© 2018 Toshiba Digital Solutions Corporation

東芝デジタルソリューションズ株式会社

2020.03

制御システムセキュリティ対策の勘所～ネットワークゾーンニングで

セキュアに制御システムのデータを活用～

1© 2018 Toshiba Digital Solutions Corporation

制御システムを取り巻く環境変化

汎用OS、TCP/IPプロトコル採用や外部ネットワークへ接続するなど、制御システムの環境が変化する一方で、セキュリティ対策は旧来のままです

しかしながら旧来のままのセキュリティ対策・・・クローズド環境を前提としており、ネットワークおよびエンドポイントのセキュリティ対策は実施できてない可用性優先で(システムを停止することが出来ず)セキュリティパッチを適用できない防止策だけでなく検知策も無いため、サイバー攻撃の被害を受けているかわからない

クローズドから外部接続へIoTによる業務系接続増加

操業データ活用/提示

制御システムの汎用化・IT化Win/Linuxの汎用OS採用

TCP/IPプロトコル採用

標準化/規制化状況認証制度(CSMS/EDSA)

標準化/ガイドライン整備

制御システム(ICS)

制御システムが攻撃対象に制御関連セキュリティ事故増大

制御機器脆弱性発見数増大

2© 2018 Toshiba Digital Solutions Corporation

制御システムへのセキュリティ脅威

制御システムのオープン化や汎用化・IT化に伴い、セキュリティ脅威による被害リスクが高まる傾向にあります

業務ネットワーク

制御ネットワーク

制御ネットワーク（フィールド）

ウイルス感染USB/リムーバブルメディア経由での感染

不正プログラムの実行

脆弱性を突いた攻撃制御機器のバッファオーバーフロー

リモートからの侵入/操作

業務ＮＷからの侵入ACKパケットでの攻撃(Drive By Download)

