前回は米国の重要インフラへの取り組みの歴史と、官民での情報共有の取り組み、これに対応した日本の取り組みを紹介した。最終回となる今回は、重要インフラを構成するシステムのセキュリティー強化への取り組み、サイバー戦争を見据えた米国の取り組み、それぞれに対応する日本の施策を説明する。

制御システム・セキュリティー強化への取り組み

 制御システム製品の問題点や脆弱性は、DHS配下の制御システム専門のインシデント対応チーム「Industrial Control Systems Cyber Emergency Response Team(ICS-CERT)」に報告された場合、一般に公表される前にベンダーに連絡し、対策猶予期間を設けている。しかし、諸事情からベンダーが対策に積極的でないケースもある。ICS-CERTでは、ベンダーの対策を促すとともに、事業者自身によるリスクヘッジを可能にするため、2012年7月に、ベンダーの対応姿勢によっては、対策の如何に関わらず、ベンダーへの連絡から45日経過以後に公表することもある旨、脆弱性情報の公開方針を見直している(関連情報)。しかし、Stuxnet以降、ゼロデイ脆弱性(これまで知られていなかった未知の脆弱性)の価値が大きく増し、発見者が他人に販売するケースが増えているといわれている。買い手は、サイバー犯罪者や、諜報活動や産業スパイ活動のために高額で買い取る国や企業である。誰かが発見するのを待ち、ベンダーが対策するのを待つ以上の、能動的な取り組みが必要となっている。

図1●Sophiaによる通信の可視化イメージ (出典:英Oak Ridge National Laboratory)
図1●Sophiaによる通信の可視化イメージ (出典:英Oak Ridge National Laboratory)
[画像のクリックで拡大表示]

 米国が重要インフラに対するサイバー攻撃との戦いの中心と位置付けるアイダホ国立研究所(INL)では、「National SCADA Test Bedプログラム」が運営されており、制御システム製品の脆弱性の検証やセキュリティー研究を行っている。大掛かりな制御システム環境を再現するのは個々の研究者やセキュリティー・ベンダーには難しいため、こうした施設は有益である(外部の関連情報)。また、INLでは制御システム向けのセキュリティー・ツールの開発も行っている。2012年10月にリリースされた「Sophia」は、制御システム向けの監視ツールだ(図1)。SCADA(制御監視)システムを構成する機器間の通信を解析して平時の通信パターンを記録し、それをホワイト・リストとして使用する。マルウエアへの感染や、攻撃者による不正な操作により平時の通信パターンから逸脱した通信パターンが発生するとこれを検知し、警告を発して確認を促す(図2)。

図2●Sophiaによる警告イメージ(出典:INL)
図2●Sophiaによる警告イメージ(出典:INL)
[画像のクリックで拡大表示]