セキュリティの達人が語るこれからの対策と課題：＠IT Security Live UP! 詳細レポート（2/3 ページ）

[高橋睦美＆宮田健，＠IT]

ITシステムと生き別れた双子の兄弟、「制御システム」のセキュリティとは

　A会場、2つ目の基調講演では、JPCERTコーディネーションセンター（JPCERT/CC）の理事、宮地利雄氏が「他人事ですまない危うい現実――制御システム・セキュリティ」と題し、近年注目が集まる制御システムのセキュリティをめぐる動向を紹介した。

　制御システムとは、他の機器やシステムの挙動を管理し、調節するための機器群を指す。電気やガス、上下水道などの重要インフラのコントロールはもちろん、ビルオートメーションシステムや生産オートメーションシステムなど、その適用範囲は幅広い。

　近年、この制御システムのセキュリティをいかに確保するかが注目されるようになった。「制御システムはITシステムと生き別れた『双子の兄弟』。しかもセキュリティ的にやや問題を抱えている」と宮地氏は指摘する。

JPCERTコーディネーションセンター（JPCERT/CC） 理事 宮地利雄氏

　制御システムの世界では長らく、ネットワークとは隔離された環境で独自に作り込まれたシステムが動いていた。しかし、それを動かす技術、「Operation Technology（OT）」とITとの距離が縮まり、企業内ネットワークともつながるようになった。この結果「10〜15年前はほとんど必要なかったセキュリティ対策が求められている」（宮地氏）。しかし、作っている側にその認識があまり高くないことが課題だという。

　また、OTにはITとはやや異なる要件も求められる。例えば、ITの世界において、セキュリティ事故で最も懸念されるのは「情報漏洩」だが、「OTの世界では、正しく動かないということが大きな問題になる」（同氏）。その原因としては、マルウェア感染によるものや従業員による業務妨害が挙げられる他、海外からのサイバー攻撃も「決して空想とはいえない状況」という。

　しかも制御システムでは、「決まったことを24時間365日やり続ける」「いったん動き始めたらなかなか止められない」という性質から、「C（機密性）」「I（完全性）」「A（可用性）」というセキュリティの3要素の重み付けも異なる。「ITではC＞I＞Aだが、OTでは『A』が非常に重視される。また、OTそのものの安全性に加え、制御されている対象の物理的安全性も重要だ」という。

　管轄部署の違いも問題を複雑にする。そもそも現場にとって、「セキュリティの問題は自分たちの問題ではなく、情報システム部の問題ではないか」という意識があるそうだ。さらに、現場において“トラブルがない限り止めるな”と固く言い伝えが守られてきた結果、システム構成を掌握できていなかったりするケースもあるという。

Stuxnetの登場で高まった危機感

　10〜15年前までならばそれでもよかった。しかし、システムの汎用化、ネットワーク化が進んだ結果、制御システムのセキュリティレベルは相対的にどんどん下がっているのが実情だ。特に2010年の「Stuxnet」の登場は大きなインパクトを残した。これで「他人事にできなくなった。『特殊なシステムだから大丈夫、そのときになってから対策すればいい』などとは言えなくなった」と宮地氏は言う。

　すでに報じられている通り、Stuxnetは、イランの核燃料施設をターゲットにしたと思われるマルウェアだ。「感染力は非常に強いが、狙いは制御システムで、情報システムでは何もしない」。このマルウェアの登場によって、危機意識が一気に高まったという。

　ただ、期待されている水準と、実際の制御システムのセキュリティのレベルには乖離があるのが現実だ。「認証が存在しない」「リプレイ攻撃に弱い」といったITの世界では「今さら」と思われそうな脆弱性が見つかることもある。

　制御システムに関する脆弱性情報データベース「OSVDB」の情報を見ても、制御システムの脆弱性に関する届け出件数は右肩上がり。脆弱性の取り扱いに関する明確なルールが定まっていない一方で、「Shodan」などの情報を見れば、インターネットに直結されている制御システムが意外に多く、中には脆弱なものが存在していることが一目で分かる状態だ。

　こうした状況の解決に向けた動きは、ようやく進み始めたところだ。まず、国際標準「IEC 62443シリーズ」に基づいた認証制度の整備が進んでいる。日本では経済産業省が主導してセキュリティセンターを設立し、訓練や演習などを行える体制を整えた他、2014年度から本格的に検定などを行う予定だ。

