ようこそゲストさん

ビジネス+ITを始める

  • スペシャル
  • 2015/12/21 掲載

制御システムセキュリティ、過去4年の脆弱性は他の分野よりも深刻度が高い-JPCERT/CC

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
2014年の1年間で、ソフトウェアの脆弱性は約1万5000件も発見されている。そのうち制御システム製品の脆弱性を集めたものに「ICS-CERTアドバイザリ」がある。これを共通脆弱性評価システム「CVSS v2」で評価したところ、過去4年間における制御系の脆弱性は、他の分野よりも深刻度が高いことがわかった。こうした制御システムの脆弱性にどう対応していくべきか。JPCERTコーディネーションセンター(以下、JPCERT/CC)の久保正樹氏が語った。
photo
JPCERTコーディネーションセンター
久保 正樹 氏

脆弱性を取り巻く環境はどう変化したか?

 ソフトウェアの脆弱性関連情報を流通させる調整機関として、脆弱性アドバイザリを広く一般公開しているのがJPCERT/CCだ。

 東陽テクニカ主催の「QAC User's Meeting 2015」に登壇したJPCERT/CCの久保正樹氏は、「この10年間で脆弱性を見つけ出す人々が増え、それらの情報が流通する文化が成熟しました。大学の研究者から、“バグハンター”と呼ばれる専門家、システムのSIerなど、多くの人々が日々、脆弱性を発見しています。この脆弱性をカタログにして、世界中でデータを共有する仕組みができあがり、広く浸透するようになりました」と説明する。

 このような文化を支える背景には、QA・Cのような静的解析ツールの進歩や、脆弱性発見技術の高度化などが挙げられる。またマイクロソフトやテスラモータなどのように、ベンダーやメーカーが自社製品の脆弱性を発見した人に報奨金を出す制度も一役買っている。

 ベンダー側も脆弱性が発見されたら、すぐに対応をしなければならない。そのためにISO/IECでも、脆弱性開示(IESO/IEC 29147:2014)や、脆弱性対応手順(IESO/IEC 30111:2013)などが標準化された。

 脆弱性情報を流通させる基盤を支えるものとして、多数の脆弱性カタログがある。代表例は、マイクロソフトの月例パッチにヒモづいた脆弱性情報だ。ベンダーが専用セキュリティページで、どのような脆弱性が、だれにより発見されたのか、どのバージョンで脆弱性対策が施されたのか、そのリストを公開している。あるいはJPCERT/CCのような調整機関が橋渡し役になり、脆弱性を公表するアドバイザリなどもある。

制御システムの脆弱性は、その60%がHMIから発見される

 また制御システム製品の脆弱性を集めたものに「ICS-CERTアドバイザリ」がある。ICS-CERTアドバイザリとは、2001年ごろから米国の国土安全保障省の産業制御システムセキュリティ担当機関が、いわゆる制御システムと呼ばれるソフトウェア群の脆弱性報告を受け付け、開発側に修正させるプロセスを踏んで公開されるものだ。

「一口に制御システムといっても幅広く、PLC(Programmable Logic Controller)と呼ばれるモーターやバルブなどの制御を行う制御装置や、情報を監視するHMI(Human Machine Interface)のような上位製品、制御ネットワーク専用で使われるルータやスイッチなど、制御システム製品全般の脆弱性を集めて公開しています」

 JPCERT/CCでは、制御分野の脆弱性とトレンド、深刻度を調査し、次にどのような対策を練るべきかを検討した。

「その対策の1つとして、開発時に脆弱性をつくり込まないための『CERT C コーディングスタンダード』というコーディング標準の適用についても調査を行いました。調査対象となったICS-CERTのセキュリティアドバイザリは、2013年末までの4年間で445の脆弱性が発見されています」

 さらに脆弱性の傾向を知るために、その結果を製品別に分類。すると60%がHMIから発見されている結果が判明したそうだ。これらはユーザーインターフェイスを備え、実際に制御システムを監視するソフトウェアだ。続いて、制御を行うコントローラ(組込みシステム)でも10%ほど脆弱性が見つかったという。

制御系の脆弱性は他分野より深刻度が高い

 このような製品群に脆弱性が発見されるなかで、脆弱性の深刻度は実際にどのくらいなのか。この点については、深刻度を定量的に評価するための共通脆弱性評価システム「CVSS v2」と呼ばれる代表的な指標がある。個々の脆弱性の深刻度を0点から10点までの間でスコアリングするものだ。

