制御システム用セキュリティ・プローブの開発

制御システム(ICS)の運用現場では長年セキュリティ対策がやや軽視されてきた傾向にあるため、一般的なITシステムの運用現場よりもセキュリティ対策に関するノウハウが不足しがちである。このような状況下でStuxnet に代表される高度な標的型攻撃が発生した場合、その発見・対処は極めて困難な状況に陥る事が懸念される。 このため、重要インフラの制御システムに対するネットワークを通したサイバーアタックの兆候を監視・分析・評価するために制御装機器のネットワークI/F、センサーI/Fに挿入する装置(プローブ)とこれを用いた防御網の試作を以下の通り行った。 装置(プローブ): ハードウエアとして、ARMプロセッサを用いた手のひらサイズの市販ワンボードコンピュータを選定し、それに接続するネットワークタップ(LANよりプローブの存在を不可視とする)とワンボード上に搭載するドータカード(制御機器からのアナログ信号を取得する16bitA/Dコンバータ・ボード)を試作することで、プローブとして制御装機器のネットワークI/F、センサーI/Fに接続可能とした。 またソフトウエアとして、プローブで制御システム特有のプロトコル(ModbusTCP)をモニターするプログラム並びにアナログセンサー、I2Cデジタルセンサーからのデータを監視するプログラムを試作した。 防御網: rsyslogを使用したプローブクライアントとSplunkを使用したプローブデータサーバを構築し、複数のプローブが得たモニター情報を集約して異常な挙動を監視するシステムを試作した。 今後は、別途用意したミニプラント並びにロボットにプローブを設置して、正常運転時の制御システムの通信プロファイルを取得するシステムの開発を行い、実機を用いた機能試験に結びつけたい。

国立研究開発法人科学技術振興機構