今後の日本における情報セキュリティ対策の方向性を定めた「サイバーセキュリティ戦略」と「サイバーセキュリティ2013」が、情報セキュリティ政策会議から2013年6月に発表された。今回はその内容と共に、筆者が近年取り組んでいる制御システムセキュリティに対する取り組みを紹介する。

「サイバーセキュリティ戦略」と「サイバーセキュリティ2013」

2013年6月10日に発表された「サイバーセキュリティ戦略」は、日本のこれからのサイバーセキュリティ対策の方向性を定めると共に、基本的な体制などを定めたものである。昨今のサイバーセキュリティ空間におけるリスクについて、以下の3方向から分析し、それらに対応していくことが産業活性化の観点からも不可欠だとしている。

• 甚大化するリスク
• 拡散するリスク
• グローバルリスク

一方、上記の「サイバーセキュリティ戦略」を受けて、2013年6月27日に発表された「サイバーセキュリティ2013」は、政府機関などが2013年度及び2014年度に実施すべき具体的な取り組みを定めたものである。ひと頃話題になった「サーバ防衛隊（仮称）」や「サイバー攻撃特別捜査隊」の編成や、内閣官房情報セキュリティセンター(NISC)の「サイバーセキュリティセンター（仮称）」への改組なども含まれている。

これらに記載されている取り組みはいずれも、近年のサイバー攻撃の高度化や被害の甚大さに起因している。海外では日本とは比較にならない規模のサイバーインシデントが発生しているが、対岸の火事ではなく、今すぐにでも国内で起こりうる状況として、待ったなしの対応を迫られている。

制御システムセキュリティに対する取り組み

「サイバーセキュリティ戦略」と「サイバーセキュリティ2013」には、制御システムセキュリティに関する取り組みも多数掲載されている。リスク面については、海外における信号機システムへのサイバー攻撃や、有名なStuxnet(スタックスネット)のインシデントを例示し、クローズドな独立系システムであるはずの制御システムについても、サイバー攻撃の対象であることを明記している。

具体的な取り組みとしては、次の事項があげられている。

• (1)重要インフラ事業者に対するソフトウェアや制御システム等の脆弱性関連情報の優先提供及び情報セキュリティ関連情報マネジメントの支援等
• (2)制御システムに関するインシデントや脆弱性への対応のための連携体制の構築
• (3)制御システムにおけるセキュリティマネジメントシステム適合性評価スキームの確立支援
• (4)制御機器等の評価・認証スキームの確立支援
• (5)制御システムセキュリティの国際標準に基づく評価・認証機関設立
• (6)制御システムセキュリティ評価・認証の国際相互承認
• (7)制御システムセキュリティ評価・認証の利活用に向けた検討
• (8)制御システムセキュリティに関する研究開発
• (9)制御システムセキュリティに係る人材育成
• (10)制御システムセキュリティに関する国際支援
• (11)制御システムのセキュリティに係る米国との連携推進

項目数の多さからも注目されていることが判るだろう。推進体制としては、(1)は独立行政法人情報処理推進機構(IPA)及び一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)、(2)はJPCERT/CC、(3)は一般社団法人日本情報経済社会推進協会(JIPDEC)、(4)～(11)は技術研究組合制御システムセキュリティセンター(CSSC)が担う予定である。

制御システムセキュリティテストベッドの立ち上げ

CSSCでは、上述した制御システムセキュリティに対する取り組みを推進するために、2013年4月に宮城県多賀城市にテストベッド(通称:CSS-Base6)を開設した。制御システムセキュリティの検証などの研究開発を行う施設として、模擬システムを備えた制御システムセキュリティテストベッドとしては、世界でも2例目(1例目は米国アイダホ国立研究所)となる。

CSS-Base6の特徴は、様々な制御システムの特徴的な機能を切り出して、デモンストレーションとサイバー演習が実施可能な以下の7つの模擬システムを備えているところである。制御システムでは、電力や工場、ビルなどの分野の違いにより、制御システムの構成要素やシステム運用の前提条件が異なる。このため、異なる分野の模擬システムを多数揃えることで、制御システムセキュリティを多方面から検討することが可能となる。

• 排水・下水プラント
• ビル制御システム
• 組立プラント
• 火力発電所訓練シミュレータ
• ガスプラント
• 広域制御（スマートシティ）
• 化学プラント

2013年度には、CSS-Base6を活用した制御機器の評価認証体制作りや、人材育成・普及啓発のためのサイバー演習の実施を予定している。これらの取り組みにより、国民の生活を支える重要インフラ等の制御システムのセキュリティ対応力の向上が早期に図られることに期待したい。

本文中のリンク・関連リンク：

• 情報セキュリティ政策会議「サイバーセキュリティ戦略」
• 情報セキュリティ政策会議「サイバーセキュリティ2013」
• 「技術研究組合制御システムセキュリティセンター（CSSC）のご紹介」
• 「CSSC紹介ビデオ」