JPCERT Coordination Center 電子署名者 : JPCERT Coordination Center DN : c=jp, st=tokyo, l=chuo-ku, o=japan Computer Emergency Response Team Coordination Center, cn=jpcert Coordination Center, email=office@jpcert.or.jp 日付 : 2019.03.25 12:00:35 +09'00' 制御システムセキュリティカンファレンス 2019 鉄道分野における制御システム セキュリティ対策の検討 2019年2 15 独 政法 情報処理推進機構 IPA 産業サイバーセキュリティセンター ICSCoE 中核 材育成プログラム受講 別所 佑樹
次 1. ICSCoEの概要と中核 材育成プログラム 2. 鉄道分野におけるサイバーセキュリティ 3. 鉄道分野の制御システムに対する代表的なサイバー攻撃の侵 経路 4. 脅威分析と対策の検討 5. 優先的に実施すべき対策の検討 6. まとめ 2
1.ICSCoE の概要と中核 材育成プログラム 3
産業サイバーセキュリティセンター Industrial Cyber Security Center of Excellence(ICSCoE) 海外ではサイバー攻撃により重要インフラ 社会基盤の安全が脅かされる事案が発 我が国の経済 社会を える重要インフラや産業基盤のサイバー攻撃に対する防御 を抜本的に強化する必要性 2017 年 4 1 発 事業内容 材育成事業 実際の制御システムの安全性 信頼性検証事業 攻撃情報の調査 分析事業 IPA の資料を参考に記載 4
中核 材育成プログラム 中核 材育成プログラム 将来 企業などの経営層と現場担当者を繋ぐ 中核 材 を担う を対象としたプログラム テクノロジー (OT IT) マネジメント ビジネス分野を総合的に学ぶ 1 年間のトレーニング ガス 電 油 化学 2017 年 7 第 1 期開講 鉄鋼 保険ベンダー 産業ベンダー 鉄道 放送 通信 動 動 部品 建設 ビル 参加者数 : 第 1 期 76 名 第 2 期 83 名 7 8 9 10 11 12 1 2 3 4 5 6 プライマリー ( レベル合わせ ) ベーシック ( 基礎演習 ) アドバンス ( 上級演習 ) 卒業プロジェクト ビジネスマネジメント国際標準 倫理 コンプライアンス IPA の資料を参考に記載 5
2. 鉄道分野におけるサイバーセキュリティ 6
鉄道分野におけるサイバー攻撃事例 1 ウクライナにおけるサイバー攻撃 2015 年 12 BlackEnergy 及び KillDisk を いたサイバー攻撃により ウクライナの電 発電所 2 ヶ所で稼働停 が発 鉱業会社に対する攻撃において BlackEnergy や KillDisk 関連の検体が確認された 鉄道会社に対する攻撃においても KillDisk 関連の検体が確認された 出典 : KillDisk and BlackEnergy Are Not Just Energy Sector Threats. TREND MICRO SECURITY INTELIGENCE Blog. https://blog.trendmicro.com/trendlabs security intelligence/killdisk and blackenergy are not just energy sector threats/, (2018 10 1). 7
鉄道分野におけるサイバー攻撃事例 2 デンマーク国鉄 (DSB) への DDoS 攻撃 2018 年 5 10 デンマーク国鉄 (DSB) が 規模 DDoS 攻撃を受けた アプリ 券売機 ウェブサイト経由 セブンイレブン店舗でも切符を購 できない状態が続いた 社内メールや電話システムも影響を受けた 出典 : Cyber attack hits Danish rail network. The Local. https://www.thelocal.dk/20180514/cyber attack hits danish rail network, (2018 5 14). 8
鉄道分野における制御システム 列 運 管理システム 列 の運 を集中して 動制御するシステム 列 集中制御装置(CTC) 動進路制御装置(PRC) などから構成される 出典 : NISC 重要インフラの情報セキュリティ対策に係る第 4 次 動計画の概要 (https://www.nisc.go.jp/active/infra/pdf/infra_rt4_abst.pdf) 電 管理システム 両等に電 を供給するため 変電所を監視制御するシステム 座席予約システム 座席指定券の予約 発券等を うシステム 様々なシステムの安定稼働により安全 安定輸送を確保 事業者によって システムの構成や備える機能は様々 9
