「制御システムに対する不正アクセス」
神尾 博(技術士=情報工学,システム監査技術者)
(COPYRIGHT BY 1998.3-2000.11 HIROSHI KAMIO)

1.はじめに

(1)本テーマを取り上げた理由
・制御システムと情報/通信システムとの融合,社会的普及
・この分野の不正アクセス等に対するセキュリティの脆弱さ,意外に関係者は無関心
・制御システムでは電子データだけでなく人身・器物に危害が及ぶ

(2)本稿で取り上げる対象
ターゲット 攻撃方法
電子データ 電子的方法 :文献・資料等多数
電子データ 物理的方法 :情報システム安全対策基準等参照
器物・施設 物理的方法 :情報システム安全対策基準等参照
器物・施設 電子的方法 :本稿での対象

2.現在の情報システムを取り巻く状況

(1)技術・機能面から見た変遷
@〜1990年頃
メインフレーム全盛 →
・情報処理システム(Computer)は,計算機(Calculator)そのものの時代
 C=C
A1990年代前半
ダウンサイジング,LANの普及 →
・計算機能(Calculation)と通信機能(Communication)の融合(Complex)の時代
 C=C*C
B1990年代後半〜
FA(Factory Automation)技術の他分野への進出 →
「計算機能(Calculation)と通信機能(Communication)と制御機能(Control)の融合(Complex)の時代」
 C=C*C*C
CY2K以降の予測
更には「人間の命令(Command)の認識機能」「自律判断機能=人間の相棒(Companion)」「生体機能(Clone)」をも融合へ向かう?
 C=C*C*C*C*C*C=C^6

(2)利用分野・市場面から見た変遷
・おおむね軍事(Combat)→企業内(Company)→企業間(Commerce)→社会空間(Community)→家庭(Consumer)→個人:体の一部として(Cyborg)の順に普及
・現代では計算機能*通信機能においては「6C」。さらに*制御機能においては「4C」
・どの分野も不正アクセス等のターゲットになりうる

3.情報系・通信系・制御系が結合したシステムのモデル

(1)企業内の,制御を内包するシステム(図はFA(Factory Automation)のケース)
・ビル管理システム,発電システム等も基本的形態は同じ
・外部に対するセキュリティはファイアーウォールで


(2)遠隔地監視の,制御を内包するシステム
・水門管理システム,農業施設管理システム等で普及中
・セキュリティ上問題多い(後述)

4.各構成要素の現状

(1)コンピュータ
・以前:専用機中心→ワークステーション中心→近年:通常はパソコン
・今後もSCADAソフト利用が増加と予想
(2)通信回線
・主として通信事業者の専用回線,公衆ダイヤル回線等
・相手が無人・遠隔地・間欠的なやり取りの場合は,専用回線ではなく公衆ダイヤル回線が多いと推定
(3)通信装置
・通常のモデム,DSU,ルータ,これらの組み合わせ等
(4)制御装置
・PLC(Programable Logic Controler)や専用コントローラ等を使用
・最近はLANに直接接続できたり(PLC等),モデム機能と一体のもの(テレメータ等)が増加。
・装置のアーキテクチャはパソコンと大きく異なり、またメーカや製品によって千差万別(最近ではソフトPLC,WindowsCE等のオープンなものも)
・パスワードロック,アクセスログ,データ暗号化等のセキュリティー機能は脆弱
・この辺の中身を知っている人間は,制御エンジニアがほとんどで,パソコンおたくには少ないと推定
(5)I/O&メカニズム→もはや「工場」だけとは限らない
・工場,FA・・・・ロボット,AGV,NC装置 等
・産業設備・・・・・変発電設備,農業設備 等
・公共設備・・・・・交通システム,水道設備,医療設備 等
・家庭・・・・・・・HA機器(空調,湯沸かし,ビデオ予約 等)
・軍事・・・・・・・情報系と制御系は分離?
(6)ネットワーク
・制御系ではデータ着信の信頼性やタイムクリティカル性の問題から,DIO(PIO),AIO,FA用の専用のネットワークが主流
・セキュリティ上に問題になってくるのは,OA系LANや通信回線への接続部分

5.不正アクセス方法の例 (PLC)

遠隔地監視システムでは
公衆ダイアル回線の場合、電話番号を見つけ出して,通信装置を通じ制御装置の特定レジスタを書き換える
・プログラム文の例:たったこれだけ!
ヘッダー+PC番号+PLC番号+コマンドコード+レジスタNo.+データ+チェックサム+ENDマーク

