今回も、テルアビブで開催されたCyberTech2017のスタートアップパビリオンで見つけた面白そうな企業を紹介する。パビリオンに出展していた75社をざっと眺めた時に、今回、IoT及びSCADA(Supervisory Control And Data Acquisition：産業向け制御システム)に関するセキュリティソリューションが目についた。今回はその中から2社紹介したい。

制御システムのセキュリティとは？

本題に入る前に、制御システム（SCADA）について簡単に説明しよう。「制御システム」とは、工場の生産ラインのプロセス制御、発電所のプラント管理や鉄道の運行管理をするシステムなどを指す。

サイバー攻撃の対象は、従来は企業の業務システムやウエブサイトなどの「情報システム」であり、そのシステム上にある情報を改ざんする、あるいは個人情報を盗む、などが攻撃の主流であった。このような攻撃からシステムや情報を守るために、ファイアウオールに始まり、IDS（Intrusion Detection System：不正侵入検知）やIPS（Intrusion Prevention System：不正侵入防御）というような様々な技術が開発されてきた。

制御システムは、原則インターネットにつながっていない独立したシステムであり、サイバー攻撃を受けるとは考えられていなかった。しかし、ここ数年、このような制御システムがサイバー攻撃により被害を受けることが多くなっているのである。良く知られているところでは、ウクライナの電力システムに対するサイバー攻撃、がある。2015年12月23日に攻撃を受け、数時間に及ぶ停電が起こった。詳細は省略するが、BlackEnergyと呼ばれるトロイの木馬型のマルウエアを仕込まれたのが原因と言われている。

セキュリティの観点から見た時に、情報システムと制御システムの違いはなんだろうか？　技術的には、

（１） 制御システムは長期間連続運転をすることを前提として設計されており、何十年も前の古い機器が現役で使われている《情報システムは、OSのサポートや機器性能面から数年で更改する》
（２） 制御システムでは、メーカー毎に独自プロトコルが使われる《情報システムの場合はOSやプロトコルは標準化されている》

という特徴があり、また、管理・運用面でも、

（３） 制御システムの場合、マルウエアに感染したことが分かっても、安全面から安易にシステムを停止することが出来ない《情報システムでは、証拠となるログ取得にこだわらなければ、感染した機器を切り離し、停止・再起動することが可能》
（４） 企業（組織）の中に、制御システムのセキュリティに対して責任を持つ担当部署がない《情報システムの場合は情報システム部やCIO,CSO》

などの特徴がある。つまり、情報システムを対象としたサイバー攻撃対策のために開発されてきた技術やサービス、更には企業の組織や仕組みが制御システムに対してはそのままでは役に立たないのだ。また、電気、ガス、水道、鉄道、など、制御システムは社会基盤に直結しており、サイバー攻撃により被害を得た場合の国民生活や経済活動への影響は、情報システムの場合とは比較にならないほど大きい。

機械学習で制御システムを守る

実は、イスラエルはこの制御システムセキュリティ分野で大変先行している。なぜなら、何年も前から発電所などが、対立する国々からと想定される多くのサイバー攻撃を受け、それに対処する策を自ら確立してきたからである。この点については、別の回に改めて説明したい。今回は、CyberTech2017で目についた２つのソリューションを紹介する。

SigaSec

スタートアップパビリオン内で、制御システムセキュリティーソリューションとして最初に見つけたのがSigaSecである。

SigaGuardという監視機器を制御対象の機器（タービン等）とPLC（programmable logic controller）の間に設置する。この機器はSiga独自のソフトウエアがインストールされたローカルサーバーに接続されている。

SigaGuradが対象機器の電気信号、パフォーマンスを継続的にモニタし、Sigaのソフトウエアはそのデータから「システムの正常な状態」をまず学習する。機械学習と予測解析技術を組み合わせることで、正常状態とは異なる「異常状態」をリアルタイムで検知し、監視モニタにアラートをだす。

前述の通り、制御システムはメーカー毎に独自プロトコルを採用しており、数十年前の機器が使われていることもある。しかし、SigaGuard™は図２に示すOSI参照モデルで言う物理層の電気信号を見ているので、どんなプロトコルでもどのメーカーのシステムでも新旧を問わず監視することが出来るのが特徴である。