ファイアウォール突破

不正ＰＣ接続許可されていない接続

ウイルス感染した保守要員の勝手なPC接続

制御ネットワークの不正アクセスポートスキャン等の探査行為

パスワード推測攻撃/不正侵入

隠れたバイパス接続外部への隠れた接続（ベンダ保守回線など）

不正な無線LANアクセスポイント・３G・LTEルータ

3© 2018 Toshiba Digital Solutions Corporation

制御システムのセキュリティ事例：不正アクセスによる直接攻撃

下水施設（オーストラリア 2000年）

サイバー攻撃により下水が漏出し、環境汚染が発生

辞職した会社から盗み出した無線装置から下水制御コマンドを送信

80万リットルの未処理の下水が公園、河川、ホテルなどへ漏出

製鉄（ドイツ 2014年）

サイバー攻撃により生産設備が破壊される事態に

攻撃者は標的型攻撃により製鉄所システムの認証情報を不正入手

溶鉱炉を制御するシステムにアクセスし操業を妨害、溶鉱炉が爆発する被害が発生

石油化学（トルコ 2008年）

不正アクセスにより石油パイプラインが爆発

パイプラインに設置された監視カメラの脆弱性を悪用してシステム侵入

警報装置システムを停止して、制御システムにアクセスし圧力を高めパイプラインを爆発

4© 2018 Toshiba Digital Solutions Corporation

制御システムのセキュリティ事例：制御システムのマルウェア感染

自動車製造（米国 2005年）

ワーム感染により13箇所の工場で操業停止

自動車製造業で外部から持ち込まれたノートPCからワーム感染が発生

13箇所の工場にワーム感染が蔓延し各工場の製造ラインが停止

自動車製造（日本 2017年6月）

ランサムウェア感染により工場で操業停止

生産ラインの管理などに使うPCがランサムウェアWannaCryに感染

その他、病院、鉄道、消防、工場、水道など重要インフラで被害多数

原子力発電所（ドイツ 2016年4月）

核燃料棒移動関連システムやPC,USBメモリにマルウエアが発見

外部インターネットに接続されてなく、従業員や外注のUSBメモリや保守端末で侵入を報告

幸い、核反応プロセスはアナログ制御で隔離されており、重大なシステムへの被害は確認されず

5© 2018 Toshiba Digital Solutions Corporation

制御システムのセキュリティ対策

制御システムの可用性を重視した、さまざまなソリューションで多層に防御本資料では、サイバー攻撃防御の効果が高いネットワーク対策(ゾーニング)をご紹介

アセット管理・検疫ネットワークネットワーク内の機器を把握

不正な端末の接続を検知/排除

侵入検知システム制御システムプロトコルに対応したIDS

リムーバブルメディア対策USBメモリなどの利用制御

マルウェア対策

脆弱性管理ネットワークデータより情報を収集・分析

接続された機器の脆弱性を把握

業務ネットワーク

制御ネットワーク

制御ネットワーク（フィールド）

データダイオード

IDS/SIEM

脆弱性管理

ホワイトリスト

検疫ネットワーク

ホワイトリスト許可したファイル以外の不正プログラムの実行禁止

データダイオード物理的な一方向通信による防御

セキュリティアセスメントCSMS(IEC62443-2-1)の適合度評価

EDSA(IEC62443-4)の適合度評価

SIEMセキュリティログの収集/分析による早期異常検知

6© 2018 Toshiba Digital Solutions Corporation

ネットワークゾーニングとは

セキュリティ管理のためにセキュリティレベルの異なるネットワークを分離して通信を制限すること

ネットワーク分離

ネットワーク通信制限

• 異なるセキュリティポリシー

• 異なる管理者、管理運用方法

• 異なるセキュリティ対策レベル

など

• 取り扱う情報システムの重要度の違い

• 管理する情報の機密度合の違い

• ネットワークの違い（公開/有線/無線）

• アクセス可能な利用者の違い

7© 2018 Toshiba Digital Solutions Corporation

制御システムにおけるネットワークゾーニングの必要性

制御システムへのサイバー攻撃は人命・環境への影響につながる危険性があるため、制御システムをセキュアゾーンとして管理

一方で、国・行政機関への報告などでの外部ネットワーク接続や、オフィスゾーンでの制御システムのデータ活用の必要性は高まっている

これらの両立にネットワークゾーンニングが有効

セキュアゾーン（制御システム）

制御システムの保護

オフィスゾーン インターネット

制御システムへの攻撃が事故となる

8© 2018 Toshiba Digital Solutions Corporation

ネットワークゾーニングの実現方法

一方向通信によるネットワークゾーニングにより、セキュリティ強度、データ活用両者の要件を満たすことが可能です。

種別 セキュリティ強度

データ活用 概要 特徴

物理分割

○ ✕ 物理的隔離（電気的な接続が無い）エアギャップ（空気の隙間）がある

セキュリティは確保できるが、データのリアルタイム活用や状態見える化はできない

論理分割

△ ○ 物理的な「接続」を行った上で、ファイアウォール等でTCP/IPの論理的な通信制御を行う

データの活用を行うために通常用いられる手段だが、重要インフラへのセキュリティとしてはやや劣る

一方向通信

○ ○物理的隔離の上で、一方向にだけ光通信によるデータ伝送経路を持たせる

Waterfall一方向セキュリティゲートウェイにより実現が可能

AirGap

一方向通信のみ

TCP/IP等の双方向通信

9© 2018 Toshiba Digital Solutions Corporation

ファイアウォールによる論理的な一方向通信制御（高セキュリティゾーン → 低セキュリティゾーン）では、Ackパケット（低セキュリティゾーン → 高セキュリティゾーン）で攻撃される危険性がある。