国際標準 業界標準 汎 制御システム 電 油 化学プラント 鉄道システム 組織 システム IEC 62443 SSA NIST SP800-82 IAEA 核セキュリティ勧告 Rev.05 NERC CIP NIST IR 7628 WIB ISO/IEC 62278 (RAMS) ISO/IEC 62280 装置 デバイス ISCI EDSA IEEE 1686 技術 ( 暗号など ) ISO/IEC 29192 IEC 61850 IEC 62351 IEC 62279 参考 国内ガイドライン 電 制御システムセキュリティガイドライン JESC スマートメータシステムセキュリティガイドライン JESC 油分野における情報セキュリテイ確保に係る安全ガイドライン 油連盟 油化学分野における情報セキュリテイ確保に係る安全基準 油化学 業協会 鉄道分野における情報セキュリテイ確保に係る安全ガイドライン 国 交通省 出典 : 制御システムにおけるセキュリティマネジメントの構築に向けて IEC62443 2 1 の活 のアプローチ ( 情報処理推進機構 ) を基に作成 https://www.ipa.go.jp/files/000014265.pdf 国際標準業界標準 ( 規格 ) 10
鉄道分野における標準化の動向 IEC 国際電気標準会議 (International Electrotechnical Commission) 総会 (Council) 評議会 / 執 委員会 標準管理評議会 (Standardization Management Board) 専 委員会 (Technical Comitees) TC1... TC9 ( 鉄道 電気設備とシステム ) TC124... アドホックグループ (AHG) AHG9... AHG20... AHG25 ドラフト提 ( 予定 ) 欧州電気標準化委員会 CENELEC 作業グループ (WG) 4 プロジェクトチーム (PT) 9 2019 年 1 24 時点 11
国内の指針 ガイドライン等 重要インフラ 14 分野 法律 サイバーセキュリティ基本法 戦略 サイバーセキュリティ戦略 ( 平成 28 年 4 22 公布 平成 28 年 10 21 施 ) ( 平成 30 年 7 27 閣議決定 ) 動計画 重要インフラの情報セキュリティ対策に係る第 4 次 動計画 先導的取組の推進 オリパラ 会も 据えた情報共有体制の強化 リスクマネジメントを踏まえた対処態勢整備の推進 平成 29 年 4 18 サイバーセキュリティ戦略本部決定平成 30 年 7 25 サイバーセキュリティ戦略本部改定 安全基準等の策定情報共有体制の強化障害対応体制の強化 リスクマネジメント及び対処態勢の整備 防護基盤の強化 指針 重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針 ( 平成 30 年 4 4 サイバーセキュリティ戦略本部 ) 鉄道分野 ガイドライン 鉄道分野における情報セキュリティ確保に係る安全ガイドライン ( 平成 28 年 4 1 国 交通省改定 ) 12
鉄道分野における情報セキュリティ確保に係る安全ガイドライン 各事業者が 重要インフラの担い としての意識に基づいて 主的な取り組みにおける努 や検証をするための 標を定めるもの 鉄道分野における情報セキュリティ対策の現状と課題を踏まえ 事業特性に応じた対策項 を推奨基準としてまとめたもの意図的な原因 IT 障害偶発的な原因ユーザーの操作ミス 機器等の故障 システムの脆弱性 不審メール等の受信 DoS 攻撃等の 量アクセス 内部不正 等 等 << 情報セキュリティ対策 >> PLAN ( 準備 ) DO ( 実働 ) CHECK ( 確認 ) 環境的な原因 災害 疾病 等 情報セキュリティ基本 針の策定 計画の策定 内規の制定 体制の整備 情報セキュリティ要件の明確化 情報セキュリティ要件に応じた実装や運 セキュリティ対策の運 状況の把握 予兆の把握 異状の検知 教育/ 訓練の実施 障害の早期復旧 対策状況の対外説明 リスク評価の実施 監査の実施 ACTION ( 是正 ) リスク評価や監査結果に基づく是正処置の実施 13
