【講演資料】制御システムセキュリティカンファレンス2020 ......•...

1 © NEC Platforms,Ltd 2020

守れサプライチェーン

NECプラットフォームズ株式会社執行役員渡辺裕之


1. 背景2. セキュア生産3. サプライチェーン


渡辺裕之セキュア生産の成熟を目指す会（T-MSMZ）代表NECプラットフォームズ株式会社執行役員

業務経験• 大手キャリアから中小企業まで多種多様なネットワーク基盤の構築を担当• 大規模Exchangeシステム（売上規模 100億円）のアーキテクチャ設計• SDN（Software Defined Networking）事業の立ち上げ･市場拡大に従事

･･･IBM,BROCADE,CISCO等の役員を歴任､OpenSourceCommunity（OpenDayLight）を開始• セキュア生産の普及・啓発

･･･国家安全保障､国際経済の観点から､製造業のあるべき未来を創造し発信･啓発

担当領域新事業創出､セキュリティ､営業出身新潟県（新潟大学）経歴 1982年日本電気株式会社入社

2014年 NECプラットフォームズ株式会社入社

2018年多摩大学ルール形成戦略研究所客員研究員2020年セキュア生産の成熟を目指す会（T-MSMZ）代表


1.背景Back Ground


多様なセキュリティの脅威サイバー空間

フィジカル空間

意図的な脅威偶発的な脅威環境による脅威

マルウェア感染

不正侵入乗っ取り

改ざんすり替え

不法侵入データ破壊地震･水害

NW障害サーバ障害

データ誤送信

鍵の閉め忘れ

PC盗難HDD横領

スマホ紛失情報の置き忘れ

標的型攻撃従業員の裏切り

データ搾取盗み見

設定ミス操作ミス

停電によるシステム停止

回線容量オーバ


原子力発電所へのサイバー攻撃2010年9月、イランの原子力

発電所のコンピュータ約3万台が、産業用システムを標的とする不正プログラムに感染。原子炉が制御不能に陥った。

ブシェール原子力発電所（イラン）

石油パイプラインの爆発事故2008年､石油パイプラインの

監視カメラの脆弱性を突かれ内部に不正侵入された。不正な操作により管内が異常圧力となり、爆発に至った。

BTCパイプライン（トルコ）

【引用】Black Hat USA 2015 WHITE PAPER

• 概要：元契約社員が不正に遠隔操作しポンプを止めて汚水を放出• 被害：汚水が海洋に大量放出され海洋系に多大な被害がでた• 原因：雇用拒否されたことの腹いせに雇用中に知った遠隔操作を悪用した

• 概要：USBメモリ経由で検査装置にウィルスが感染し生産ラインに不具合発生• 被害：検査装置が正しく機能せず不良品が誤って良品と判定されてしまった• 原因：USBメモリの利用が管理されず現場で好き勝手に使われていた

下水処理施設から大量の汚水を放出（オーストラリア）

半導体工場で生産ライン停止（国内）

様々な分野でセキュリティの脅威が顕在化、実被害が発生。実際のセキュリティ事故･事故


データ保護（アクセス制御･暗号化･･･）

当社が注力する『データ保護』に焦点をあて､解説

セキュリティ対策

フィジカルセキュリティ

施設の施錠・関係者の入退場管理

製品のすり替え検知システム

･･･

通信機器の物理的セキュリティ対策

情報（IT）セキュリティ

ネットワークの出入口対策アンチウィルス対策脆弱性管理･パッチ管理

不正メール対策

･･･

電磁波・超音波の対策

セキュリティ対策に完全はない。業種･業態によって重要も異なる。

アセットマネジメント（利用者の管理、貸出管理）


なぜ『データ保護（Data Protection）』が

重要なのか


制御システムに重要データはない？

従来いま• リレー制御• ボタンを押せば動く･止まる• 外部連携なし､クローズドNW

重要なデータはない

• ソフトウェア制御• 自動制御･自律制御• 外部データ（クラウド）連携

重要なデータと連携

制御システムは可用性重視、特に重要な情報は取り扱っていない･･･という誤解。

11 © NEC Platforms,Ltd 2020【引用】独立行政法人情報処理推進機構

データの改ざん

現場のシステム制御に影響

データの改ざんが可用性を損なうリスクデータを改ざんすれば､誤作動やシステム停止を引き起こせないだろうか？AI･機械分析が普及するほど、ヒトが動作の根拠を検証することも困難に。


