安全な工場運用のためのOTセキュリティ / OT security for safe factory operations

Transcript

1. © NTT Communications Corporation All Rights Reserved. 安全な工場運用のためのOTセキュリティ 2024年11月22日 NTTコミュニケーションズ株式会社

   加島伸悟 EdgeTech+2024

2. © NTT Communications Corporation All Rights Reserved. 2 自己紹介 加島

   伸悟（かしま しんご） ◼ 所属 NTTコミュニケーションズ株式会社（以下、NTT Com） • イノベーションセンター • テクノロジー部門 セキュリティグループ責任者 • セキュリティオペレーション実施責任者 • マネージド＆セキュリティサービス部 • 国産OT-IDS「OsecT」のプロダクトオーナー 一般社団法人 セキュリティ・キャンプ協議会 理事 ◼ 略歴 • 広域イーサネットサービスの技術＆商用開発 • フロー監視（xFlow）の技術開発＆国際標準化 • IETF RFC 7133 Author • NTTグループ全体のセキュリティガバナンス • 東京オリパラに向けた事業インパクトベースのリスクアセスメント • 制御システムセキュリティの技術開発・サービス開発

3. © NTT Communications Corporation All Rights Reserved. 3 Operational Technology

   (OT) とは ⚫ 製造業、エネルギー、重工業、建物、公共事業、輸送、医療、放送などの産業分野において、設備・シ ステムを最適に動かすための技術 ⚫ 情報技術（Information Technology, IT）と対比されることが多い

4. © NTT Communications Corporation All Rights Reserved. 4 OTネットワーク ⚫

   教科書ではPurdue Model（Level0~5）で定義することが多い ⚫ 現場のネットワークは複数ベンダのシステムが混在しており、必ずしも綺麗にレベル定義できない DMZ Level 0: Process Level 1: Control Level 2: Supervisory Control Level 3: Operation & Control EWS HMI SCADA PLC/ RTU Historian PLC/ RTU PLC/ RTU FW SW FW Sensor/ Actuator Sensor/ Actuator Sensor/ Actuator Application Server Patch Management Server Historian mirror Remote access Server Sensor/ Actuator Level 4/5: Enterprise WS PC DNS Server Mail Server Web Server WiFi FW 事務所（IT） 生産現場（OT） Purdue Model

5. © NTT Communications Corporation All Rights Reserved. 5 工場制御システムを取り巻く環境とサイバー攻撃

6. © NTT Communications Corporation All Rights Reserved. 6 工場制御システムを取り巻く環境 IoT

   OT IT リモート保守 サプライチェーン クラウド 工場制御システム(OT)は、IoT、情報システム(IT)、 クラウド、サプライチェーン等、外部との接続が急増 外部との接続の拡大により、制御システムネットワーク はサイバーセキュリティのリスクも増加 サイバーセキュリティの問題は、製造システム、 PLC、センサーのダウンタイムまたは不適切な動作を 引き起こす可能性が増加

7. © NTT Communications Corporation All Rights Reserved. 7 制御システムに影響を与えるサイバー攻撃の現状 ⚫

   制御システムへのサイバー攻撃で特徴的なパターンとして以下が挙げられる ✓犯罪グループによる金銭獲得 ランサムウェア（RaaS） ✓軍事的戦略に基づくインフラ破壊 標的型攻撃 (APT) ✓自らの主張と本気度を広範囲にアピール ハクティビスト ランサムウェア （RaaS） ハクティビスト 標的型攻撃 (APT) ※分類上複数に所属することも

8. © NTT Communications Corporation All Rights Reserved. 8 製造業への攻撃事例 |

   ランサムウェア感染 ⚫ 制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環境も被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に 自動車部品製造（従業員1500人） 子会社が設置したリモート接続機器 の脆弱性をつかれ感染。調査等のた めにシステムを遮断したことにより、 取引先の大手自動車生産工場（14工 場28ライン）が停止 （2022年@日本） 自動車製造（グループ従業員20万人） EKANSまたSNAKEに感染した影響 で、自動車工場2拠点の出荷が一時 停止。海外にも感染が波及し、海 外9拠点の生産が1~3日間停止。 （2020年@日本 ） 金属製品メーカ（従業員100人） PCとサーバの合計25台がAvaddon に感染。データ復旧作業や感染経 路の調査のため、業務の完全正常 化まで1ヶ月以上を要した。 （2021年@日本） アルミニウム製造（従業員2万人） LockerGogaに感染し、一部生産、 オフィス業務に影響。プラントは影 響拡散防止のためシステムから分離。 被害は最初の1週間で3億円以上と 推定 （2019年@ノルウェー）

