IoT 時代における制御システムネットワークの次世代型セキュリティ対策
~SDN: Software Defined Network~

制御システムネットワークへのサイバー攻撃

この一年あまりの間に発生した制御システムへのサイバー攻撃として最も記憶に残っているのは、Miraiという名前のマルウェアによる大規模なサービス妨害攻撃である。かつてない膨大なトラフィックを発生させ、多くのネットワークやサイトが被害を受けた事は記憶に新しい。万が一にも、こうしたマルウェアがプラントや工場などにある制御システムのネットワークに侵入したらどうなるのか。考えるだに恐ろしい。

制御システムネットワークのセキュリティ・アークテクチャ

制御システムのセキュリティレベルを向上させる重要な対策の一つに、ネットワークの分割がある。ここでいうネットワーク分割は、エンタープライズ(いわゆるIT系の)ネットワークとプラントや工場(いわゆるOT系の)ネットワークを「分離」するだけでなく、個々のネットワークをより小さいネットワークの区画に「分割」することを指している。さらに、分割した区画ごとにポリシーを定め、区画間の通信を必要最小限に制限することで、サイバー攻撃成功のハードルを上げ、また万が一の場合の影響範囲の封じ込めを実現する。

ネットワークの「縄張り」

ところで、姫路城に代表されるような城郭の「縄張り1」をご存知であろうか。「縄張り」とは城の設計のことを指す。縄張りでは、本丸や天守2(社内の重要サーバ等)を守るため、それらを取り囲む二の丸や三の丸といった曲輪(セグメント)の構成と配置を定め、虎口(外部との接続点)の場所や城門(ファイアウォール)の形式などを決める。城郭の防御能力(セキュリティレベル)は、こうした縄張りに大きく依存する。これはネットワーク設計にも通じる話である。さらに先人は、城郭の守りを境界防御(城門)だけに頼らず、複数の曲輪(セグメント)や他の防御設備を配置するなどして多層・多重防御構造とした。

話は少々それるが、最強の虎口と城門は枡形門である。枡形門とは城の外部から城内に入る外門(高麗門)と、その内側にある枡形の小広場、小広場を囲む土塀や多門櫓そして内門(櫓門)からなる。外門から城内へ侵入した敵が小広場に入ったところを、三方を取り囲む土塀や櫓から一斉に攻撃を仕掛けて敵を殲滅するという仕掛けである。さしずめ、二重のファイアウォール(内門と外門)に挟まれたDMZ(枡形の小広場)を思い浮かべて頂ければ良いだろうか。

1・・・三浦正幸著:城のつくり方図典、小学館、2005/3
2・・・「天守閣」は俗称であり、「天守」または「天主」という。

次世代型のネットワーク・セキュリティ

従来のネットワーク技術では、基本的な「縄張り」を決めるのは初期導入・設定時であり、ひとたび「縄張り」を決めてしまう(導入・設定時にVLANを切ってしまう)と、それを後から変更することはあまり想定していなかった。これを柔軟に変更できるようにしようとする考え方が、SDN(論理構成をソフトウェアで動的に定義できるネットワーク)である。SDNを導入することで、例えば、サイバー攻撃の状況を踏まえて、縄張り、すなわちネットワークの区画を変更しやすくなる。最近では、攻撃の状況に応じて自動的に構成を変えるような製品も開発されている。

クラウドなどでは既に導入が進んでいるSDNだが、工場ネットワークに応用した例も、一つ二つ公表されている。ただし、工場などで使われる制御システムは、一般にライフサイクルが長く(10~15年とも言われる)、IT系と比較して古い技術を用いたシステムが使われている場合があること、またリアルタイム性などの要件から、イーサネットを使っていても IT系の TCP/IP プロトコルとは異なるプロトコルを利用している場合があることなど、通常の IT 系ネットワークへのSDN導入にはない苦労が考えられる。そうした課題を乗り越えながら、今後、プラントや工場などの制御ネットワークにどのように浸透していくのか、将来が楽しみである。