マーケティング

企業

守るべき重要データ

開発設計

生産会社（組立･検査）

倉庫在庫管理

保守会社

販社商社

小売り業者利用者

ビッグデータの時代、複数のステークホルダーが重要データを共有。

複数のステークホルダーが持つデータを管理するには･･･


電子部品製造

電子部品製造

電子部品製造

ソフト開発ベンダ

生産（組立）

人材電子部品

製造電子部品

製造電子部品

製造

検査品質保証

ロジスティクス

販社小売業者

守るべき重要データ多くの業界において、サプライチェーンはグローバル規模に拡大。世界中のサプライヤと情報共有する時代に。

サプライチェーン全体で管理するには･･･

プログラマプログラマプログラマ

電子部品製造

電子部品製造

電子部品製造

電子部品製造

電子部品製造

電子部品製造


社会の要求


社会要請によるセキュリティモデルの変化

ペリメタモデル境界を守る

ゼロトラストモデル信ずるな､全て確認せよ

世間の目明日には変わる世論の水準

製造者責任拡大（東京地裁の判例）

ハッキングビジネス

世界が狭く（つながる世界の進化）

なんでもCPU化（電話機､自動車･･･）

AI､ビッグデータ

「今まで通りだから問題ありません」は通用しない世の中に。何もしないことが､大きなリスクへ。


侵入を前提とした対策が必要「ゼロトラスト」モデルでは、セキュリティ事故は“起こるもの”という前提で、

対策することが求められます。

自然災害 ≒ セキュリティインシデント

自然災害とセキュリティインシデントの違い• 発生したことが分からない。

→ 検出する仕組みが必要（モニタリング）• 検出時刻から発生時刻まで遡らねばならない。• 検出時刻に出荷済みの製品へも影響するかもしれない。• 悪意を持って繰り返し狙われる可能性がある。

米国 NIST基準､経産省CPSF の方向性


FedRAMP

結局、どうすればいいのか？重要データを一元管理し、そこを徹底的にセキュリティ対策するのがリーズナブル。セキュアなクラウド基盤への移行が現実解？


セキュアクラウドのメリットとデメリット情報のクラウド移行が、全ての組織に画一的に適用できるのだろうか？運用変更による現場の混乱を回避できることはできるのだろうか？

機密性可用性

画一的な管理柔軟性（Flexibility）

セキュア生産

運用変更現場の納得


皆さまの立場に読みかえてお聞きください


2.セキュア生産Secured Manufactuaring


IEC62443 -2 NIST SP800 -171機密性

（Confidentiality）★ ★★★

完全性（Integrity）

★ ★

可用性（Availability）

★★★ ★

IEC 62443 -2制御システムの製造やオペレーションを行う企業が取り組むべき組織マネジメント

NIST SP800 -171重要情報（CUI）を保護するためのセキュリティガイドライン

機密性の保護に関する規程の動向制御システムに対するセキュリティ要求･関心の高まり。政府案件では、機密性に着目したセキュリティ基準の準拠要請も。


【引用】Cybersecurity Framework Version 1.1 (訳) 情報処理推進機構

• 米国の重要インフラは､NIST標準に業界固有の要素を追加した独自のフレームワークを作成

• 2020年､米国企業の約50％がNIST標準に対応の見通し（ガートナー分析）

米国NIST基準～求められるCUIの保護～NIST SP800-171は識別-防御-検知-対応-復旧まで､攻撃･侵入されることが前提の機密性確保に主眼が置かれる。


DFARS 252.204-7012 の要求DFARS 252.204-7012（CDI：Covered Defense Information及びサイバー･インシデント報告書の保護対策）には、以下の要求が示されている。

