インダストリー4.0の未来のプロジェクトの一環として、製造とITはますます密接にリンクされてきています。これによりセキュリティ部門では課題が増加しています。オフィスのITと製造ネットワークとの間のインターフェースが、ハッカーにとって企業ネットワークへの入口となることがよくあります。
__ソフトウェア企業Kaspersky社__が2017年に実施した調査で、サイバー攻撃の約1/3は産業用制御システム向けのコンピュータに対するもので、製造業の企業を標的にしていることが明らかになりました。毎年、マルウェアとそれに関連する産業用システムの被害のインシデントが増えています。__マルウェア「Triton」__と、安全計装システム(SIS)へのサイバー攻撃は、これが決して仮説的シナリオではないことを示す最近の事例です。
機能安全を実装するための自動化ソリューションがハッキングのターゲットとなるとき、安全とセキュリティの世界が融合します。したがって将来に備えて共通する戦略を開発しなければなりません。
現在産業用制御システムは、次のようなさまざまな__脅威__にさらされています。
- インターネットやイントラネットからのマルウェア感染
- リムーバブルメディアやその他の外部ハードウェアを経由したマルウェアの侵入
- ソーシャルエンジニアリング、つまり人々にある種の行動を取らせるよう影響を及ぼすこと
- ヒューマンエラーと妨害
- リモートメンテナンスソリューションからのシステム侵入
- IPプロトコルを使用してインターネットにカップリングされた制御機器
- 技術的エラーや不可抗力
- 生産環境におけるハッキングされたスマートフォン、およびエクストラネットやクラウドコンポーネント
サイバーセキュリティは機能安全とはどう違うのでしょうか。
__機能安全__とは、安全関連(制御)システムやその他のリスク軽減措置が正しく機能していることを示します。この場合、致命的なエラーが発生すると、コントローラは安全状態を開始します。安全関連の制御機器の性質に関する要件は、タイプB規格__EN ISO 13849__および__IEC 61508/IEC 61511/IEC 62061規格シリーズ__に記述されています。リスクの程度により、対応するリスク軽減措置はパフォーマンスレベル(PL)または安全度水準(SIL)に分類されます。
一方で__サイバーセキュリティ__は、製品データに対する可用性、完全性、機密性への攻撃から、製品を保護します。これは、技術的または組織的な事前(または事後)措置によって達成されます。セーフティアプリケーションのセキュリティ面を軽視すると、製造施設に直接的な影響を及ぼす可能性があります。製造プロセスに間接的な影響を及ぼす場合もあり、その結果最終製品も影響されます。例としては、医薬品や自動車産業向け安全関連コンポーネントがあります。ここでは、変更が消費者に大きな悪影響を与えることがあります。そのため規格__IEC 61511-1__では、プロセス産業の安全機器に対してITリスク評価を実施することが義務付けられています。オペレータはITリスク評価をNAMURのNA手順に従って実施し、特定された措置を実装する必要があります。これにより、PCE安全機器を現在最新の基準で評価して、注意義務を満たすことができます。
脆弱性の積極的な検索
機能安全とアクセスセキュリティの面を考慮するとき、リスク評価、またはより具体的には__IT脅威分析__に基づいて、潜在的リスクをまず考慮する必要があります。これでアプローチの仕方に大きな違いがあることが分かります。設計者は、機械指令のリスク評価の一環として、例えば機械的または電気的危険などの静的リスクを、より意識する必要があります。一方ITセキュリティのエキスパートは、常に変化する環境にいます。後者の場合、攻撃者は機能安全の分野で系統的誤差とみなされる脆弱性を悪用する新しい方法を、常に積極的に探しています。
もう1つ考慮すべき重要な点は、ヒューマンファクタです。「予測可能な誤用」という表現は、機械の安全性の状況で、ドアスイッチなどの安全機器が操作スタッフによって変更されるような状況を指しています。一方産業施設に対する大規模なサイバー攻撃では、高度な犯罪エネルギーが働いているとみなされます。
NAMURワークシートの初期アプローチ
メーカー、システムインテグレータ、オペレータは、安全関連のシステムまたはコンポーネントの製品ライフサイクルを保護する必要があります。この目的で、機能安全管理システム内にIEC 61508に準拠のニーズベースの品質管理を適用することができます。セキュリティの世界でこれに相当するソリューションは、ISO 27000に準拠の情報セキュリティマネジメントという形で存在します。
NAMUR__が出版している「IT risk assessment of PCE safety equipment」(PCE安全機器のITリスク評価)__と題するワークシートでは、この方向性を導く実用的な初期アプローチを採用しています。IEC 62443セキュリティ規格に基づくITリスク評価の手順を記述しています。この手順は、PCEセキュリティ機器のIT脅威への耐性を高めるための基礎です。この目的のために、第一段階の3つのステップを、NAMUR加盟企業によくみられるシステムを例として実施します。これによりユーザーは、手順を評価対象のPCE安全機器に対して使用できるかどうかを確認することができます。第二段階は、措置の実装を監視することと、ITセキュリティ要件および一般条件を文書化することです。第二段階は各PCE安全機器に対して個別に実行する必要があります。
NAMURの推奨NA 163に準拠するリスク評価プロセス
機能完全性への悪影響がないこと
調査対象のハードウェアとソフトウェアは、2つのセクションに分けられます。
- __Zone A__内のコアPCE安全機器は、IEC 61511-1で定義されるPCE安全機器を構成します。これには論理システム、リモートI/Oを含む入出力モジュール、およびアクチュエータとセンサが含まれます。Zone Aに配置された機器とのインターフェースを取るために使用される接続と、該当する場合は利用可能なネットワークコンポーネント(ケーブルやスイッチなどの)も、このゾーンに割り当てられます。
- 安全機能を厳密に実装する必要のないコンポーネントは、__Zone B__の拡張PCE安全機器に割り当てられます。にもかかわらず、これらのコンポーネントがコアPCE安全機器の動作に影響する場合があります。PCE安全機器のオペレータ/制御パネル、表示ステーション、プログラミングユニット、さらにセンサ/アクチュエータ設定用の機器などが含まれます。
__環境__のエリアでは、PCE安全機器に直接的にも間接的にも割り当てられないコンポーネントやシステムがあります。しかし、安全機能に関連している場合があります。安全機能のリセット要件または状態表示などです。
これらのゾーンの共通の目的は、環境からのフィードバック効果によって安全機器の機能完全性が損なわれないようにすることです。
関連するスタッフの幅広いトレーニング
不正侵入されたPCE安全機器の影響軽減または脅威への対処のための措置をとらなければなりません。このプロセスでは__ヒューマンファクタ__も重要な役割を果たします。サイバーセキュリティインシデントの50パーセント以上が、最終的に従業員に責任があります。そのため、セキュリティ機器の責任を負うITセキュリティ責任者がいることが重要です。安全機器の仕様と設計に携わるすべてのスタッフが、適切な訓練を受けていなければなりません。さらにエンドユーザーは、安全システムに関連する情報と知識を保護するために、メーカー、サプライヤ、外部オペレータとの間に守秘義務契約を締結することが推奨されます。