0 / 2 0% / 2 0% ネットワーク機器 0 / 7 0% / 5 0% 情報機器共通 0 / 34 0% / 7 0% 製造装置 0 / 14 0% / 8 0% その他 0 / 2 0% / 総合得点 0 / 80 0% / 32 0% チェック実施者部署名御氏名各拠点でチェックシートをいてアセスメントを実施未実施項に関して改善計画をてて実施する製造システムセキュリティガイドライン ( 侵入防止編 ) 改善計画書会社名製造システムセキュリティ責任者製造システムセキュリティ担当者作成日改訂日 ( 最終 ) 印 No チェック. シート番号改善が必要な項目改善策対策未完時に想定される脅威影響費用対策完了までの間に実完了影響範囲脅威の具体的内容項目現在の状況内容 ( 記入任施する暫定措置予定日 ( 選択 ) ( 記入任意 ) 意 ) ( ある場合に記入 ) 完了日完了確認実施内容

31 5 評価指標全社への展開 30/41 ツールを準備専務通達で全社針を徹底製造システムにおけるサイバーセキュリティ対策の徹底についてガイドラインチェックシート解説書製造システムセキュリティのコミッティを通じて各カンパニーに実施を要請 (1) 各拠点までの体制構築 (2) チェックリストの実施 (3) 未対策項の実施計画案

32 5 評価指標ガイドライン推進での問題点 31/41 参照したガイドライン等に記載ある般的対策のはずですが実際に場で実施しようとすると様々な問題が現場からの声 FW って何? どこに置くの? 場のネットワーク図がない 2 要素認証? 証明書がいるの? 発管理って誰がどうやるの? ネットワークセグメントを別ける? アプリに組み込んであるので IP アドレス変えれない! 場ではレイアウト変更があるので継続変更管理が変場ネットワークに接続されている機器が把握できていない想定している通信ってどんなの? 製造時の通信内容って知らない情報セキュリティ情報システム屋で常識のコントロールをそのまま場へ適するのは難しい場で実可能な具体的対策になるよういくつかの拠点をモデルに実装運法も含めて検討を継続中

33 製造システムセキュリティの取り組み ( 具体的対策 ) 2 工場で異常を検知出来るしくみの導入

34 5 評価指標 2 工場で異常を検知出来るしくみの導入 33/41 論発表等情報収集製造システムの状況ホワイトリスト型検知ふるまい検知 (IDS/IPS 等 ) 機械学習 etc. JPCERT/CC/CSSC 等の資料各種セミナー講演会ベンダーへのヒアリング製造装置 OS 種類バージョン製造システム仕様製造システム稼働状況個々の設備毎の検知のしくみ導対応は数がかかり無理接続されている機器に依存せず異常検知が出来るようネットワークレベルで取得出来る情報を利ししくみを構築

35 5 評価指標工場調査 ( 物理構成 ) 34/41 物理構成配線機器配置場にて実地調査サーバー製造場多くの装置がネットワークに接続エッジスイッチは管理されていない機器の接続状況が不明フロアスイッチ MES SCADA HMI エッジスイッチエッジスイッチエージングライン実装ラインエッジスイッチエッジスイッチエッジスイッチ検査ライントレーザビリティエッジスイッチ組みてライン場える化機器リスト

36 5 評価指標工場調査 ( 通信 ) 35/41 場の通信パケットを収集 (7 拠点 ) して通信がどうなっているのか調査場での通信状況がえる化異常検知の検討に活中情報システム収集範囲確定イントラネット製造システム SW SW 工場 MES サーバー SW SW SW SW SW SW SW SW SW SW 設備測定器センサカメラ端末収集ネットワーク収集装置パケット分析ソフト (OSS の活用 )

37 5 評価指標異常検知システムの検討 36/41 7 拠点を選定通信パケット取得のしくみ導モデル拠点パケット収集 A( デバイス ) B( 製品組 ) C( 実装 ) D( 製品 ) E( 成形 ) F( システム ) G( デバイス ) ファイルシステム HDD HDD 検討内容ホワイトリスト検知ふるまい検知 ( 機械学習 ) ふるまい検知 ( 市販ツール ) える化 (Nirvana-R 等 ) 検知結果の共有解析レポート

38 製造システムセキュリティの取り組み ( 具体的対策 ) 3 インシデント対応の確立

39 5 評価指標 3 インシデント対応の確立 38/41 異常を検知した際に早急に場を復旧対策できる体制しくみを構築インシデント情報の伝達と意思決定のしくみインシデント情報を分析判断できる材の育成製造システムセキュリティを推進できる材の育成 2017 年度より開始拠点推進材教育プログラムツール訓練カンパニー (4) 事業部 (37) 拠点 ( 約 311) エキスパート材の育成開発要員?(* ) SOC 要員?(* ) 検討中社内育成社外との連携

40 最後に

41 終わりに 40/41 スマート工場化への取り組みが各社で増加している中製造システムへのサイバー攻撃のリスクが見えてきている被害を受けた時の経営へのインパクトは大きいスマート工場で経営効果を得るためには今からスタート産技術者が製造現場の IT 基盤に責任情報システム情報セキュリティとの連携体制サプライチェーン全体での対策連携

42 ご清聴ありがとうございました

ログを活用したActive Directoryに対する攻撃の検知と対策

ログを活用したActive Directoryに対する攻撃の検知と対策電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team