ファイアウォール自体のセキュリティホールが発見された場合に、低セキュリティゾーンからの攻撃を受ける危険性がある。

重要インフラの制御ネットワークでのファイアウォール利用は推奨されていない。

なぜデータダイオードか。ファイアウォールによるゾーンニングでは課題が・・・

ファイアウォールによる通信制御では、制御系ネットワークへの外部からの攻撃通信を完全に防ぐことはできない

10© 2018 Toshiba Digital Solutions Corporation

ファイアウォールでは防げない攻撃 ～ ファイアウォールの脆弱性

共通脆弱性識別子 ベンダー 脆弱性の概要

CVE-2004-0469CVE-2007-0960

CheckPointCisco

ファイアウォールへの侵入・権限昇格にかかわる脆弱性（バッファーオーバーフローで侵入等）

CVE-2001-0082CVE-2006-0515

CheckPointCisco

ファイアウォールのACL制限回避にかかわる脆弱性（パケット分割等でアドレス・ポート制限を回避）

CVE-2019-12627 Cisco アプライアンス上で動作するソフトウェアにおいてアクセス制御に関する脆弱性

ファイアウォールの製品脆弱性の例

製品の脆弱性 設定・運用による脆弱性ファイアウォール製品の設計上の問題やプログラ

ムコーディング上の問題から、ファイアウォールへの侵入やACL制限を回避できる脆弱性が発生する可能性がある

手続き上の人的ミスやシステム設定時の操作ミス等により、ファイアウォールが意図した通りに機能していない状態になる可能性がある

×1 0 1 1 00 0 1 0 11 1 1 0 01 0 0 0 00 1 1 0 0×!

11© 2018 Toshiba Digital Solutions Corporation

ファイアウォールでは防げない攻撃 ～ マルウェア通信

標的型攻撃の流れ

正規のPCがウイルス感染した場合、サーバへの侵入をファイアウォールで防ぐことは困難

*) C&C : Command & Control （攻撃指令サーバ）

攻撃者(C&C)

クライアントPC(内部)が

マルウエア感染

サーバ（機密情報・

重要システム）

ファイアウォール プロクシファイアウォール

HTTP通信遠隔操作でサーバ権限搾取

（ADサーバからなど）

搾取した権限でアクセスファイアウォールを通過可能

業務PCをウイルス感染させ、ウイルスが外部の攻撃者からの攻撃指令に従い侵入し、目的を遂行

12© 2018 Toshiba Digital Solutions Corporation

Waterfall一方向セキュリティゲートウェイとは

物理的な一方向通信を実現するセキュリティアプライアンスサイバー攻撃を確実に保護した環境で、重要システムの各種データを活用することが可能

制御ネットワーク 業務ネットワーク

Unidirectional data flow

WaterfallRXエージェント

WaterfallTXエージェント

物理的な一方向通信を実現• TX（送信側）とRX（受信側）は、光ファイバケーブルでデータを一方向に送信

• TXは、レーザー発光部だけを持ち、RXは受光部だけを持つため、TX→RXへデータ送信はできるが、RX→TXへの逆向きの通信は物理的にできない

• TXエージェントを介して、制御ネットワークからデータを収集、RXエージェントを介して、業務ネットワークへデータを送信

仮に、RXアプライアンスが乗っ取られても、制御ネットワークに侵入することは物理的に不可能

強固なセキュリティを実現した上で、在庫データや設備等の稼働状況データをリアルタイムに活用することが可能

光通信

Waterfall一方向セキュリティゲートウェイソリューション

WaterfallRXモジュール

WaterfallTXモジュール

13© 2018 Toshiba Digital Solutions Corporation

Waterfall活用事例 ～ 上下水道局事例（米国）

PIサーバ

ファイルサーバ

制御ネットワーク 業務ネットワーク 業務システム

ファイアウォール

導入前

PIサーバ

ファイルサーバファイルサーバ

(レプリカ)

PIサーバ(レプリカ)

