マルウエア対策ソフトを手がけるカスペルスキーは2016年5月25日、工場などで使われている産業用制御システムをサイバー攻撃から守るためのセキュリティ製品「Kaspersky Industrial CyberSecurity」(KICS)を発表、同日提供を開始した。ネットワークの通信内容を監視して、マルウエアなどによる制御システムに対する不正な攻撃を検出する。価格は個別見積もりだが、典型的な案件で25万ドル程度。

図1●KICSの製品構成。ソフトウエアと各種サービスで構成する
図1●KICSの製品構成。ソフトウエアと各種サービスで構成する
(出所:カスペルスキー)
[画像のクリックで拡大表示]
図2●KICSの動作概要。ミラーポートを介して制御システムの通信内容を監視し、攻撃を検出する
図2●KICSの動作概要。ミラーポートを介して制御システムの通信内容を監視し、攻撃を検出する
(出所:カスペルスキー)
[画像のクリックで拡大表示]

 KICSは、ログ監視の手法によって産業用制御システムへのサイバー攻撃を検知する製品である。ソフトウエアのほか、教育やコンサルティングなどの各種サービスで構成する(図1)。特徴の一つは、一般的なIT向けログ監視ツールでは監視できない産業用制御システムの通信プロトコルを監視できること。中核ソフトの「KICS for Network」が、イーサネットスイッチのミラーポートを介して通信内容を監視する(図2)。

 会見では、実際に攻撃を検知するデモンストレーションを見せた(写真1)。攻撃を検知するとアラートが上がる。運用次第だが、攻撃を検知した際に制御コマンドを発行していったん制御システムを停止させ、この上で通信内容を詳細に解析して対処するといった対策がとれる。

写真1●産業用制御システムへの攻撃を検知するデモを実演した
写真1●産業用制御システムへの攻撃を検知するデモを実演した
[画像のクリックで拡大表示]

 ネットワーク監視とは別に、制御システムを操作するためのコンピュータを保護するソフト「KICS for Nodes」も用意している。あらかじめ登録しておいたプログラムだけを実行できるホワイトリスト型のセキュリティソフトであり、マルウエアや不正なコードを実行しないようにする。周辺デバイスも、あらかじめ登録してあるものだけを利用できる。

写真2●ロシアのカスペルスキーラボ(Kaspersky Lab)でフューチャーテクノロジー部部長と技術戦略責任者を務めるアンドレイ・ドゥフヴァーロフ(Andrey Doukhvaalov)氏
写真2●ロシアのカスペルスキーラボ(Kaspersky Lab)でフューチャーテクノロジー部部長と技術戦略責任者を務めるアンドレイ・ドゥフヴァーロフ(Andrey Doukhvaalov)氏
[画像のクリックで拡大表示]

 KICSのきっかけとなった事件は、産業用制御システム向けのマルウエアとして2010年に登場したStuxnet(スタックスネット)である。「産業用システムのセキュリティ対策の考え方は、企業ITシステムとは異なる」と説明するのは、ロシアのカスペルスキーラボでフューチャーテクノロジー部部長を務めるアンドレイ・ドゥフヴァーロフ氏(写真2)。「企業ITでは秘匿性つまりデータを守ることに重きを置くが、産業システムでは可用性つまりシステムが稼働し続けることに重きを置く」(アンドレイ氏)。

 産業用制御システムは攻撃に弱いと同社は指摘する。同社は2015年10月、産業用制御システムを攻撃するハッカソンを開催した。攻撃の手順は、(1)ネットワーク通信を取得、(2)システムの管理者権限を奪取、(3)自動保護を切る、(4)電力線モデルをショートさせる、の4段階である。全4チームのうち3チームが競技初日に電力線をショートさせることに成功したという。