分野間連携システムにおけるiot高信頼化の実証実験 - ipa©ipa booth presentation...
TRANSCRIPT
Booth Presentation©IPA
独立行政法人情報処理推進機構(IPA)
技術本部ソフトウェア高信頼化センター(SEC)
丸山 秀史
分野間連携システムにおけるIoT高信頼化の実証実験~異分野の監視情報を連携した異常検知の高度化~
2Booth Presentation©IPA
本日の内容
• 背景と目的
• 想定システム
• 体制と役割
• 実証実験の内容
• [実証実験1] 異常検知の能力向上
• [実証実験2] 異なるシステムによる制御の競合の検知
• おわりに
3Booth Presentation©IPA
背景と目的 様々な分野のシステムやものがつながることによる懸念
発生した異常の影響は?どこまで波及するのか?
相手の信頼性レベルは?相手の脆弱性の影響は?
システム間の指示の矛盾は起きない?
4Booth Presentation©IPA
背景と目的 分野間連携における高信頼化機能の有効性の確認
(1)連携する相手側の機器やシステムへの異常の波及、異常の影響
(2)1つの機器への2つの系からの制御指示の矛盾(競合)による異常の発生
(3)信頼性を確認できていない機器の接続による異常の発生
(1)異常の波及を防止するための異常の早期検知
(2)指示の矛盾検出と指示間の影響防止
(3)機器・制御プログラム間の信頼性確認
以下の対策機能の有効性を確認
(1) ⇒[実証実験1] 異常検知の能力向上(2) ⇒[実証実験2] 異なるシステムによる制御の競合
の検知(3) ⇒[実証実験3] 接続時の相互認証
つながる世界の開発指針異常を検知できる設計異常を検知したときの適切な対処つながる相手や状況に応じてつなぎ方を判断
「つながる世界の開発指針」の実践に向けた手引き
IoT高信頼化機能
分野間連携環境における課題
5Booth Presentation©IPA
背景と目的 開発指針 並びに 実践に向けた手引きとの関係
「つながる世界の開発指針」の対応する指針 「『つながる世界の開発指針』の実践に向けた手引き」の対応する高信頼化機能
予防 異常の予兆を把握できる
検知 異常発生を監視・通知できる
開始 サービスを利用する時に許可されていることを確認できる
指針9 IoTコンポーネントの異常を検知できる設計を検討する
指針11 不特定の相手とつなげられても安全安心を確保できる設計をする
6Booth Presentation©IPA
想定システム スマート工場における制御系システム
産業ロボットシステムとエネルギーマネジメントシステムを連携したスマート工場を想定
生産監視システム監視カメラ
エネルギー機器コントローラ
単軸ロボット
六軸ロボット
NC装置(工作機械)
産業ロボット制御PC
監視制御PC
異常監視・システム操作
システム操作
電力情報監視
生産稼働情報監視
照明
産業ロボットシステム
生産稼働情報
空調
温度センサー
電力メーター
一元管理
エネルギーマネジメントシステム
電力情報
・ ある調査では、制御系に関わる脆弱性情報の報告件数において、1位が エネルギー分野、2位が製造分野
・ 中小企業の工場では老朽化した産業ロボット・機器が使われているケースが多く、故障等の異常が売上に直接影響を及ぼす
⇒ スマート工場では、セキュリティ異常の考慮が重要⇒ 連携してるシステムへの異常の波及を防ぐために、異常の早期検知が重要
NCCIC/ICS-CERT,FY2015 Annual Vulnerability Coordination Report よりNCCID : National Cybersecurity and Communications Integration Center
7Booth Presentation©IPA
◆ 高度な技術をもったマルウェア/ツールの拡散
◆ 既存製品への攻撃の実証
マルウェアの実行形式ファイル 例 Stuxnet
Decompiler例 Hex-Rays(フリーソフト)
プログラマ-に簡潔でなじみやすい言語の形で拡散
特定PLCを標的とした情報収集ツールが無償公開 特定のPLCを標的とした不審な通信が増加
高度な技術をもつマルウェアを簡単に生成可能
ある研究機関で、既存製品(ロボット)の指示データを意図した値で改竄することに成功し、情報を公開
機器の異常動作、なりすまし
想定システム 制御系システムをターゲットとしたセキュリティ脅威の増大
*2)
*1) インターネット上で公開 (2010~)
