JPCERTコーディネーションセンター(JPCERT/CC)は2011年2月28日、制御システムの構築・維持・運営に携わる関係者向けにセキュリティアセスメントツール「日本版SCADA Self Assessment Tool」(日本版SSAT)を提供開始した。制御システムのベンダー、制御システムのユーザー、エンジニアリング会社、システムインテグレーターは、JPCERT/CCへ申し込めば無償で入手できる。
日本版SSATは、制御システムの構成および運用上のセキュリティ面の問題点を洗い出すためのツール。マイクロソフトのExcel上で動作し、手軽に使用できる。英国政府のCPNI(Centre for the Protection of National Infrastructure)が開発したSSATをベースに、インタフェース部分を日本語に訳し、さらに日本の環境に併せたチューニングを施した。JPCERT/CCは制御システムに関係するグッドプラクティスガイドを公開済みで、日本版SSATのテスト結果として個別のセキュリティ対策が必要になった場合に参照できるようになっている。
日本版SSATは、およそ100の管理項目に関する質問に「はい」「いいえ」「一部」などの中から一つを選ぶ択一式で回答する。具体的には、「安全管理責任者は物理監視システム(例:物理的囲いに監視カメラや不正操作警報装置等)を重要な場所や箇所に設置していますか?」「運用責任者はSCADA/遠隔監視サーバにアンチウイルスソフトを導入していますか?」「運用責任者はSCADA/遠隔監視ネットワークサーバのオペレーティングシステムに対して、ベンダがパッチを公開してから30日以内に適用していますか?」などの質問が並ぶ(写真1)。回答を基に、ツールはグッドプラクティスガイドへの準拠率を3段階で評価し、色分けして表示する(写真2)。
日本版SSATは、計測自動制御学会(SICE)計測・制御ネットワーク部会セキュリティある情報共有検討ワーキンググループ、電子情報技術産業協会(JEITA)制御・エネルギー管理専門委員会安全・安心システムワーキンググループ、日本電気計測器工業会(JEMIMA)PA・FA計測制御委員会セキュリティ調査研究ワーキンググループの協力の下で、日本語化された。「どのようにすれば(利用者に)理解してもらえるかを相談しつつ、チューニングを進めた」(JPCERT/CC 情報流通対策グループの成田広樹 情報セキュリティアナリスト)。
JPCERT/CCは、制御システムのユーザーとベンダーがセキュリティに関してコミュニケーションを図れるようにするためのツールとして、日本版SSATを活用してもらうことを考えている。制御システムの現場でセキュリティの重要性が高まっていることは把握しているが、“ユーザー企業がベンダーにセキュリティに関する仕様をきちんと伝えられず、ベンダーはセキュリティが不十分な制御システムを作ってしまう”といったケースがあったという。
また制御システムには、汎用システムが入り始めている。昨年は、制御システムをターゲットにするWindowsのワーム「Stuxnet」が出現した(関連記事)。成田アナリストは「Stuxnetの話題を契機にセキュリティへの意識が高くなったが、どうしたらいいかわからないという状況のユーザーも多いはず。このツールは、そうしたユーザーにも使ってもらいたい」と説明している。