如何なるサイバー・インシデントも、発見から 72時間以内にDoDに報告すること


CUIとは､生産に必要な設計情報･技術情報などの大切なデータControlled Unclassified Information

CUIを適切に管理することが品質の確保 → 事業継続に大きく影響

CUIへの脅威による製品不良は検査で検出できると限らない

製品品質確保

セキュリティ

検査開発生産

品質管理プロセス

CUI設計情報技術情報

セキュリティ保証

品質保証

改ざん漏洩

CUI管理の特徴


ＳＩ

サプライヤ

セキュリティ便サプライヤ資材ストア

セキュリティ区画

セキュリティ便

• 受入検査（納入元/数量確認･セキュリティチェック）

完成品一時保管

NECプラットフォームズ

• 設計情報の保護（暗号化･アクセス制御）• セキュアなシステム提供

資材ストア


• 物理セキュリティ（入退管理･映像監視）

インシデント対応計画（緊急時の代替生産､生産調整力）≒ BCP対策

お客様

• RFID（トレーサビリティ･改ざん検知）• F/W正規保障（書込確認）• 梱包･封印

• 物流要件の提示（セキュリティ対策指示･監査）

セキュア調達セキュア製造＋セキュアロジ＋

当社が推進する｢セキュア生産｣部品の調達先からロジスティクスまで含むサプライチェーンでCUIを管理。


セキュア調達セキュア製造セキュアロジ

調達基準の明示・認定、監査を実施・守れない場合は取引除外

次にレベルを上げる・管理レベル「低」

↓・管理レベル「高」

ロジスティクス基準設定・管理レベルのメニュー化・他社セキュリティ便

サプライヤーの調査・対応状況をヒアリング・各社と管理レベルを議論

先ずは自分たちで対策・管理レベル「非」

↓・管理レベル「低」

先ずは入口～出口対策・完成品の安全保管・荷物の梱包封印

基本的な考え方調達・製造・ロジスティクスの実態把握後、セキュア生産の管理レベルを底上げ。


勝手に変えるな！

OT（生産部門）

（身構えた）規格はない。自分達で決め､それを守る｡

早く問題をIsolateして早く正常生産に復帰｡

BCPみたいなものね!? だったらできるよ!!（OTの自信）

現場の誇り｡

IT

製造現場との関係


驚くべきことに自発的に動き出してくれた。スタートできた。


管理頻度

自動化

半年毎

1日

粗い

詳細

管理粒度

手動管理

自動管理

役割、職務に応じた権限付与

社員のみにアクセス権付与

1日以内の権限の変更/管理

半年毎に制御の実態調査/管理

付与や管理を自動で実施

付与や管理を手動で実施

まずはブルーレベルまずは、現場に受け入れられる現実的な対策から着手。ブルーレベルならみんなできる。しかし、あるとないとでは大違い。


アセスメント

条件定義現状把握リスク分析対策実施運用

2)CUI定義 3)CUI可視化 4)リスク抽出5)対策実施

6)運用インベントリ

1)シート作成

事前準備

工程B

工程D工程E工程F工程G工程H工程I

工程A

工程C システム組織

2)CUI定義

3)CUI可視化

4)リスク抽出

実現までのアプローチまずはアセスメントによって製造現場のCUIや現状の対応状況を可視化。その後、必要な対策を実施していく。


データ受渡し

開発部門製造技術部門製造部門

メール

サーバサーバ

メディア紙図面

データ受渡し

現物受渡し

製造

製造部門

PKG設計(CAD) 搭載データ/図面作成 SMT､PA､外観検査､X線検査､テンプレート

データ受渡し

開発部門ベンダー

メール

サーバ

設計 ROM/PLD書込み

ROMライター

資材ストア

現物

改ざん

改ざん

改ざん改ざん

すり替えS/W書き込み

データ受渡し

開発部門検査技術部門

メール

サーバサーバ

メディア

データ受渡し

検査テスト仕様設計検査プログラム作成改ざん改ざん

検査部門

パネル検査､装置検査

ID/PS個人認証

受渡し

施錠保管管理ルール整備

作業者管理

構成管理構成管理

ログ管理

チェックサム管理施錠保管

管理ルール整備

暗号化証明書

すり替え防止策

作業者管理検査履歴等

梱包､出荷

装置

すり替え

工程B

工程D工程E工程F工程G工程H工程I

工程A

工程C

数多くの工程､異なる担当者､ヒアリングも難航点在するCUI、工程ごとに組織（担当者）は異なる。CUIのデータ形式･通信方式も様々であり、ヒアリングは難航。


① アセスメントシート具体的な施策レベルまで細分化したアセスメントシートを作成。


② CUIの可視化守るべき資産であるCUIは、どの工程どの場所で保存されているのか。


③ リスク分析と対策の実施CUIのデータフローを可視化し､機密性の観点でリスク分析を実施。


その結果わかったこと


▌ 160項目中､要対策「×」の項目は全体の半分程度

▌ 工場（現場）の方が要対策「×」が多い傾向

▌ 要対策「×」の8割は､ルール対策で解決可能

対策済「〇」61％

要対策「×」39％

情報系（事務）〇：67％ ×：33%

制御系（工場）〇：42％ ×：58%

技術的対策20%

ルール対策80%

8割はマニュアルで

対応可能

対応率アセスメントの結果、対応率は総じて低かった。しかし、管理レベル「０」→「１」の引き上げは、工場の情報管理ルールを策定し運用することで対応可能であることが判明した。