*2) 出典 : 警察庁 (2015/10) https://www.npa.go.jp/cyberpolice/detect/pdf/20151014.pdf
*1)
参考) IPA/SECでは、2015年度の実証
実験で産業ロボットの指示データ
を改竄する攻撃を想定し、異常
検知と対応策の実験結果を報告
8Booth Presentation©IPA
◆ ウィルスがシステム全体に増殖
◆ マルウェアにより重要設備を不正操作
◆ ウィルスにより品質検査装置が正常に動作せず
自動車工場でZotobウィルスが制御システムに侵入
ウィルスがプラント全体に増殖
標的型メールに添付されたマルウェアが製鉄会社のオフィスネットワークに侵入
溶鉱炉を正常に停止できず、生産設備が損傷。
組み立てライン作業中断、操業停止。およそ1,400万ドルの被害。
国内大手半導体メーカーの半導体工場で、最終工程の品質検査装置にウィルスが感染
不良品をそのまま出荷。リコール発生。
想定システム 実際の制御系システムで発生したインシデント
マルウェアが製鉄所の制御システムに侵入制御システムを不正操作
品質検査装置の負荷があがり、不良品を判定できず
出典 : IPA/ISEC https://www.ipa.go.jp/files/000044733.pdf (2005/08)
出典 : Die Lage der IT-Sicherheit in Deutschland 2014(2014年版サイバー犯罪白書)
BSI ドイツ連邦情報セキュリティ庁(2014)
工場でのウィルス感染経路・ 工場に接続された情報システム経由
・ 工場内システムに持ち込まれたPC/USBメモリ
9Booth Presentation©IPA
団体名 役割
IPA実証実験の仕様決定、実証実験用プログラムの開発、
実証実験の実施、評価と報告書作成
ORiN協議会*1)産業ロボットのシミュレーションソフトの提供、実験内容
の検討
エコーネット
コンソーシアム
エネルギーマネジメントシステム仕様(ECHONET Lite
規格 *2))の技術提供、実験内容の検討
神奈川工科大学
(HEMS 認証支援センター)
エネルギーマネジメント用IoT機器接続ソフト(SDK)の提供
と開発技術提供、実験内容の検討
*1) http://www.orin.jp/ORiNは、ORiN協議会により制定された工場ITシステムのための標準ミドルウェア仕様の総称
*2) http://www.echonet.gr.jp/ECHONET Liteとは、家電機器、スマートメーター、太陽光発電システムなどを含む約80種類以上の機器の制御を規定した通信規格。
体制と役割
10Booth Presentation©IPA
実証実験の内容
[実証実験1] 異常検知の能力向上・ 生産稼働情報(産業ロボットの動作情報)の単一の監視、並びに、電力情報の単一の監視では、監視数値の変化が正常な増減か、異常の発生/兆候を示すのか、の区別が困難
生産稼働情報と電力情報の相関性を表す情報の変化から異常を検知1加工サイクルあたりの電力量は正常時は常に一定 ➡ 1加工サイクルあたりの電力量の変化を監視
[実証実験2] 異なるシステムによる制御の競合の検知・ 産業ロボットシステムから空調へ出す指示とエネルギーマネジメントシステムから空調へ出す指示とが互いに打ち消し合うケース(制御の競合)が存在
a. 産業ロボットシステムは適切な温度維持を目的として空調にパワーオンを指示b. エネルギーマネジメントシステムは電力量の上限値を守るために空調にパワーオフを指示
温度が高く、かつ電力量が上限に近い状況では、aとbの両方が発生し続ける
空調が受け付けた指示を監視し、互いに打ち消し合うケース(パワーオンとパワーオフ)が継続して発生した場合は異常発生として通知し、運用者が優先する指示を実行
[実証実験3] 相互接続時の信用度確認 (エコーネットコンソーシアムが実施)・ 信頼性が低い機器の接続が、他の機器やシステムに悪影響を及ぼす可能性がある
各機器並びにコントローラが、機器認証機能を実装し、信頼性の低い機器の接続を制限可能とする
本プレゼンテーションでは、実証実験1と実証実験2について紹介
11Booth Presentation©IPA
実証実験の内容 産業ロボットシステムの1加工サイクル
産業ロボット(単軸)
NC装置
産業ロボット・機器制御PC
① 前工程からの製造物の移動 ② 製造物をNCの正確な位置に設置
③ 製造物を加工
④ 加工した製造物を単軸ロボットへ移動⑤ 製造物を次工程の場所へ移動
産業用ロボット(6軸)
個々の製造物毎に、同一の移動・加工のプロセスをサイクリックに実施
1加工サイクル③