▼図１：OSI（Open Systems Interconnection）参照モデル

ics2

iCS2も制御システムのために開発された機械学習技術をコアとしたソリューションを提供している。ただ、彼等は制御システムがコントロールするプラントのプロセスを定義する要素を、センサが検知する物の流れ、圧力、温度、バルブ動作などの「物理的プロセス」とセンサのデータに基づきプロセス動作を修正する「制御ソフトウエアシステム」との相互作用としている（少々あいまいな表現だが、残念ながらそれ以上は教えてもらえなかった）。

SigaSecがPLCと制御対象機器の間の電気信号をモニタしているのに対し、iCS2は「プロセス全体の動作と制御ソフトウエアとの相互作用」をモニタしているところが異なる。ただし、その後の考え方はほぼ同じで、継続的にプラントの動作を学習して正常状態のプロセスに署名をつける。そして、「異常」を検知したときに、オペレータに対してアラートを発生する。正常時と異常時の偏差も学習してゆくので、経年劣化や誤動作も検知することができ、どの程度の異常が検知された場合にアラートを発生するか、という運用戦略も設定することが可能である。

どちらのソリューションも、考え方としては、２回目で紹介したDeepInstinctと同じく、物理層に近いところで“システムの状態を示すデータ“をモニタし、そのデータ解析にAI、機械学習技術を応用している。ただし、制御システムの場合、「異常」が検知されたとしても、それが、機器の故障・誤動作によるものか、人為的オペレーションミスによるものか、或いはサイバー攻撃に起因するか、を切り分けねばならない。この点が、どれだけ多くのデータを利用して、機械学習アルゴリズムをどの様に最適化したか、という各ベンダーのノウハウと蓄積が生きるところだろう。

また、一口に制御システムと言っても、自動車工場、石油化学プラント、原子力発電所、など、規模も複雑さも様々である。従って、汎用的な解というものはなく、対象とするシステムへのモニタリング手法の最適化、異常検出のための機械学習アルゴリズムの最適化、がソリューションの鍵になってくる。

制御システム・セキュリティは出口対策

これらの事例を見て気がつくことは、「異常」な状態、或いはその「兆候」を捉えて初めてセキュリティシステムが動作する、ということである。一般に、セキュリティ対応のプロセスは図２のように考えることができる。左端の「抑止・回避」は危険には近づかないという初歩の心構えであり、ファイアウオールを設置するのは「防御」のステップである。それでも不幸にして攻撃され、インシデントが発生してからは、如何に影響を緩和するか、素早く検知し初期対応をするか、被害の復旧、そして攻撃そのものを無力化する、というプロセスを取ることになる。

▼図2：セキュリティ対応のプロセス

今回紹介した２つのソリューションは、機械学習技術を応用して、この「検知」を（ほぼ）リアルタイムで実現し、その後の迅速かつ適切な対応につなげて被害を最小化する、という考え方である。

今までは、検知するということはインシデントが発生して被害が起きたことを意味する。機械学習を適用することにより、リアルタイムの検知、うまくすれば実際の被害が起こる前に検知（予知）が可能であるというところが大きく異なってくる。

従来の情報システムを対象としたファイアウオール、IDS、IPSなどのソリューションは、システムの「入り口」で不正な攻撃や侵入を防ごう、という「入り口対策」である。無論制御システム用のファイアウオールもチェックポイント等のメーカーからリリースされてはいる。

しかし、システムの「入り口」にどんな新しい技術を導入したとしても、100%の防御がありえないことはもはや常識であり、新しい技術が次々に開発される、という事実は、攻撃と防御が“いたちごっこ”になっていることを意味する。その意味では、攻撃を受けることは不可避であるという前提で、出口対策を重視する今回のソリューションの考え方はより現実的であり、機械学習技術が更にその価値を高めているのである。

【参照情報】
サイバー攻撃による停電がウクライナで発生、電力網に迫る危機
内閣サイバーセキュリティセンター　
SIGA - Scada Cyber Alert Systems
Intelligent Cyber Security
重要インフラとICS/SCADAセキュリティ・ソリューション（Check Point Software）