オペレータ端末ログインしっぱなし

この程度に現場猛反発→ 自発的改善の指導を忘れた

半日でタイムアウト半日に1回再ログイン

２割のシステム化（現場の反発）


大きめの工場小さめの工場

センターサーバ

CAD テストデータ実装･検査

ローカルシステム＋

CAD テストデータ実装･検査

ローカルシステム

Center/Local MIX

NIST SP800-171対応の基本はクラウドだけど･･･「BCPの視点」「機密性と可用性のバランス」･･･様々な要素を考慮すると、場合に応じてCUIのローカル管理も必要なのでは？


データ受渡し


メール

サーバサーバ


データ受渡し

現物受渡し

製造

製造部門

PKG設計(CAD) 搭載データ/図面作成 SMT、PA、外観検査、X線検査、テンプレート

データ受渡し

開発部門ベンダー

メール

サーバ

FPGA/FW設計 ROM/PLD書込み

ROMライター

資材ストア

現物

FW/FPGA書き込み

データ受渡し

開発部門検査技術部門

メール

サーバサーバ

メディア

データ受渡し

検査

テスト仕様設計検査プログラム作成

検査部門

パネル検査、装置検査梱包、出荷

装置

ローカルでセキュリティを担保する提案生産現場での作業者の役割を維持しながらオンプレミスでのセキュアなCUI管理システムを実現することが求められる｡

CUIオーディタ CUIオーディタCUIオーディタ

CUIオーディタ

CUIオーディタ CUIオーディタ

CUIオーディタCUIオーディタ

CUIオーディタ

CUI管理システム

認証･鍵管理システム


工場内センターサーバ

データ受渡し


メール

サーバサーバ


データ受渡し

現物受渡し

製造部門


データ受渡し

メール

サーバ

ROM/PLD書込み

ROMライター

資材ストア

現物すり替え

FW/FPGA書き込み

データ受渡し

検査技術部門

メール

サーバサーバ

メディア

データ受渡し

検査

検査プログラム作成

検査部門


装置

すり替え

製造

CUI管理をセンタライズするには個別最適されたシステム改変が必要

データ受渡し


メール

サーバサーバ


データ受渡し

現物受渡し

製造部門


データ受渡し

メール

サーバ

ROM/PLD書込み

ROMライター

資材ストア

現物すり替え

FW/FPGA書き込み

データ受渡し

検査技術部門

メール

サーバサーバ

メディア

データ受渡し

検査


検査部門


装置

すり替え

製造

システム改変をせずにCUI管理NWを形成（ブロックチェーン技術を応用 ※）

CUI CUI

CUI

CUI CUI

CUIのセキュアな管理のために• 現場のNWは分断化されてトラフィック量も個別最適で作られているため既存の

NWの追加設計は10年かかるという現場感覚がある。• CUI管理は差分しかNWで共有しないためアドホックに裏で自動生成するシステム

が最適である。（既存NWはそのままで）• NIST SP800-171の著者であり、NISTの権威である Dr.Ros博士に提案を確認済

CUI CUI

CUI

CUI CUI


ハッシュ値

ナンス

ブロック

CUI正当性確認データ

ハッシュ値

ナンス

ブロック


ハッシュ値

ナンス

ブロック


ブロックチェーンを応用したCUI監視･保証システムブロックチェーン応用技術を用いてCUI正当性確認データとCUI監査プログラムが改ざんされていないことを保証CUIオーディタの持出/持込異常検出可

CUI

CUI CUI CUI

CUI

CUI

CUI

CUI


ブロックチェーンを応用したCUI監視･保証システム

SMTBOXBOX


監視の必要性24時間365日CUIをセキュアに管理するためにはCUI管理プロセスが正しく適切に機能していることが必要。

そのためにCUI管理プロセスを監視

▌ NW監視の必要性NIST SP800-171では不要だが、NIST SP800-53ではSOC監視の必

要性が要件になっているためCUI監視システムにも実装が必要

▌ CUI監視の必要性不正・インシデント・障害があった場合に、・いつだれがアクセスしたか遡及して否認対策とする・いつの時点までがセキュアな環境であったかを照査する(証明書管理）