9. © NTT Communications Corporation All Rights Reserved. 9 制御システムへの攻撃事例 |

   マルウェア ⚫ OT特化型のマルウェアも存在 2010 Stuxnet 2017 Time discovered 2016 2011 2014 2015 Triton/Trisis/HatMan Industroyer / CrashOverRide Havex BlackEnergy2,3 Irongate PLC-Blaster VPNFilter Shneider Electric製 安全計装システム Triconex 産業用 プロトコル Modbus 産業用プロトコル（電力等） IEC 60870-5-101/104 IEC 61850, OPC DA OPC Classic 産業用プロトコル EtherNet/IP等 GE製 CIMPLICITY等 Siemens製 SIMATIC WinCC/PC7, STEP 7 2020 Snake ransomware / Ekans Honeywell製 HMI Webアプリ等 2018 2022 Industroyer2 INCONTROLLER/ PIPEDREAM OPC UAサーバ Schneider PLC (Modbus/Codesys) Omron PLC (HTTP/FINS) 2023 COSMICENERGY 産業用プロトコル IEC 60870-5-104 Siemens? S7 PLC 産業用プロトコル IEC 60870-5-104

10. © NTT Communications Corporation All Rights Reserved. 10 制御システムのセキュリティ課題

11. © NTT Communications Corporation All Rights Reserved. 11 制御システムと情報システムにおける要件のギャップ 項目

    制御システム（OT） 情報システム（IT） セキュリティの優先順位 追加要件 保護対象 システム更新サイクル 通信 1. 可用性（Availability） 2. 完全性（Integrity） 3. 機密性（Confidentiality） 1. 機密性（Confidentiality） 2. 完全性（Integrity） 3. 可用性（Availability） • 健康 （Health） • 安全 （Safety） • 環境 （Environment） • モノ（設備、製品）、サービス（操業） • 10～20年+ • 3～５年 • 標準通信プロトコル＋独自通信プロトコル • 平文通信・パスワード等の簡易な認証 • 標準通信プロトコル • 暗号通信・暗号技術による認証有り ｰ • データ（個人情報等） OS更新・パッチ適用 • 一般的でない • オンラインでの定期・随時更新 ウイルス対策 • 一般的でない • 端末へのアンチウイルス、EDRの導入

12. © NTT Communications Corporation All Rights Reserved. 12 制御システムのセキュリティ課題 安定稼働最優先

    セキュリティ対策の導入によりシステムへの影響があってはいけない 既存端末へのランサムウェア対策のソフトウェア（アンチウィルスソフト、 EDR等）の導入が難しい 最新の脅威への対応 脅威情報が公開されないためパターンマッチ型の脅威検知が適合しにくい 資産管理 機器・端末の状態を把握していない

13. © NTT Communications Corporation All Rights Reserved. 13 制御システム向けセキュリティ製品 OT向けIDS

    安定稼働最優先 ✓ ネットワーク型（端末導入型ではない） ✓ パッシブ型（インライン型ではない） ✓ 検知まで（遮断まではしない） 最新の脅威への対応 ✓ 学習ベースの脅威検知 資産管理 ✓ 充実した可視化機能 IDS (Intrusion Detection System) 不正侵入検知システム → パッシブ型・・・OTへの適用事例が多い IPS (Intrusion Prevention System) 不正侵入防止システム → インライン型・・・ITへの適用事例が多い ミラーリング

14. © NTT Communications Corporation All Rights Reserved. 14 OT向けIDS「OsecT」

15. © NTT Communications Corporation All Rights Reserved. 15 お客様環境 OT向けIDS「OsecT」とは

    スイッチ 工場（OT環境） OsecT センサー LTE スイッチ 工場（OT環境） OsecT センサー LTE センサーPC LTE用USB端末 SIMカード OsecTセンサー OsecT SaaS環境 セキュリティ監視 Webポータル

16. © NTT Communications Corporation All Rights Reserved. 16 OsecT: 2つの主機能

    可視化 端末とネットワークの可視化 検知 学習と分析によるサイバー脅威の検知

17. © NTT Communications Corporation All Rights Reserved. 17 OT向けIDSの課題とOsecTの特徴

18. © NTT Communications Corporation All Rights Reserved. 18 OT向けIDSの課題 ①

    IDS製品が高額 ② 工場にセキュリティ監視できる人がいない ③ セキュリティ監視のためのセキュアなネットワーク設計が難しい（例: ITからの接続、VPN装置） ④ 1つのネットワークを複数組織で共同利用・運用しており、監視対象を分担したい ⑤ 数字の羅列を（IPアドレス/MACアドレス）を通知されても問題端末の特定に時間を要する ⑥ IDS製品のセキュリティが心配