6.制御システム関連の被害の実例

(1)コンピュータウイルスによるCRTの破壊(1988年カリフォルニア州)
(2)ガスメータをいたずら:ガスの供給を止める(1998年関西地区某市):*注=新聞紙面,前後の文面から推定

7.不正アクセス以外の脅威

(1)バグ
・確率からするとバグの方が怖い:PL法の対象
・西暦2000年問題:すったもんだの末,大災無し。古い制御装置はメモリの節約のため下2桁処理のものが多かった
(2)コンピュータウイルス
・PLC用等は原理的には作成可能だが,高度な技術力や情報入手が必要
・パソコンベースのPLCやNC,WindowsCEやJavaチップ搭載の次世代機ではリスク増大
(3)その他=電磁ノイズ,粉塵,HMIの問題等 目白押し

8.各種の脅威に対し考えられる対策

(1)技術面
@一般OAシステムと同様の対策
・制御系のネットワークからの切り離しや専用回線の利用:利便さ,コストのみを追求しない
・セキュリティ機能を有する機器・装置の採用(コールバック確認機能のある通信装置,アクセスログ機能のある通信装置・制御装置 等):制御機器メーカの責任ある設計が前提
Aパソコンを直接制御に使わない(パソコンPLC,パソコンサーボ等)
B特殊なプロトコルを使用する(TCP/IP等以外):インターネット上位層(OSI第5層以上)のツールでは解析不可だが,オープン化の流れの中で非現実的?
C情報系以外での対策の併用(電気的インターロック,機械的(物理的)ストッパー等)

(2)運用面
@一般OAシステムと同様の対策
・アクセスログの頻繁なチェック,パスワードや電話番号の定期的変更等:自動制御では,現代では「人間を系のループから排する」考えが根強く限界がある
・不要なソフトウェアの消去(パソコンサーボにおけるブラウザ等)
・関係者の啓蒙,教育活動:下手をすれば寝た子を起こす可能性あり
・定期的セキュリティ監査の実施:人材がいなければ無意味 =制御系を熟知した技術コンサルタント,システム監査人の養成が前提
A技術情報(機器・ソフトウェア構成・使用電話番号等)の守秘

(3)その他
@PL法には要注意
・メーカ,ベンダは自己防衛策が必要=不正アクセスやウイルスが「通常予見可能な危険」と判断される可能性あり
・ユーザは被害に遭えば泣き寝入りせずにメーカ,ベンダへの責任追及を
Aセキュリティーに関する国際的な規制強化の方向も
・ISO15408(セキュリティ規格),12100(安全規格)等

9.まとめ

(1)今後も通信機能や制御機能の情報システムへの融合は,さらに進むと予測される。これは不正アクセス等の脅威の対象が拡大することを意味する。
(2)制御システムの誤動作は故意かそうでないかにかかわらず,器物や人命に危害を及ぼす可能性があることに留意する必要がある。
(3)制御システムのセキュリティ対策は,OA系とは異なったアプローチが必要となる。ソフトウェアのみに着目するのでは不十分であり,電気信号やメカニズムを加えての検討が求められる。

10.参考文献

・「情報テロ −サイバースペースという戦場−」:江畑謙介(日経BP社)
・「コンピュータセキュリティの基礎」:D.Russell他著(アスキー出版局)
・「図解情報セキュリティ」:野口・鳥居(オーム社)
・「コンピュータ犯罪戦争」:室伏哲郎(集英社文庫)
・「図解でわかるサーバのすべて」:小泉修(日本実業出版)
・「コンピュータ社会が崩壊する日」:逢沢明(光文社)
・「絵ときメカトロニクス&パソコン入門早わかり」:新電気編集部(オーム社)
・「ハイテク機はなぜ落ちるか」:遠藤浩(講談社ブルーバックス)
・「アールキューブ」:通産省R^3研究会(日刊工業)
・「ロボットの話」:松崎吉信(日本工業新聞社)
・「スーパーロボットの動かし方」:非日常研究会(同文出版)
・「月刊エレクトロニクス1996年11月号特集・オープンコンピューティングによる制御」:オーム社
・「月刊エレクトロニクス1997年10月号特集・エレクトロニクスが支える集中監視の将来」:オーム社
・「FAシステムにおけるシステム監査の考察」:神尾博=(SAAJ近畿会例会レジュメ他論文)
・「その他 X社等のカタログ類」:犯罪幇助防止のため会社名守秘

(初稿)SAAJ近畿会敦賀合宿の際の資料 1998.3
(改1)SAAJホームページ掲載を機に改稿 1998.7
(改2)コンピュータ犯罪に関する白浜シンポジウムでの発表を機に改稿 1999.5
(改3)PEAK/IT例会での発表を機に改稿 2000.11