データ受渡し


メール

サーバサーバ


データ受渡し

現物受渡し

製造部門


データ受渡し

メール

サーバ

ROM/PLD書込み

ROMライター

資材ストア

現物

すり替え

FW/FPGA書き込み

データ受渡し

検査技術部門

メール

サーバサーバ

メディア

データ受渡し

検査


検査部門


装置

すり替え

製造

センサ

センサ

センサ

センサ

センサ

センサ

センサ

センサ

NW監視SW

CUI

CUI

ログログ

ログ

監視対象となるログ(独自フォーマット)

CUIオーディタの全てのイベント•ユーザ•ネットワーク•プロセス•アプリケーション•ファイル

＝agentセンサ

ネットワーク監視NIST SP 800-53に対応可能なNW監視が必要となるため、外部ソフトウェアの導入によって対応予定

CUI

CUI

CUICUI CUI

CUI


3.サプライチェーンSupply Chain


基本的にセキュア製造と同一だが中小も含まれるので

コンパクトなシステム化が望ましい。

• セキュア製造と一緒• コストをかけないでやる方法を共有

セキュア調達する調達先も工場


Ｃ社向けシステムＢ社向けシステム

顧客ごとにシステム化

工場と同様の方式がいい

ピッキングは工場の一部

セキュア製造と一緒

Ａ社向けシステムＡ社

Ｂ社

Ｃ社

標準化･共通化されたシステム

ロジスティクスにもセキュリティを要求最近のロジスティクスは、旧来の運送業でなく製造業の位置づけ倉庫管理、ピッキング、トラック輸送･･･バリューチェーンの一部


ＳＩ

サプライヤ

セキュリティ便サプライヤ資材ストア

セキュリティ区画


•受入検査（納入元/数量確認･セキュリティチェック）

完成品一時保管

NECプラットフォームズ

• 設計情報の保護（暗号化･アクセス制御）• セキュアなシステム提供

資材ストア


• 物理セキュリティ（入退管理･映像監視）

インシデント対応計画（緊急時の代替生産､生産調整力）≒ BCP対策

お客様

• RFID（トレーサビリティ･改ざん検知）• F/W正規保障（書込確認）• 梱包･封印

• 物流要件の提示（セキュリティ対策指示･監査）

全体を､どうマネジメントするか？


Define Scope Program Guide Supplier Onboarding letter

Supplier security questionnaires

Supplier Security Agreement

Security Assessment

Trusted Supplier List

On site Supplier Audit

3rd party program Attestation

Supply Chain Management Program

マニュアル（監査）に多大な時間を要する

米国の現実それぞれ管理されたレベルになったとしても､サプライチェーンの管理は､まだまだマニュアルで行われている。

• データ管理のプロセスを管理しているのではなく、制限された部品の要件をマニュアルに管理しているレベル

• システム化されていない

• CMMC（Cybersecurity Mature Model Certification）でも深まってはいない。


独自の認証システムセキュリティ監視 Cloud/Local MIX

工場内のセキュア生産を担保する基盤工場内のセキュア生産を担保する基盤

工場内のセキュア生産を担保する基盤工場内のセキュア生産を担保する基盤

正しいセキュア生産基盤でないと動かない仕組み

サプライチェーンパートナーが正しいセキュア基盤で作ったものであることを証明

機密性を担保するシステム構成セキュリティ上懸念がある工場は、一時的に認証を無効として切り離す。クラウドと同等のセキュリティを担保

工場内のセキュア生産を担保する基盤工場内のセキュア生産を担保する基盤工場内のセキュア生産を担保する基盤

CUIオーディタ CUIオーディタCUIオーディタ

CUIオーディタ

CUIオーディタ CUIオーディタ

CUIオーディタCUIオーディタ

CUIオーディタ

CUI管理システム

認証･鍵管理システム

証明書

データはローカルに閉じることができる。

クラウドからの監視は､正しいCUI管理ができているかのみ。疎な結合たくさんの工場


NEC Platforms, Ltd.

【講演資料】制御システムセキュリティカンファレンス2020 ......•...

Documents