②①
④⑤
12Booth Presentation©IPA
[実証実験1] 異常検知の能力向上
生産監視システムで以下の機能を実装・生産稼働情報と電力情報から1加工サイクルあたりの電力量を算出・正常時の1加工サイクルあたりの電力量を正解値として記録・1加工サイクルあたりの電力量を随時算出して正解値と比較し、許容範囲外の場合は異常としてログとパトライトで通知
13Booth Presentation©IPA
[実証実験1] 産業ロボット、機器の動作速度が異常
1加工サイクルあたりの
時間が許容範囲(基準
値の+-10%以内)には
いっているかチェック生産稼働情報
生産稼働情報
測定時の1加工サイクルあたりの時間が正常時よりも短い(産業ロボット・機器の動作が正常時より速い)
正常時の1加工サイクルあたりの時間
異常発生の原因・ 悪意のある第三者による攻撃
制御プログラムや指示データの改竄 等
異常発生による影響・ 動作が速い場合 ⇒ 製造物や機器の破損 等・ 動作が遅い場合 ⇒ 製造遅延 等
14Booth Presentation©IPA
[実証実験1] 産業ロボット、機器の動作速度が異常(ビデオ)
15Booth Presentation©IPA
[実証実験1] 1加工サイクルあたりの電力量が異常
1加工サイクル
電力
時間
時間
電力
正常時
電力量が大きい場合
1加工サイクルの電力量
が許容範囲内(基準値
の+-15%以内)にはいっ
ているかチェック
異常発生の原因・ 内包不良や劣化・老朽化、漏電 等・ 制御プログラムや指示データの改竄
異常発生による影響・ 過電流や漏電による機器破損、火災 等・ 不良品の製造、それによるリコール発生
16Booth Presentation©IPA
[実証実験1] 1加工サイクルあたりの電力量が異常(ビデオ)
17Booth Presentation©IPA
[実証実験1] 動作異常を気付かせないための監視情報の改竄
測定時の1加工サイクル
生産稼働情報
生産稼働情報
正常時の1加工サイクル
正常時
ロボットや機器の動作速度が速い
正常時の1加工サイクル
生産稼働情報を改竄
1加工サイクル当たりの電力量が許容範囲内(基準値の+-15%)にはいっているかチェック
異常発生の原因・ 悪意のある第三者による攻撃
産業ロボットの制御プログラムを改竄 かつそれを気づかせないために生産稼働情報を改竄
異常発生による影響・ 製造物や機器の破損や製造遅延 等
18Booth Presentation©IPA
[実証実験2] 異なるシステムによる制御の競合の検知
空調と生産監視システムで以下の機能を実装・空調では、互いを打ち消し合う指示(電源ON/OFF)が交互に実行され、それが5分以内に4回以上続いたとき、制御の競合を示す異常ログを記録。・生産監視システムでは、空調に対して1秒毎に異常ログを問い合わせ、制御の競合を示すログが返却されてきた場合、コンソールログを出力し、パトライト(黄色)を点灯。更に制御の競合が継続したときは、コンソールログを出力し、パトライト(赤)を点灯。なお、制御の競合が続いたときは、産業ロボットシステムに対して停止指示を出す。(実証実験では、電力量制限を優先)
19Booth Presentation©IPA
[実証実験2] 空調への制御指示の競合の検知(ビデオ)
20Booth Presentation©IPA
おわりに 実証実験で示した対策の応用と課題
(1) 異常検知の能力の向上
・ 複数の監視情報の相関値の変化により、機器の異常を早期に検知
老朽化した機器の多い中小企業にとって機器の異常の予知/早期検知は重要。
機械学習により複数の情報の相関性を見つけ異常を検出する方式への応用が可能。
・ 機器の異常を検知させないための監視情報を改竄する攻撃に対しても異常検知が可能
複数の情報の相関性を見つけ状態を監視する方式は、高度な攻撃へも有効性を期待できる。
(2) 異なるシステムによる制御の競合の検知制御の競合を発生させないシステム設計が望ましいが、以下のケースでは考慮漏れ発生の可能性大
多くの分野の機器・システムが接続するケース
各機器・システムの接続が時間的に独立しているケース
上記のようなケースで、制御の競合が発生してしまったときに備えてそれを検知する対策も必要。
(3) 相互接続時の信用度確認
今回は1つの分野のシステム内での機器やシステム間の認証機能の実装例を示した。
異なる分野の機器やシステムの間での認証では、分野にまたがった課題解決が必要。
引き続き課題への対策技術の動向に注目していく。
21Booth Presentation©IPA
ご清聴ありがとうございました。