制御システムと情報システムの違い カテゴリ制御システム (OT) 情報システム (IT) 可 性 (A) 必要性 24 時間 365 稼働など 必要性中休 や遅れが許容される場合あり 完全性 (I) 必要性 必要性中 機密性 (C) 必要性低 中必要性 リアルタイム性 必要性 遅れが許容されない場合が多い 必要性 中 遅れが許容される場合あり システム利 期間 10 20 年 3 5 年 プロトコルの種類限定的 常に多い パッチ適 容易に適 不可定期的に適 ウイルス対策 般的ではない 般的 情報システムのセキュリティ対策を制御システムへ容易に適 することは困難 各システムに応じたセキュリティ対策の検討が必要 14
3. 鉄道分野の制御システムに対する代表的なサイバー攻撃の侵 経路 15
般的な列 運 管理システムの構成例 IT システム 情報系 NW 情報系システム 情報系 PC FW 外部 NW OT システム FW 制御情報系 NW 制御系 NW 制御端末 システム監視端末 PRC 装置 CTC 中央装置 ルータリモートメンテナンス回線 CTC 駅装置 CTC 駅装置 保守 持ち込み PC 16
代表的な侵 経路 外部 NW からの侵 IT システム 情報系 NW 情報系システム 情報系 PC FW 外部 NW OT システム 制御情報系 NW 内部犯 制御系 NW 制御端末 外部記憶媒体等からの侵 システム監視端末 PRC 装置 CTC 中央装置 FW ルータリモートメンテナンス回線リモート回線からの侵 開発段階での不正プログラム埋め込み CTC 駅装置 CTC 駅装置 保守 持ち込み PC 保守 持ち込み PC からの侵 17
侵 後の脅威例 IT システム 情報系 NW 情報系システム 情報系 PC FW 外部 NW OT システム 横展開制御情報系 NW 制御系 NW 制御端末 マルウェアによるシステム停 システム監視端末 PRC 装置 CTC 中央装置 FW ルータリモートメンテナンス回線 プログラム改ざん CTC 駅装置システム故障 システム停 等が引き起こされ 安全 安定輸送が阻害される恐れ 不正操作 CTC 駅装置 保守 持ち込み PC 不正コマンド送信 18
4. 脅威分析と対策の検討 19
Attack Tree Analysis システムのセキュリティを分析する脅威分析 法の 1 つ [1] システムに対する攻撃を 構造でより詳細な 段へと分解 その攻撃の組み合わせや実現可能性など様々な切り で攻撃の特性を分析することが可能 各ノードは AND ノードと OR ノードからなり AND ノードはその攻撃を実現するための異なるステップを表す 庫を開ける ピッキング ダイヤルの組合せを知る 切って開く 不適切な設置 ダイヤルの組合せのメモを つける ターゲットからダイヤルの組合せを得る 脅迫詐欺メール盗聴賄賂 会話から聞き取る and ターゲットにダイヤルの組合せを わせる [1] B.Schneier, Attack trees: modeling security threats, Dr. Dobbʼs Journal December 1999. 20
侵 経路ごとの脅威分析の例 投影のみ 投影のみとさせていただきます 21
侵 経路ごとの攻撃 段と対策例 投影のみ 投影のみとさせていただきます 22
侵 後の脅威と対策例 投影のみ 投影のみとさせていただきます 23
5. 優先的に実施すべき対策の検討 24
優先順位の選定基準 1 攻撃の実現可能性攻撃 段のうち 較的実現可能性が い攻撃への対策を優先する 2 対策に要する期間世界が 本に注 する 規模イベントを 据え 較的短期に実施できる対策を優先する 3 対策に要するコスト運 改善や設定の 直し等 対策コストが 較的低い対策を優先する 25
優先的に実施すべき対策例 セキュリティの現状確認 リスクアセスメントやセキュリティ診断 機器の設定や運 の 直し セキュリティ管理体制の強化 NW 構成管理や脆弱性情報管理 物理セキュリティ対策 退室管理の徹底 ポート閉塞 社員に対するセキュリティ教育 外部記憶媒体等の取扱いやソーシャルエンジニアリングの危険性等 外部委託における対策 保守 持込 PC の管理状況やログ監査 複数 作業の徹底 26
6. まとめ 27
まとめ 鉄道分野におけるサイバーセキュリティ 鉄道分野もサイバー攻撃の標的になると認識する 鉄道分野の制御システムセキュリティにも標準化の動き 鉄道分野の制御システム システムにより構成や備える機能などは様々 各システムごとにセキュリティ対策の検討が必要 今回はその 例として 列 運 管理システムの 般的な構成例を基に 脅威分析 対策の検討について紹介 各システムに応じた対策の検討と継続的な改善により安全で安定した輸送サービスを提供する 28