19. © NTT Communications Corporation All Rights Reserved. 19 OT向けIDSの課題 ①

    IDS製品が高額 ② 工場にセキュリティ監視できる人がいない ③ セキュリティ監視のためのセキュアなネットワーク設計が難しい（例: ITからの接続、VPN装置） ④ 1つのネットワークを複数組織で共同利用・運用しており、監視対象を分担したい ⑤ 数字の羅列を（IPアドレス/MACアドレス）を通知されても問題端末の特定に時間を要する ⑥ IDS製品のセキュリティが心配

20. © NTT Communications Corporation All Rights Reserved. 20 特徴① OT向けIDSとしては廉価

    ⚫ 初期導入費用は海外製品の数分の一（同一台数の場合） ⚫ 小規模ネットワーク構成でも導入し易い価格設定です。 初年度：¥1,330,000（初期：¥250,000 月額：\90,000） 次年度：\1,080,000 ※1セットの税別価格 費用に含むもの ・初期：センサーHW、LTE用USB端末、SIMカード ・月額：Webポータルご利用、通信費用 費用に含まないもの ・導入支援、セキュリティ運用/対応支援 等

21. © NTT Communications Corporation All Rights Reserved. 21 OT向けIDSの課題 ①

    IDS製品が高額 ② 工場にセキュリティ監視できる人がいない ③ セキュリティ監視のためのセキュアなネットワーク設計が難しい（例: ITからの接続、VPN装置） ④ 1つのネットワークを複数組織で共同利用・運用しており、監視対象を分担したい ⑤ 数字の羅列を（IPアドレス/MACアドレス）を通知されても問題端末の特定に時間を要する ⑥ IDS製品のセキュリティが心配

22. © NTT Communications Corporation All Rights Reserved. 22 特徴② SaaS型サービス

    ⚫ セキュリティ監視状況はOsecT SaaS環境のWebポータルで確認可能 ⚫ 遠隔地のセキュリティ担当者が各工場を監視することもできます A工場 LTE OsecT SaaS環境 セキュリティ監視 B工場 LTE C工場 LTE 本社セキュリティ担当者 Webポータル

23. © NTT Communications Corporation All Rights Reserved. 23 OT向けIDSの課題 ①

    IDS製品が高額 ② 工場にセキュリティ監視できる人がいない ③ セキュリティ監視のためのセキュアなネットワーク設計が難しい（例: ITからの接続、VPN装置） ④ 1つのネットワークを複数組織で共同利用・運用しており、監視対象を分担したい ⑤ 数字の羅列を（IPアドレス/MACアドレス）を通知されても問題端末の特定に時間を要する ⑥ IDS製品のセキュリティが心配

24. © NTT Communications Corporation All Rights Reserved. 24 特徴③ クラウドへのLTE直接閉域接続

    ⚫ 監視データはLTEでSaaS環境にアップロードするため工場ネットワークの改修が不要 ミラーポート用スイッチを新設する場合を除く ⚫ WebポータルはSaaSに一元化 センサーからSaaSへの通信は当社閉域網を利用するため、 ASM（Attack Surface Management, 外部から攻撃 を受ける可能性のある対象領域の管理）不要 お客様環境 スイッチ 工場（OT環境） OsecT センサー LTE OsecT SaaS環境 セキュリティ監視 Webポータル 直接閉域接続

25. © NTT Communications Corporation All Rights Reserved. 25 OT向けIDSの課題 ①

    IDS製品が高額 ② 工場にセキュリティ監視できる人がいない ③ セキュリティ監視のためのセキュアなネットワーク設計が難しい（例: ITからの接続、VPN装置） ④ 1つのネットワークを複数組織で共同利用・運用しており、監視対象を分担したい ⑤ 数字の羅列を（IPアドレス/MACアドレス）を通知されても問題端末の特定に時間を要する ⑥ IDS製品のセキュリティが心配

26. © NTT Communications Corporation All Rights Reserved. 26 特徴④ 監視対象外ネットワーク設定

    ⚫ 別のソリューションによって対策を行うIT機器や他組織所掌のIPアドレスを非監視とすることが可能 OT環境のセキュリティ監視では、所掌するアドレスだけに絞るのではなく、所掌外のアドレスを除くという考え方が重要

27. © NTT Communications Corporation All Rights Reserved. 27 OT向けIDSの課題 ①

    IDS製品が高額 ② 工場にセキュリティ監視できる人がいない ③ セキュリティ監視のためのセキュアなネットワーク設計が難しい（例: ITからの接続、VPN装置） ④ 1つのネットワークを複数組織で共同利用・運用しており、監視対象を分担したい ⑤ 数字の羅列を（IPアドレス/MACアドレス）だけ通知されても問題端末の特定に時間を要する ⑥ IDS製品のセキュリティが心配