　「JPCERT/CCでも、制御システムのセキュリティを重要な課題としてとらえている。どこから手を付けたらいいか分からないという人のために、自己評価ツールも提供している」と宮地氏は述べ、ITとOT、双方のセキュリティレベルの向上を呼び掛けた。

【関連記事】

「制御システムセキュリティカンファレンス 2014」リポート：

「カイゼン」でセキュリティ向上？ 標的型攻撃に狙われる制御システム

http://www.atmarkit.co.jp/ait/articles/1403/06/news008.html

あふれる情報に振り回されないために必要なこと

　「煽るな危険！ 正しいセキュリティ情報の恐がり方」と題したパネルディスカッションでは、＠ITの記事でもおなじみの辻伸弘氏、根岸征史氏、そしてTwitterなどでいち早くセキュリティ情報を発信している北河拓士氏が登場。＠IT編集部の宮田健が司会を務め、「人の脆弱性」などのテーマについて意見を交わした。

「スノーデン事件」が気になるというNTTコムセキュリティの北河氏、通信会社の視点から「回数が増え、大容量化が進んでいるDoS攻撃」が気になる根岸氏、「パスワードの使い回しから起こるリスト型攻撃と、いったん侵入された後の対策」を挙げた辻氏（写真は大阪会場）

　1つ目のお題は「正しいセキュリティ情報の恐がり方」。近年、セキュリティを取り上げる記事が増えたが、中には「煽り」風味のものが見受けられる。「Windows XPはたった数分で侵入される」「デジタル複合機が攻撃を始める」「闇グーグルの危険性」……といったセンセーショナルな見出しや単語が一人歩きしがちだ。

　こうした状況に対し、「ニュースの読み方も大事」というのは辻氏。ペネトレーションテストに携わってきた経験を踏まえ、ユーザーが何らかのアクションを取らなくても外部からパケットを送り込まれるだけで悪用されるような非常に深刻な脆弱性は、ここ数年Windows OSには見つかっていないという事実を元に、「もちろん、乗り換えをしなくていいということでは決してないが、最新のパッチを当てていれば、現状ではインターネットに接続するだけでWindows XPがほんの数分でやられることはまずない」と、数字にだけ踊らされる危険性を指摘した。

　根岸氏は「できるだけ一次情報を確認することが大切だ。IIJ-SECTとして情報を発信する側としてもそこを心掛けている。一次情報の内容を意識するだけでもかなり違うのでは」という。

　例えば、「冷蔵庫がスパム発信源になる」という話題については、「大元の情報を確かめると『スパムを出すかもしれない』という話が、『全ての家電がスパムを出してしまう』という具合に大げさに伝わってしまった部分がある」（根岸氏）。また北河氏は逆に、「誤報と言われているものも、よく調べてみると本当に誤報かどうかはっきりしないこともある。発信元のセキュリティベンダーによって観測範囲が違うことに留意が必要だ」とした。

　辻氏は、「『複合機が丸見えに』という件も話題になったが、例えばShodanについてちゃんと調べてみれば、あの検索エンジンは網羅的に調べているものではないことが分かる。『Shodanで出てこなかったから』と安心することによって、逆に安全ではなくなってしまう」と指摘し、そのニュースが意味するところを調べることが大事と指摘。自力ではそれが困難な場合は「誰かの力を借りるべき」とした。

【関連記事】

冷蔵庫は「無実」――シマンテックがスパム発信元を調査

http://www.atmarkit.co.jp/ait/articles/1401/28/news139.html

「SHODAN」を正しく使おう――IPAがレポート公開

http://www.atmarkit.co.jp/ait/articles/1402/27/news150.html

ダイエットと同じで「基本的な対策こそ難しい」

　2つめのテーマは「人の脆弱性」。どれほどシステムを固めても、どうしても人の脆弱性まではなくせない。

　北河氏は、標的型攻撃メールの添付ファイルの95％が「圧縮ファイル」であるという調査結果を紹介。これを展開すると9割で「実行ファイル」そのものが出てくるという。さらに、解凍された実行ファイルの形式を見ると、実行ファイルであることが丸分かりという形ではなく、アイコン偽装や説明の変更、二重拡張子などのテクニックを用いて、文書ファイルに見せかけているケースが多いそうだ。

