カテゴリー
技術資料(会員限定)

サイバー攻撃の脅威、その現状と対策

執筆者:電気通信大学教授

情報理工学研究科 知能機械工学専攻 電子制御システムコース

工学博士 新 誠一

講演会報告書作成:企画・研修委員

奥住 俊明

この記事はPDFになります。

ご覧になる場合はボタンをクリックしてください。

はじめに

  サイバー攻撃とは、ネットワークやサーバに対してIT技術を使って行われる攻撃のことを言 い、サイバーテロと呼ばれる場合もあります。初期はウェブサイトの閲覧機能を失わせたり、ホームページの改ざん、ウィルスの感染などがありました。
  ここ数年は特定のターゲットに特定の目的をもって攻撃を加える、いわゆる標的型攻撃が増加してきて大きな社会問題になってきています。企業や官庁から情報を盗んだり改ざんしたり破壊する行為が、現代社会における新しい脅威となってきています。
  近年は、サイバー攻撃の影響を受けづらいとされてきた電力・ガス・水道・交通・ビルなどの社会インフラを監視制御するシステムに対しても、その攻撃が発見され、重大な事象に発展する事例も出てきています。
  このような社会的背景の中、この分野の権威であられます新 誠一先生に、「サイバー攻撃の脅威、その現状と対策」と題して、情報システム分野と我々のビジネスフィールドである計装制御システム分野についての現状と対策について、講演していただきましたので報告します。

プロフィール

1980年 東京大学大学院工学系研究科修士課程終了、同年同大学工学部計数工学科助手
1987年 工学博士(東京大学)、同大学講師を経て1988年筑波大学電子・情報工学系助教授
1992年 東京大学工学部助教授、2001年同大学情報理工学系研究科助教授。現在に至る。

講演の内容について

第1部では、情報システムに対するセキュリティについて、解説いただきました。
・情報とは言葉。情報セキュリティとは言葉の改竄防止である。
・昔はソースコード(文字列)をコンパイルして初めてコンピュ ータで実行できたが、今は文字列自体で実行できる(フラッシュ、HTMLなど)。
・生体に感染するウィルスと、情報のウィルスは類似性がある。共に自己増殖機能がない。
・Dos(Detail of Service:ドス)攻撃、みんなで電話をかけまくれば輻輳して通信不能に。
インターネットでも同じ手法で、相手の業務を妨害することができる。
・フィッシング詐欺、ホームページを似せて作り利用者をだす。
・Brute force attack、パスワードを総当たり式に暗号解読る。4桁ならコンピュータで数秒で解読できる。
・ファジング、ソフトウエアの脆弱性を見つけるためのテスト。
・人の能力を越えた機械、機械による攻撃で、高速、広範囲、執拗な攻撃が可能に。
・ファイヤーウォール、インターネットから内部のネットワークを守る。ファイヤーウォールの外側にハニーポットを置く。 情報や資源がありそうな部分を用意して、それにつられた侵
入者を観察したり、肝心なものを守る。ハニーポット付の製品もある。
・ホワイトリスト型セキュリティ対策ソフト、不正侵入対策機能により基地のネットワークウィルスの感染を防止する。
・マルウエアセンサ、サイバー攻撃・マルウエア感染に確実に気付く。ネットワークに侵入したマルウエアをキャッチし通知する。

【第2部 計装制御システム分野】

 第2部では、我々の業務にもっとも関連が深い制御系システムのセキュリティについて、解説いただきました。
・1971年、世界初のマイクロプロセッサの「4004」が誕生。 計算機の心臓部となり、パーソナル・コンピュータをはじめ、 生命のないものに知性を与えた。
・アナログ計装からDCS(分散制御システム)へ、DCSは進化た。
・専用から汎用へ。メーカーの専用機器と専用ソフトウエアの時代は終わった。
・人と機械の関係も変化・機械は小型軽量化、いつでもどこも。
・商売は、販売から維持管理の時代に。維持管理で稼ぐ。エンジニアはチェンジニア(調子がわるくなったら交換するだけ)に。
・Stuxnet(スタックスネット)、2010年9月、イランの核燃料施設のウラン濃縮用遠心分離機を標的としてサイバー攻撃が実行された。Windowsの4つの脆弱性を利用、独シーメンスのPLCが標的に。イスラエルとアメリカが開発し攻撃したと言われている。
・神話の崩壊、
1)非インターネット環境の神話崩壊、USBおよびエンジニアリングツール経由で感染させた。
2)非汎用OSは攻撃されないという神話崩壊、特定OSを用いたコントローラを狙い撃ちした。
3)専門家善人神話崩壊、エンジニアリングツールやコントローラの専門家が攻撃へ参加。
・制御系セキュリティ対策の難しさ、
1)容易に止められない → クラウド、予備機によるシミュレーションの活用。
2)保有が長期 → ソフトウエア、ハードウエアの新陳代化。
3)ソフトの暴走はメカの暴走 → ハードも含んだシミュレーション。

 【技術研究組合 制御システムセキュリティセンター(CSSC)について】

 経済産業省が主催して2011年に「制御システムセキュリティ検討タスクフォース」を立ち上げ、2012年3月は「技術研究組合制御システムセキュリティセンター」を設立しました。
 新先生は当初からタスクフォース座長を務められており、CSSC設立と同時に理事長に就任されました。CSSC設立の目的は、制御システムのセキュリティ確保を目指すこと。そのために検証、研究開発、インシデントサポート、認証スキーム、国際連携、人材育成・普及啓発、そしてテストベッドの構築を行います。
 現在、宮城県多賀城市のソニー(株)仙台テクノロジーセンター敷地内のみやぎ復興パーク内に、テストベッドを構築中で、お台場のCSSC本部と結び、実際のオフィスビルと同様なネットワーク構成を用いてシステムセキュリティ検証試験を2013年4月から行う予定になっています。またCSSCの認証活動は、2014年の4月から行う予定とのことです。