（NRIセキュアテクノロジーズ株式会社 事業推進部　関取 嘉浩）

昨今、重要インフラや工場プラントなどの制御系システムへのサイバー脅威が高まっていると言われています。国内での攻撃事例はいまだ報告されていないものの、海外ではすでに被害が発生し、日本の被害発生も時間の問題という見方をする専門家もいます。
そこで今回のコラムでは、ICS（Industrial Control System）セキュリティの実態について、SANS Instituteが実施した調査をもとにお話したいと思います。

SANSが公開した調査レポートは「SANS 2016 State of ICS Security Survey」（注1）というもので、2015年に引き続いて行った調査結果を集計したものです。有効回答数は340、回答者を地域別にみると、69％が米国、14％が欧州、残りがその他の地域となっています。また、業種別では、電力関連が30％超、制御システム、ヘルスケア関連、石油・ガス関連でそれぞれ10％弱、残りの40%程度がICS関連のソフトウェア開発やセキュリティサービス事業者という内訳となっています。

■制御システムに対する脅威の認知状況
2015年の調査結果と比較すると、「深刻な脅威が増大している」という認識が24％も増加しています。理由としては、簡単にパッチ適用ができない制御系システムのセキュリティ確保に関する管理意識が年々向上しているものと思われます。

■脅威（攻撃）ベクトル
ハクティビストや国家が背後にいる組織からの攻撃、内部者による過失、マルウェア感染がベスト3。特徴としては、IT/OT間の意識の融合や共有が図られるにつれて、それを脅威と見る傾向が減少してきている点と、制御システムが攻撃の対象になりやすいという認識が浸透してきていることが挙げられます。

■ICSのシステム/ネットワークの可視化性に関する課題
回答者の6割以上が、システム/ネットワークが侵害された場合に、それを把握できないと回答しています（把握できるとの回答は26.6%）。制御システムのセキュリティ対策がまだ発展途上であることを物語る指標であるといえるでしょう。

■ICSセキュリティの重要施策
一般従事者へのアウェアネストレーニング、セキュリティアセスメント、専門従事者へのトレーニングと認定資格取得の推奨がベスト3。専門スキルを有する人材の採用も第5位にランクされています。技術的な対策と並んで、人材育成が重要であると考えている回答者が多いことがわかります。

■ICSセキュリティに携わる人材が有している認定資格
「ISA99 Cybersecurity Fundamentals Specialist Certificate（28%）」「CSSA：IACRB Certified SCADA Security Architect（12%）」に大きく水をあけて、「GICSP：Global Industrial Cyber Security Professional」が66%と極めて高い取得・普及率という結果が出ています。
このGICSPは、前回ご紹介したGIACの1カテゴリーで、SANSではICS410：ICS Security Essentialsというトレーニングコースに対応しています。このコースは以下の履修目標を達成するために、世界に先駆けて開発されたもので、同様の認定資格・研修コースは、今のところ存在しません。
・ISCセキュリティに有効なIT/OTの共通言語を習得する
・ICS分野のベースラインとなるセキュリティ知識・スキルを習得する
・ICS分野のセキュリティ専門家としてマネジメントができ、必要な対策の推進・適用に有効な知識を習得する
・自組織の対策推進状況を測定するための基準を作成できる
・ICSセキュリティに関する各種基準への準拠状況を測定し、より改善させるためのツールを作成できる
・国際的・業界横断的な専門家のコミュニティに、ICSセキュリティの専門家として参加できる

■ICS関連の基準・標準
ICSのセキュリティ確保のために利用されている基準・標準の上位3つは、「NIST Guide to SCADA and Industrial Control Systems Security（47%）」
「CIS Critical Security Controls（37%）」「NERC CIP（34%）」です。
このうち、CIS Critical Security Controls（注2）は、NIST Cybersecurity Frameworkの内容を具体的に実践するための補完的ドキュメントとして、近年普及しているものです。ISO IEC 27001がベースとなっていて、20のコントロール（対策）と149のサブコントロールからなるシンプルなもので、制御システムだけでなくそのほかの情報セキュリティ対策にも使える内容です。日本語版も公開させていますので、ぜひ一度ご覧ください。（注3）

■ICSセキュリティの対策ツール・技術
ICS関連のシステム/ネットワークにおいては、アンチマルウェア対策（80%）、物理的なアクセス制御（73%）、ネットワークのゾーニング/セグメント化（71%）、ネットワーク監視/ログ解析（65%）と、情報系システム/ネットワークと比してもさほど遜色のない対策がとられているという結果になっています。また、アノマリ検知ツールの導入（35%）やアプリケーションのホワイトリスト化（32%）といった技術の導入検討も進んでいるようです。

インターネットが普及して数十年、いまやその波は制御システム、IoT、組込み製品へと限りない広がりを見せています。セキュリティ上の問題によってこのインフラに混乱を来たすことがないよう、先を見すえた取組みが必要であると考えます。

（注1）「SANS 2016 State of ICS Security Survey」の原文は以下のサイトでご覧いただけます。
https://www.sans.org/reading-room/whitepapers/analyst/2016-state-ics-security-survey-37067
（注2）CISとは、Center for Internet Securityという組織名の略称です。
（注3）CIS CSCは以下のサイトからダウンロードできます。
https://www.cisecurity.org/critical-controls.cfm

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】

★JNSA組織で働く人間が引き起こす不正・事故対応WG(内部不正WG)では、インタビュー連載を公開しました。ぜひご覧下さい。

「日本の人事と内部不正（第5回）（株式会社ガイアックス編）」
https://www.jnsa.org/result/2016/surv_soshiki/index.html

★電子署名WGによる「SHA-1衝突の実現による電子署名への影響と対策」の緊急告知が行われました。

「SHA-1衝突の実現による電子署名への影響と対策」
https://www.jnsa.org/notice/2017/170302.html

★JNSAソリューションガイド活用WGでは、「JNSAソリューションガイド」にIPA「中小企業の情報セキュリティ対策ガイドライン」に対応した製品・サービス検索特集ページを公開しました。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
「特集検索」からご利用下さい。

【事務局からの連絡、お知らせ】

★JNSA西日本支部主催セミナー「NSF 2017 in Kansai」は盛況のうちに終了いたしました。多くの方々のご参加ありがとうございました。

★3月にシンガポールで開催される「Black Hat Asia 2017」にJNSAは協力しています。会員にはディスカウントコードを発行していますので、参加予定の方はぜひ御利用下さい。（詳細は事務局までお問い合せ下さい）

★2017年度年会費ご請求書とJNSA会員登録情報確認票を次週より順次会員企業各社のご連絡担当者様にお送りさせていただきます。
ご登録情報に変更がありましたら、事務局までご連絡をお願いします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第106号
発信日：2017年3月3日
発　行：JNSA事務局　
*************************************