　なぜ圧縮ファイルが利用されるケースが増えたのか。その理由として北河氏は、「仮説だが」と前置きしながら「Windows Vista以降、標準のアーカイバでは解凍はできるが、パスワード付き圧縮ファイルの作成ができなくなった。このため、Windows標準以外の圧縮解凍ソフトを使うようになった人が多いからではないか」という。

　「Adobeなどアプリケーションについてもパッチ適用率が上がった上、サンドボックス技術なども実装されるようになり、脆弱性を用いた攻撃の成功率が低下している。よって、実行ファイルを圧縮して標的型メールとして送信するケースが増えているし、ソーシャルエンジニアリングを用いた『やりとり型』攻撃も増加している」（北河氏）。

　対策としては、フォルダの表示設定を「詳細」に変更する、拡張子を表示する、添付ファイルの「ゾーン情報」が保存、表示されるメーラーを利用するといった事柄が挙げられる。また「標的型攻撃の訓練によって、自分が普段使っているメーラーではファイルがどのように表示されるか、どんなエラー表示や警告が出てくるかが分かる。それを繰り返すことで、『実行ファイル』に気付けるようになるのでは」（北河氏）。

　なお同氏は、オーストラリア 国防省通信情報局が推奨する基本的な「4つの対策」――ホワイトリストの導入、アプリケーションおよびOSのパッチ適用、適切なアクセス権限――を取るだけで、攻撃の85％を防げるという報告結果も紹介した。しかし、「こういう基本的な対策は簡単ではない。ダイエットと同じで、食事制限すればやせられるけれど、それこそが難しい。普通の対策を行うことこそが難しい」とし、まずは基本の対策の徹底こそが大事だと述べた。

標的型攻撃メール対策は「開いてしまうこと」を前提に

　これに対し辻氏は、偽装の攻撃メールを送りつける標的型攻撃対策への「訓練」に、一言もの申した。たとえファイルの開封率がどんなに低くても、開いてしまった1％の人が「管理者」や「経営者」であればその影響は甚大だ。従って、数字だけで判断し、一喜一憂することは危険だという。

　辻氏は「災害訓練と同じで、『開いてしまったときにどうするか、ルールに沿って迅速に連絡して対応できるか』というところまでやるのであれば、本当の意味があると思う」とし、開封率を下げることだけを求めると本末転倒になると指摘した。

　根岸氏も「どこまで対策をやっても、感染するときはしてしまう」という。同氏はInternet Infrastructure Review（IIR）のリポートに掲載したあるケースを紹介した。「このケースでは感染はしてしまったが、その直後に『おかしい』と感じて窓口に連絡し、緊急対応を行った結果、C＆Cサーバーへの通信を迅速に特定して遮断する対策を取ったおかげで、実質的な被害はゼロだった。感染しないための対策を進めると同時に、感染してしまった後どうするかという部分の整備も進めておくと、一番大事なところを守れるのではないか」（根岸氏）。

　北河氏は、「振り込め詐欺と同じで、攻撃の分業化、高度化が進んでいる。最新のシナリオを使われれば、どうしたって開いてしまう人はいる。『開いてしまうものだ』と思って対策を考えた方がいい。また、あまりに警戒感を抱かせてしまうと、重要なメール、クレームのメールを開かず対応が遅れてしまうといったトラブルが生じる可能性もある。やはり、開いてしまったときにどうするかに頭を切り換える方がいい」と述べた。

　最後に辻氏は、「何を守りたいのか、自分たちの守りたいものをはっきり把握すべき。それが分からないとどこから脅威が来るか分からない。対策から考えるとお金がいくらあっても足りない」とコメント。また根岸氏は、「何かあったときに、信頼できる専門家や相談できる専門的な会社、あるいは情報交換できる同業他社などのコネクションがあれば心強い」とアドバイスした。

　さらに北河氏は、「煽るな危険」というタイトルに関連して「たまには、お医者さんのように『クスリを飲まないと死んじゃうよ』と大げさに言わないといけないこともある。ただしそれはあくまで、患者さんの健康を思って言うべきことであって、薬を売りつけるためのものであってはならない」とコメントした。