業務システム

導入後

Waterfall一方向セキュリティゲートウェイ

稼動状況の把握が困難

セキュリティ監査の対応が困難

稼働状況をリアルタイムに解析することで、省電力、コスト削減を実現電力、コスト削減

水道料金を適時に提示できるようになり、水道利用者の満足度が向上顧客満足度向上

物理的な一方向通信でセキュリティを強化し、自組織での監査も容易に高セキュリティ

・制御ネットワークから業務ネットワークへの稼動状況送信が非リアルタイム・ファイアウォールにより制御ネットワークから業務ネットワークへの通信のみ許可

外部ベンダーにファイアウォール運用を委託しており、自組織での監査が難しい

業務ネットワーク

Waterfallの導入効果

上下水道局における課題

14© 2018 Toshiba Digital Solutions Corporation

Waterfall活用事例 ～ 原子力発電所（米国）

原子力発電所における課題

導入後

リアルタイムなセキュリティ監視が困難

ネットワーク分離が必要

制御システムを情報システムからリアルタイムに監視・分析することが可能リアルタイムな監視・分析

業務ネットワーク（Low Level Security）から制御ネットワーク（High Level Security）には、物理的にアクセス不可

シームレス導入

制御システムのセキュリティ監視・分析のため、セキュリティログを外部ネットワークにリアルタイム送信しなければならない

制御ネットワーク（High Level Security）と業務ネットワーク（Low Level Security）は分離したい

情報システム

制御ネットワーク（High Level Security） 業務ネットワーク（Low Level Security）

Waterfall一方向セキュリティゲートウェイ

SIEM制御システム SIEM (レプリカ)

Waterfallの導入効果

15© 2018 Toshiba Digital Solutions Corporation

Waterfall一方向セキュリティゲートウェイ導入のメリット

• 高いセキュリティ

• 完全な外部ネットワークとの隔離• データもコマンドもプロトコルもパケットも外部から内部ネットワークに流入できない

• マルウェアのC&C通信も攻撃司令パケット（外部からのAckパケット）が流入できない

• 設定ミスによる脆弱性誘発がない

• 運用負荷・コスト軽減

• 運用管理、セキュリティ診断、監査への工数減• アドレス・ポートによるACLやアクセスログ、ユーザアカウントの管理が不要/簡易になることでの運用負荷・コスト軽減

• データのリアルタイム収集の実現

• 守りたいネットワークと業務ネットワークの物理的分離と同等の保護レベルを維持しながら、プラント操業や経営管理のための重要なデータをリアルタイムで収集することが可能

• レギュレーション準拠

• Waterfall一方向セキュリティゲートウェイは、重要システムのサイバーセキュリティに関するレギュレーションNRC RG5.71, NIST 800-53, NERC-CIP and NEI 08-09等に準拠

16© 2018 Toshiba Digital Solutions Corporation

東芝デジタルソリューションズがご提供する価値

東芝デジタルソリューションズは日本国内で保守体制を用意してWaterfallを販売しております。自前で検証ラボを持ち、調査から保守までワンストップでご提供しております。

17© 2018 Toshiba Digital Solutions Corporation

• 制御システムのデータをセキュアに活用したい→ ネットワークゾーニングが有効

• ファイアウォールによるネットワークゾーニングには課題が・・・→ 一方向セキュリティゲートウェイでセキュアなゾーニング

• ゾーニングのご相談、セキュリティ診断、システム構築・保守まで貴社の課題解決にお応えします。お気軽にお問い合わせください。

お問い合わせ先：電子メール tdsl-security@ml.toshiba.co.jpWebサイト https://www.toshiba-sol.co.jp/pfsol/gateway/index_j.htm

まとめ

https://www.toshiba-sol.co.jp/pfsol/gateway/index_j.htm

18© 2018 Toshiba Digital Solutions Corporation

Appendix～Waterfallシステム構成例

19© 2018 Toshiba Digital Solutions Corporation

選べる構成

1. 基本構成(WF-500S + TX/RXエージェント)• HA構成が不要な場合の基本的な構成• TX/RXエージェントに当社製産業用サーバ（GF）などの

Windowsサーバを利用

• GFシリーズサーバとの組み合わせで長期保守にも対応

• 送信側と受信側で筐体分離したモデル（WF-500SPLIT）もラインアップ

2. 冗長化による高可用性構成(WF-500S 2重化)• アプライアンスとエージェントを冗長化した信頼性が高い構成• TX/RXエージェントにGFなどのWindowsサーバを利用

