日経テクノロジーonline SPECIAL

閉じられない時代の制御システムの守り方 現場の実情を踏まえたアラクサラのホワイトリストスイッチで攻撃から防御

工場やインフラなどの制御システムのネットワークに、汎用のイーサネットをつなぐ例が増えている。エンドユーザの使い勝手は高まる半面、外界と物理的につながることになるため、セキュリティに対する不安は拭えない。しかも一般の情報システムのネットワークと違い、制御システムのネットワークは止めることができないという管理の難しさもある。そこで通信の中身をあらかじめ学習し、適切なものだけ通すという「ホワイトリスト」方式で、セキュリティと継続稼働を両立させようとしているのが、アラクサラネットワークスだ。

 工場やビル、産業インフラなどの制御を行うシステムは、長らくセキュリティ問題とは無縁と考えられてきた。ネットワークが外界から閉じられた存在であったことと、特殊なプロトコルを使用してきたことが、その大きな理由だ。

 しかしその常識は変わっている。工場やビルなどの機器を、現場内だけでなく離れた事務部門からも制御可能にし、効率的な運用を目指す動きが進んでいる。それを実現するためには、制御システムを工場やビルの外のネットワークとつながなくてはならない。外のネットワークに直接つながなくても、保守作業時に端末やUSBメモリなどをつなげば、間接的に外とつながったことになる。

 また事務部門と接続するとなると、そのプロトコルは事務現場で標準のイーサネットになるのは当然の流れだ。あらゆる方面から接続できるようになった分、脅威も高まることになる。

制御システムが情報ネットワークとつながり、イーサネットが使われるようになったことで、脅威が高まっている
[画像のクリックで拡大表示]

 さらにIoTというトレンドが、こうした傾向に拍車をかけている。機器同士がインターネットを介してつながるようになれば、もはや制御システムはインターネット同様のオープンネットワークと言っても過言ではない。

 その結果、制御システムの中核であるPLCまで外部からの通信が届くようになった。もともとPLCは仕組み上古いものが多く、セキュリティへの耐性は十分ではない。PLCが攻撃を受ければ、そこにつながる機器はすべてコントロール不能に陥ってしまう。

 それにもかかわらず、制御システムの管理者には危機感が薄いとされる。現実には、発電所のシステムがウイルスに感染したり、ビル管理システムがハッキングされたりする事例が既に起きている。

 ただし制御システムの場合、セキュリティ対策は一筋縄ではいかない。情報システムと違って、制御システムの多くは「止められない」ものだからだ。

 情報システムの場合、セキュリティ対策のために一時的に止めてパッチをあてたり、再起動したりすることは比較的容易であり、実際そのようなメンテナンスは定期的に行われている。一方で、人間の日常生活を支えるインフラのような制御システムは、いくらセキュリティ対策と言っても簡単に止めることはできない。工場の制御システムもいったん止めると、生産を再開して安定的な状態にまで戻すには大きな時間と工数がかかり、生産効率に響いてくる。

 機器を止めてメンテナンスすることが困難な以上、機器本体での防御には限界があると言わざるを得ない。機器を取り囲むネットワーク部分で防御するしか現実的な方法はないのである。

通信の中身の組み合わせで判断

 そうした制御システムの特殊性を踏まえて、新たなセキュリティ対策を開発したのがアラクサラネットワークスだ。企業の情報システムや通信キャリア向けのネットワーク機器を提供している同社は、制御システムについては「ホワイトリスト」方式によるセキュリティ対策を打ち出している。

ネットワークシステム部GL主任技師
矢野大機氏

 ホワイトリスト方式とは、あらかじめ許可されている通信だけ通し、それ以外を排除するもの。指定したものを排除するブラックリストの逆の姿であり、L2スイッチにプログラムとして搭載することで、ネットワークへの攻撃に対し、多層防御の1つとして新たな防御策を提供する

 特徴はホワイトリストの作成方法にある。どの通信が安全かを事前にリストアップし、技術者が一つひとつ登録していく方法も考えられるが、現実的とは言えない。同社のホワイトリスト方式は、「実際に流れている通信から自動的に作成していく」(ネットワークシステム部GL主任技師の矢野大機氏)仕組みをとっている。

ホワイトリストは自動で生成され、運用期間に入るとそれをもとに危険性を判別する
[画像のクリックで拡大表示]

 具体的には、ホワイトリストの機能を持ったスイッチを、構築中のネットワーク内に置き、一定期間通信をモニタリングさせる。その結果から正規の通信をリスト化して登録。ネットワークが実運用に入ったら、そのリストに基づいて通信を制御する。モニタリング中の通信は安全なものという前提で、その通信をパターン化し、運用開始後はパターンに当てはまらない通信は自動的に廃棄したり、アラートを出したり、ミラーポートから通信内容を取得して分析するといったことが可能だ。

 通信のパターンから正常な通信と危険性をはらんだ通信を見分けられるのは、ホワイトリスト機能はネットワークの物理層からプロトコルまで含めて、それらの組み合わせで判断しているため。ネットワークを流れる通信をもとに異常な通信をすぐに検出できる仕組みを実現している。

 通信の組み合わせで判別するため、社外からだけでなく社内からの異常な通信にも対応できる点も特徴だ。防ぐのが難しいとされる内部不正に加えて、ウイルスに感染した端末をつないでしまった場合のような、意図しない攻撃にも対応できる。

既存のスイッチと容易に置き換え可能

ネットワークシステム部
内住圭吾氏

 同社はこのホワイトリスト機能を、技術研究組合の制御システムセキュリティセンタ(CSSC)と共同で開発した。CSSCはインフラの制御システムのセキュリティ確保を目的とした研究機関。その組合員の一社として参画するアラクサラは、「仮想プラントでの実験で、市販のPLCが攻撃によりハングしたり再起動したりする現象を確認しています」(ネットワークシステム部の内住圭吾氏)。ホワイトリスト機能はそのCSSCの環境で評価を繰り返しながら開発されたものであり、産業インフラの保護に必要なセキュリティを保てることは実証済みだ。

ホワイトリスト機能を新たに搭載するL2スイッチ「AX2500Sシリーズ」
[画像のクリックで拡大表示]
ネットワークシステム部主任技師
新善文氏

 ホワイトリスト機能は、同社のL2スイッチ「AX2500Sシリーズ」の新しいファームウエアとして提供する。AX2500Sシリーズはもともと情報システム用として提供されているスイッチであり、既存のL2スイッチと容易に置き換えることができる点も、運用負担の軽減に効果を発揮する。

 「工場では、生産ライン上にあるものをセンサで随時チェックして、不良品を下流に流さないことで製品の品質を維持しています。しかし同じ工場でも通信については、なぜかそういう手法が取られていません」(ネットワークシステム部主任技師の新善文氏)。ホワイトリスト搭載のスイッチによるセキュリティ向上は、ものづくりの基礎に忠実な改善手法とも言うことができ、ものづくりにおける改善活動に熱心な現場技術者こそ注目すべき製品と言えるだろう。


お問い合わせ
  • アラクサラネットワークス株式会社
    アラクサラネットワークス株式会社

    〒212-0058
    神奈川県川崎市幸区鹿島田1丁目1番2号
    新川崎三井ビル西棟13階

    URL:http://www.alaxala.com/jp/