28. © NTT Communications Corporation All Rights Reserved. 28 特徴⑤ 台帳連携

    ⚫ 可視化機能にCSVファイルインポート/エクスポートが可能な台帳連携機能を実装 ⚫ 端末の設置場所/用途等を記入することで端末特定が容易に

29. © NTT Communications Corporation All Rights Reserved. 29 OT向けIDSの課題 ①

    IDS製品が高額 ② 工場にセキュリティ監視できる人がいない ③ セキュリティ監視のためのセキュアなネットワーク設計が難しい（例: ITからの接続、VPN装置） ④ 1つのネットワークを複数組織で共同利用・運用しており、監視対象を分担したい ⑤ 数字の羅列を（IPアドレス/MACアドレス）を通知されても問題端末の特定に時間を要する ⑥ IDS製品のセキュリティが心配

30. © NTT Communications Corporation All Rights Reserved. 30 特徴⑥ 安心してご利用いただくための取組み

    SaaSソフトウェアのSBOM※1 ファイル提供（予定） ※1 Software Bill of Materials, ソフトウェア部品表 センサーソフトウェアのソース コード公開 https://github.com/nttcom/OsecT/ 内包するサードパーティ製 ソフトウェアの公開脆弱性の監視 リリース前/定期的な自動化ツール によるコード全体のスキャン リリース前/定期的なサードパーティ による脆弱性診断 ISO/IEC 27001:2022に準拠した 開発・運用

31. © NTT Communications Corporation All Rights Reserved. 31 導入事例

32. © NTT Communications Corporation All Rights Reserved. 32 OsecT 導入事例

    お客さま業界 製造業 （電気機器） 従業員数 （グループ全体） 30,000人 背景・課題 • OTのセキュリティ対策が各工場任せになっており、グループ統一で対策を進めたい • 工場のOT環境の見える化からはじめ、脅威の常時監視を展開していきたい • 自社工場のセキュリティ運用のノウハウ活用したを外販ビジネスを開始したい • 見える化・常時監視に使用するOT-IDSはどの製品も高額で中堅・中小企業には展開し ずらい 導入規模 200 端末/ﾈｯﾄﾜｰｸ

33. © NTT Communications Corporation All Rights Reserved. 33 OsecT 導入効果・ポイント

    現場判断で設置されたNW機器や リスクのあるサービスの利用を発見 当初検討していた海外製OT-IDSを 大きく下回るコストで、自社の複数 工場の見える化を実現 社内にOTセキュリティの専門家が 少ない中、SaaSで複数拠点を一元管理、 見える化レポートを作成 導入による効果 自社利用のみならず中堅・中小 企業向けの再販ビジネスに機能面・ コスト面で最適なソリューション NTT内製開発の国産製品であり、 要望機能への柔軟な対応や 高セキュリティを期待できること OsecT を選択されたポイント ❶ ❷ ❸ ❶ ❷

34. © NTT Communications Corporation All Rights Reserved. 34 OsecT 3つ目の機能

35. © NTT Communications Corporation All Rights Reserved. 35  連携

    （防御・対処・復旧等のための製品連携） OTセキュリティは単一組織、シングルベン ダで対応できるものではく、組織・企業間 の連携が重要 OsecT: 2つ3つの機能 可視化 検知 連携  検知  可視化

36. © NTT Communications Corporation All Rights Reserved. 36 OsecT検知とアライドテレシス製品による自動遮断連携 OsecTで検知した不正/感染リスクのあるデバイスを、AMF-SECに通知し、エッジスイッチにて自動的に

    隔離/遮断することで、被害の拡大をいち早く防止するソリューションを提供（2024年12月開始予定） OsecT WebポータルからAMF-SECとの遮断連携を設定 OsecTの検知アラートを契機に、AMF-SECで通信遮断 不正/感染リスクのあるデバイス検知→遮断の流れ ※本システム連携にはアライドテ レシス社の特許技術を使用

37. © NTT Communications Corporation All Rights Reserved. 37 まとめ

38. © NTT Communications Corporation All Rights Reserved. 38 まとめ ⚫

    制御システムのネットワーク化・デジタル化に伴い、IT環境のみならずOT環 境も被害に遭う時代に ⚫ 大手企業だけではなく、サプライチェーン全体が攻撃対象に ⚫ OT環境のセキュリティ対策として、可視化と検知を行うOT向けIDSが有効だ が、課題も多い ⚫ NTT Comはお客様/パートナー様からの要望を取り入れながら、 OT向けIDS「OsecT」を開発、安価に提供

39. © NTT Communications Corporation All Rights Reserved. 39

40. © NTT Communications Corporation All Rights Reserved. 40 展示ブース「CD-03」にお越しください NTT

    Com の OTセキュリティソリューションを展示しております。

41. © NTT Communications Corporation All Rights Reserved. 41 NTTコミュニケーションズ OTセキュリティソリューション

    コ ン サ ル テ ィ ン グ 教 育 ・ 訓 練 製 品 ・ サ ー ビ ス