• GFシリーズサーバとの組み合わせで長期保守にも対応

3. コンパクトな一体型構成(WF-500C)• TX/RXエージェント内蔵

• 高可用性構成が不要でスペースの制約が大きい場合に最適な

コンパクトな1U構成※ いずれの製品も2重化電源付

20© 2018 Toshiba Digital Solutions Corporation

• 制御ネットワーク側にTXエージェント、業務ネットワーク側にRXエージェント(Windowsサーバ)を設置し、その間を一方向通信で接続

• エージェント用機器として当社製産業用サーバを利用することで長期保守に対応

１．基本構成

WF500S：TX/RXモジュールを組み合わせ、様々な用途に利用可能

光通信

制御ネットワーク 業務ネットワーク

WaterfallRXエージェント

WaterfallTXエージェント

制御データ送信 制御データ監視

• WS-500S

Waterfallアプライアンス

21© 2018 Toshiba Digital Solutions Corporation

• WF-500SアプライアンスとTX/RXエージェントを2重化することで信頼性を向上

• 重要インフラ・非停止業務に対して適用を推奨

２．冗長化による高可用性構成

アプライアンスとエージェントを冗長化し、可用性を向上可能

• WS-500S 2式

Waterfallアプライアンス

22© 2018 Toshiba Digital Solutions Corporation

• Waterfall のホストモジュールを用いた、TX/RXエージェントも含んだ一体型アプライアンス

• オールインワンの 1 ラック ユニットの筐体で一体構成。ラック上のスペースを削減。

３．コンパクト一体型構成

WF-500C：モジュール式でコンパクトかつセキュアなゲートウェイハードウェアシステム

WaterfallRXモジュール

WaterfallTXモジュール

WaterfallRXエージェント

WaterfallTXエージェント

4つのコンポーネントを1Uに集約

• WS-500C

23© 2018 Toshiba Digital Solutions Corporation

Waterfallエージェント ～ 対応アプリケーション/プロトコルの例

• Waterfall社は複数のICSプロダクトベンダーとパートナーシップを締結しており、多様なプロトコルに対応したWaterfallエージェント（Waterfallコネクタ）を提供

主要な産業アプリケーション/ヒストリアン

• OSIsoft PI

• GE iHistorian, GE iFIX, GE OSM

• Siemens WinTS

• Emerson Ovation, Wonderware Historian

• MS SQLServer, Oracle DB, MySQL, Postgres

• AspenTech IP21, Matrikon Alert Manager

• Schneider ClearSCADA

主要なIT監視アプリケーション

• SNMP, SYSLOG

• Splunk, McAfee ESM SIEM, HP ArcSight SIEM

• CA Unicenter, CA SIM, HP OpenView

ファイル/フォルダミラーリング

• FTP, TFTP, SFTP, FTPS, RCP

• remote folders (CIFS), tree mirroring

主要な産業プロトコル

• OPC: DA, HDA, A&E, UA

• DNP3, ICCP, Modbus

• IEC60870-5-104

リモートアクセス

• Remote Screen View

ITコネクタ

• UDP, TCP/IP

• NTP, Multicast Ethernet

• IBM MQ series, Microsoft MSMQ

• Antivirus updater, patch (WSUS) updater

• Remote print server

24© 2018 Toshiba Digital Solutions Corporation

●Waterfall一方向セキュリティゲートウェイ（Waterfall's Unidirectional Security Gateway）の開発元は、Waterfall Security Solutions Ltd.です。

●使用環境、仕様等につきましては別途お問合せください。

●本記載の社名及び商品名はそれぞれ各社が商標または登録商標として使用している場合があります。

●資料の内容はお断りなしに変更することがありますのでご了承ください。

●本資料に表記されている製品、数値および表現は令和2年3月現在のものです。