 この指標を使って、ICS-CERTが公開したアドバイザリの点数を見ると、調査対象の4年間にCVEと呼ばれる汎用的な脆弱性カタログで登録された脆弱性全般(19012件)の平均値が6.3であるのに対し、ICS-CERTアドバイザリ(442件)の点数は7.5となり、脆弱性の深刻度はICS-CERTのほうが高いことがわかった。また最頻値も最高の10点であり、制御系の脆弱性は他の分野よりも深刻度が高いことがうかがい知れる結果になった。

「個々の脆弱性に対し、それを攻撃するツールや、攻撃できることを証明するPoC(Proof of Concept)のコードがどれだけ公開されているかも重要な点です。なぜなら製品に脆弱性があっても、実際に攻撃できるかわかりませんが、PoCのコードがあれば製品にアタックして攻撃できるかどうかの検証が行えるからです」

 ただし、逆に攻撃者がPoCコードを利用してしまう危険もある。この情報が世に出たら、弱点がさらされることになるため、開発者は早急に対応することが求められる。実際に442件のICS-CERTアドバイザリの脆弱性に対し、36%のPoCコードが一般公開されている。そうなると非常に高い確率で攻撃できる条件がそろってしまうわけだ。

「攻撃者は制御系システムの分野に注目し、詳しく脆弱性を追いかけています。攻撃コードまで作成して、自身で脆弱性を発見しているのです」

【次ページ】脆弱性対策としての「CERT Cコーディングスタンダード」

関連タグ

関連コンテンツ

記事
組み込み・産業機械

エッジAIの先?「エンドポイントAI」がもたらすビジネスチャンスとは

近年、エッジAIの搭載された「エッジデバイス」で実行されるAIアプリケーションへの要求が複雑化しており、ますます高度なテクノロジーが求められるようになってきた。こうしたエッジAIや、さらにその先にある、よりデバイス側でのAI処理を実現する「エンドポイントAI」を事業として成功させるには、いかに小さく電力効率に優れ、セキュアな半導体を低コストで設計・開発できるかがカギを握る。ここでは、「エンドポイントAI」をビジネスに結びつけるための具体的な方法を解説する。

記事
組み込み・産業機械

STAMPとは何か? IPA/SEC 松本隆明 所長に聞くCPS/IoT時代の安全性開発モデル

現実社会(フィジカル空間)にある、あらゆるデータを収集してサイバー空間で分析し、その知見を実世界で活用する――。今、現実社会とサイバー空間が緊密に結びついた「サイバーフィジカルシステム(CPS)」が注目されている。しかし、CPS社会の実現には、セキュリティ対策や相互接続を前提としたシステム設計など、克服すべき課題も多い。本稿では、独立行政法人情報処理推進機構(IPA)技術本部 ソフトウェア高信頼化センター(SEC)の松本隆明所長に、CPS社会に向けた取り組みとその課題、今後の展望について話を聞いた。

記事
組み込み・産業機械

自動車のセキュリティどう守る? NCC Group 「CERT C」の第一人者が解説

IoT時代の到来により、組込みデバイスはセキュアであることが非常に重要な要件として求められるようになった。その実現には、開発段階からセキュリティを意識したコーディングが必須となる。それは自動車でも同様だ。「電子制御装置(ECUs)への攻撃は、もはや理論上のものでなくなった」と指摘するのは、セキュアコーディング「CERT C」の第一人者であるNCC GroupのRobert Seacord氏だ。

記事
組み込み・産業機械

GEやGMも採用、DevOpsの課題を解決する統合プラットフォームとは

東陽テクニカ主催の「QAC User's Meeting 2015」に登壇したElectric Cloudは、エンド・ツー・エンドのDevOps統合プラットフォームを提供している企業だ。創業者であるスタンフォード大学のJohn Ousterhout氏は、Tcl/Tkの開発者としても知られている。同社の日本法人、Electric Cloud Japanの伊藤仁智氏は、世界15ヵ国200社以上の顧客を有する同社の主力製品について紹介した。

記事
組み込み・産業機械

産業・工場の制御システムへターゲットを移してきたサイバー攻撃の現状と対策

本連載では、「ナショナル・レジリエンス(国土強靱化)」や「サイバーリスク対策」の潮流、今後の方向性について取り上げ、解説している。前回、サイバー攻撃はナショナル・レジリエンスのリスク対象として現在、最も関心を集めるテーマながら、有事における法制度の面、サイバー防衛の戦略の面などで立ち遅れが目立っていることを紹介した。今回も、ナショナル・レジリエンス/国土強靱化計画におけるサイバー防衛・サイバー戦/サイバーリスクの最新動向などを取り上げたい。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample