Unidirectional Security Appliances to Secure ICS
44
2014年10月14日 原子力業界におけるサイバーセキュリティ対策 -米国事例の日本原子力業界への適用- 丸紅ユティリティ・サービス株式会社
-
Upload
digital-bond -
Category
Technology
-
view
353 -
download
3
description
How Unidirectional Security Appliances work and how they are applied in ICS. Many of the examples are from the nuclear industry.
Transcript of Unidirectional Security Appliances to Secure ICS
2014年10月14日
原子力業界におけるサイバーセキュリティ対策 -米国事例の日本原子力業界への適用-
丸紅ユティリティ・サービス株式会社
Title 目次
■丸紅ユティリティ・サービス㈱概要
米国原子力業界におけるサイバーセキュリティ要件遷移
日本原子力業界のサイバーセキュリティ対策の現状
米国原子力業界の対応策の日本原子力業界への適用 ・対応策1 (一方向ゲートウェイ)
・対応策2 (マルチスキャンシステム)
結論
Pg.2
Title 丸紅ユティリティ・サービス 概要
設立:1972年1月( 1998年6月、丸紅原子力部の三つの事業会社を合併
して現在の丸紅ユティリティ・サービス(株)が誕生)
所在地:千代田区一ツ橋1-1-1 パレスサイドビル2F
人員数: 74名
丸紅 エネルギーセグメントの100%事業会社 原子力発電所向け機器及びサービスの輸出入・国内販売 (*丸紅原子燃料部は原子燃料サイクル関連取引を主として行う)
発行済株式:3億円(600,000株) 営業組織: - 原子力第一部 - 原子力第二部
- 原子力第三部 - 原子力プロジェクト室
Pg.3
丸紅ユティリティ・サービス 概要 AREVA NP及びSiemensとの連携によるビジネス 世界最大級の原子炉メーカーAREVA(仏・独・米の三極)の先進技術の導入
永年のSiemensとの関係を拡大(蒸気タービン等)
原子力発電所向け大型機器の輸入販売、据付、関連適用工事等(シュラウド・ストレーナ・タービン)
Title
北米を中心とした海外ニッチ技術の導入
GERS製中性子検出器の輸入販売
Cameron社製超音波給水流量計の輸入販売、据付
Curtiss Wrightグループ Scientechの発電所・プラントの運転管理・保全のためのソフトウエアの輸入販売、据付
原子力第一部【欧州】
原子力第二部【北米】
原子燃料輸送 フロントエンド燃料輸送 ホウ酸、タングステン、放射性同位元素輸入販売 ロシア・カザフとの試験委託、調査、研究
原子力第三部【北米・ロシア/CIS】
原子力発電所新規導入国 案件サポート 主に日本原子力発電㈱殿の海外案件のサポート カザフスタン軽水炉、高温ガス炉導入FS ベトナムFS、インドネシアFS、タイFS
原子力プロジェクト室【アジア諸国】
Pg.4
Title 原子力発電所向け大型機器取替工事
九州電力玄海原子力発電所向け Siemens社復水器取換工事 (Siemens=設計、三菱重工=製造)
現場での据付支援 2001年4月
Pg.5
Title 原子力発電所向け大型機器取替工事
川内1号機:2006年3月竣工 川内2号機:2010年8月竣工
九州電力・川内原子力発電所向け Siemens社製高圧・低圧タービン
Pg.6
Title 原子力発電所向け海外からの優れた機器の輸入
中国電力島根原子力発電所向け
緊急発電設備としてガスタービン発電機輸入・据付
(英国Siemens Industrial Turbomachinery Ltd.社製)
非常用ディーゼル発電機の バックアップとして設置 12,000kW級×2基
(設置場所:海抜約40m)
2011年8月据付工事開始 2011年12月竣工 (中国電力殿運用開始)
Pg.7
Title 海外からの優れた機器・ソフトウェアの輸入
東京電力福島第一原子力発電所向け プラントプロセス計算機取替工事 (米国Curtiss Wright社 Scientech製)
福島第一2号機:2008年5月納入 福島第一5号機:2011年3月納入
Pg.8
画面例
開発中システム
Title 原子力発電所向け海外からの優れた機器の輸入
超音波給水流量計・米国Cameron社・・元々潜水艦技術
外付け 内蔵型
Pg.9
輸送ビジネス
主に原子燃料物質を北米・欧州より輸入し、国内の加工メーカー経由で電力会社に供給。要求に応じて輸出を行
うケースもある。 2009年より放射性同位元素(RI)の輸送も手掛ける。
素材ビジネス
フランス MSSA社よりナトリウムを輸入し国内需要者に販
売供給。
加工メーカー MNF/NFI/GNF-
J
各電力会社
日本 欧州 北米
輸入 輸入
輸出 輸出
日本 フランス
輸入
国内ユーザー •日本ガイシ •日本曹達 • 神鋼環境ソリューション 等
用途:
電力貯蔵用NAS電池、PCB処理用SD(ナトリウム分散体)、高速増殖炉用冷却材、インディゴ、漂白剤、医薬、金属精錬用還元剤、染料、アルコラート等
輸送・素材ビジネス
Pg.10
Title 原子力発電所新規導入国の支援
丸紅の海外電力プロジェクトで培われた諸外国の電力会社との
コネクションを通じて、各国の原子力案件をフォロー
日本原子力発電の国際協力 (FS:フィージビリティ・スタディ) の支援
•カザフスタン 2004年~
•タイ(EGAT)2008年~
•ベトナム(EVN) 2009年~
•インドネシア(PLN、原子力庁) 2010年~
•(トルコ 2012年~)
Pg.11
Title 米国におけるサイバーセキュリティ要件遷移
2001年9月
米国同時多発テロ事件が発生。この事件を契機とし、
米国原子力規制委員会(NRC)によって、それまで物理的な
観点からの規制であったセキュリティ要件にサイバーアタック
の脅威を含めるかたちで原子力プラントのDBT(設計基礎脅威)
が改正
2002年
NRCから事業者に対して各原子力発電所における
サイバーセキュリティの強化の為の暫定措置の実行を求める
指令が発令
Pg.12
Title 米国におけるサイバーセキュリティ要件遷移
2009年
広範な物理的防護プログラムにサイバーセキュリティ
プログラムに関する規制を含む形で連邦規則、
10CFR(Code of Federal Regulations:米連邦規制基準) 73.54
が発行された
⇒各事業者はこの規制への適合を求められることに
Pg.13
Title 米国におけるサイバーセキュリティ要件遷移
Pg.14
規制への適合手順としてマイルストーン(MS)1~7がNRCより示された
MS1 サイバーセキュリティ評価チームの設立 MS2 防護すべきCDA(Critical Digital Asset)の特定 MS3
ハードウェアベースで重要な制御システムを分離
MS4
携帯メディアに対する追加のセキュリティ対策の実施
MS5
内部脅威に対する防護の強化
MS6
フィジカルセキュリティに関連する機器を防護するためのサイバーセキュリティのコントロールの実施
MS7
サイバーセキュリティプログラムの有効性を維持するための対策の実施
Title 米国におけるサイバーセキュリティ要件遷移
適合すべき規制は発行されたものの、その要件内容が明白で
なく、各事業者毎に解釈が異なるケースが発生
2010年
10CFR73.54適合へのガイドラインとして、NRCより
Reg Guide5.71が発行される
また、NEI(原子力エネルギー協会)より、同じく適合への
ガイドラインとしてNEI 08-09, Revision 6が発行される
Pg.15
Title 米国におけるサイバーセキュリティ要件遷移
【具体的アクション事項】
サイバーセキュリティプラン(サイバーセキュリティプログラムの根拠、実施内容及び実施スケジュールの三点を記載)を策定し、NRCに提出
本質的な防護強化対策の実施
(データダイオードの適用、ポータブルメディアの管理等)
→これら事項について殆どの電力事業者が対策を完了。
Pg.16
Title 米国におけるサイバーセキュリティ要件遷移
【適合までの流れ】
定期的な評価/検査やプログラムの更新等の実運用段階へ (サイバーセキュリティプランの実行及びサイバーセキュリティのインフラをメンテナンス)
Pg.17
① 各事業者から提出された内容をNRCが確認
② 最終的に受理された(NRCのコメントを反映した)内容で事業者が完全なサイバーセキュリティ対策の実施
③ 設計上の問題点の抽出とそれに対する修正・対策の実施、及び図書化を完了
米国の様に規制当局から具体的なセキュリティ要件が出されておらず、各事業者が独自に対策を実施している。
対策例:
原子力発電所において隔離された専用ネットワークを使用。
使用できるUSBを限定した上で、外部からの持込みメディアについては専用マシンにてウィルスチェックを実施
各区域への入域に際しては身体検査を受ける。
(身分証明書の提示が必要)
一見、十分な対策がなされているようだが・・・
Title 日本のサイバーセキュリティ対策の現状
Pg.18
Title 日本のサイバーセキュリティ対策の課題
原子力発電所において隔離された専用ネットワークを使用。
福島の事故後、外部(政府・規制庁等)とのデータ共有のニーズが高まっている=インターネットに接続される可能性
また、Stuxnetのようなインターネットから隔離されたネットワークに対してもUSBを経由して感染するウィルスが存在している
使用(持込み)できるUSBを限定し、外部からの持込みメディアについてはウィルスチェックを実施
ゼロデイ攻撃等、未知のウィルスに対しての対策が十分とは言えない
Pg.19
Title 日本のサイバーセキュリティ対策の課題
こういった問題に対処するには?
Pg.20
Title 米国対応策の適用.1
存在するリスク ハッキングされてしまうと、 プラントデータの漏えいに留まらず、最悪の場合、プラントを
制御され大事故を引き起こし得る。
Pg.21
米国対応策の適用.1
対応策①
一方向特殊セキュリティゲートウェイを適用することにより、
外部とネットワーク接続(データ共有を実現)しつつ、自社
Pg.22
以上を主な背景とし、開発された技術
(名称:Unidirectional Gateway/一方向ゲートウェイ)
データの流れを完全に一方通行に限定する事で、
内部ネットワークと外部とのデータ共有を可能にすると同時に、
内部ネットワークを100%外部脅威から守る事を実現!
米国特許取得済(2010年2月 特許番号:7649452)
1)重要インフラに対するサイバーテロ脅威の高まり
2)ビジネスネットワークからの重要インフラのデータ共有ニーズの高まり
Pg.23
米国・カナダ・ヨーロッパ・アジア(韓国、シンガポール、香港、 日本等)等、世界中で導入されている
電力、石油&ガス、水道、輸送、化学など、多くの業界で展開
米国の原子力発電所のみならず ヨーロッパやアジアの原子力発電所でも導入が進んでいる
Pg.24
TXデバイス:ボックス型装置、レーザーを内蔵し データを送信する機能のみを保有 RXデバイス:同じくボックス型装置、フォトセルを 内蔵しデータを受信する機能のみを保有
TXデバイスとRXデバイス間は 光ファイバーで接続
製品写真:二つのボックス、それぞれが
TXデバイス及びRXデバイス
Pg.25
ファイアーウォールは据付け時の設定作業が複雑な為、ヒューマンエラーに依る 設定ミスが発生する恐れがある。
⇒ファイアーウォールはあくまでユーザーが定めたルールに従い、必要なアクセスのみを許可する為のツール=ソフトウェアベースのセキュリティシステム(双方向に通信可能)
一方向セキュリティゲートウェイはフィジカルベースのセキュリティシステムであり、ハード的にreturn wayが存在しない。(一方向に限り通信可能)
従来のファイアーウォールとの違い
ファイアーウォール
Pg.26
①TXエージェントが、データストリーム/プロトコル/アプリケーション情報についてサーバーと通信を実施
②TXエージェントが、それらの情報を独自のプロトコルに変換し、TXアプライアンスへ送信
③一方通行の光ファイバーリンクを通じてTXアプライアンスからRXアプライアンスへ情報を転送
④RXエージェントが、RXアプライアンスから情報を収集し、独自のプロトコルに変換
⑤RXエージェントが、データストリーム/プロトコル/アプリケーション情報についてサーバーと通信を実施
履歴サーバと通信するIPアドレスを、TXエージェント側にて手動で設定
TXで収集したデータの中から、履歴データ及びそのメタデータを抽出し、RXへ送信
TXからRXへは、IPアドレスやルーティング情報は送信されない
ヒストリアンのポイント名やデータタイプ等、コンテンツに関するものが送信される
⇒送信には内在する、2地点間レイヤー2プロトコルを使用
アーキテクチャ
Pg.27
プロセス計算機サーバ
(二重化)
プロセスデータバス (Ethernet 100Base-TX )
イベントバス (Ethernet 100Base-TX )
PIO装置
各制御システム
所内PC
プリンタ
適用イメージ
中操CRT
管理用クライアント
一方向ゲートウェイ
エンジニアリングサーバーシステム
所内LAN (Ethernet 100Base-TX )
PIO装置
各制御システム Pg.28
インターネット
前述の通り、米国では10CFR73.54に従い、原子力発電所を運営 する各事業者に対しサイバーセキュリティ対策の実施が義務付けられているが、その規制ガイドであるReg Guide 5.71の中には次の様なRequirementが記載されている。
『Only one way data flow is allowed from Level 4 to level 3 and from Level 3 to Level 2.』・・・
※レベル4が最も高いセキュリティレベル
例:中央操作室側サーバ:レベル3、事務本館側サーバ:レベル2
↓ 異なるセキュリティレベルでの通信(例:中操⇔事務本館)に関しては
一方向のデータフローのみが許可され、双方向通信のファイアーウォールの
代替策として一方向ゲートウェイが推奨されている
一方向ゲートウェイ 適用の背景①
Pg.29
また、以下の様なRequirement も存在している
『Initiation of communications from digital assets at lower security levels to digital assets at higher security level is prohibited』
→通信にあたり、低セキュリティレベルから高セキュリティレベル
への接続確立のためのリクエストが禁止されている
一方向ゲートウェイ 適用の背景②
Pg.30
→以上のような背景により、一方向 特殊セキュリティゲートウェイが米国 原子力業界で普及 ※2012年までに全ての米国原子力 業界が採用済
Title 米国における適用実例
米国ペンシルバニア州では、1979年に同州内で起こったスリーマイルアイランド原子力発電所2号機の事故後、発電所の状態をリモート監視する取組みを開始
取組みの一つとして、
ERDS(Emergency Response Data System)を使用
運用/管理 = 米ペンシルバニア州政府
ERDSを使用し、ペンシルバニア州に位置する全ての原子力発電所(同州内:10基)の稼働状態を発電所の外にある州施設にて、 遠隔監視
Pg.31
Title ERDS導入の目的
監視対象となる全ての原子力発電所の稼働状態を、発電所の外にある州施設にて、リモート監視が可能
⇒発電所運転員による万が一の操作ミスを回避/対処可能
自治体及び地域住民に対して完全な情報の見える化を可能にする事により、事故時のリアルタイムの発電所状況をとらえ、住民の不安を軽減可能
問題発生時に、同一情報を共有する事により専門家の意見を聞きやすくなり、それにより問題対応を迅速に行う事が可能になる
Pg.32
ERDSを運用している州施設は;
BRP(ペンシルバニア州放射線防護事務局)
*従業員数約100名、担当者が常駐
DEP(ペンシルバニア州環境保護局)
PEMA(ペンシルバニア州非常事態管理機関)
*原子力以外の全ての災害に対応する機関
*原子力発電所災害時にBRP職員及び州知事が集結
*オフサイトセンターの様な施設
ペンシルバニア州監視体制
Pg.33
ERDS システムオーバービューテムオーバービュー
中央操作室画面
プロセス計算機サーバ
一方向ゲートウェイ
インターネット
エンジニアリングサーバ
同一情報【画面】を共有
各計測器 所外PA州施設BRP/PEMA 発電所データ 表示システム
データ
外出先 (出張用PC)
BRPオフィス及びペンシルバニア州内 原子力発電所位置関係
:BRP所在地
①
②
③
④ ⑤
アメリカ合衆国地図 ペンシルバニア州地図
① Beaver Valley発電所 (BRPから約300km) ② Three Mile Island 発電所 ③ Susquehanna 発電所 ④ Peach Bottom 発電所 ⑤ Limerick 発電所
拡大
Pg.35
Title 米国対応策の適用.2
存在するリスク
Pg.36
産業ネットワーク (プラント側)
ビジネスネットワーク (事務本館側)
米国対応策の適用.2
Pg.37
Pg.38
対応策②
①複数のウイルス対策ソフトを単一サーバに搭載して任意のマシンをスキャンすることによって、ほとんどのウイルス・マルウエアを検知する。(ゼロデイ攻撃に対する検知率を大幅に向上)
②高セキュリティ施設の入り口に外部から持ち込まれるマルチメ
ディアをすべてスキャンする機器を設置し運用することによっ
て、プラントのセキュリティを確保する。(物理的な観点からの
サイバーセキュリティ対策)
米国対応策の適用.2
Title Metascan/Metadefender
米国OPSWAT社によって提供されている製品
日本の総代理店はネクスト・イット株式会社
Metascan
複数のウイルス対策エンジン(最大30)を利用してウイルス
スキャンを行うソフトウェア。 ※日本企業の多くが、マイクロソフト・トレンドマイクロ・マカフィー・シマンテックの四社の
うち、いずれか一社のウィルス対策ソフトを使用している
→サイバーテロの格好の標的
Metadefender
プロファイルによるファイルのフィルタリング(許可/隔離/削除)を
自動で行い、マルウェアが潜んでいるリスクの高いファイルを
ブロックする。米国原子力発電所の約80%が採用。
Pg.39
持込OK!
USBメモリ 許可されたファイルをUSBにコピー。
スキャン・処理
スキャン・処理
Metadefenderとは
*施設の入口付近に設置されるキオスク端末
Metascan/Metadefender
②残ったファイルを複数メーカー(最大30社)のエンジンを使用してウイルススキャン
Metascan
Metadefender
①プロファイルによるファイルのフィルタリング(許可/隔離/削除)を 自動で行い、マルウェアが潜んでいるリスクの高いファイルを ブロック
Pg.40
Title Metadefender画面例
Pg.41
Title 米国対応策の適用(纏め)
産業ネットワーク (プラント側)
ビジネスネットワーク (事務本館側)
Metascan
Metadefender
Pg.42
インターネット
Title 結論
以上のような対策をうまく日本の原子力発電所に取り 入れることにより安全性の更なる向上を目指す →深層防護の考え方が不可欠 セキュリティに絶対は無く、また、ハッキングの手口も 日進月歩でますます高度化しており、それに合わせ た最新の防護対策の検討を行い、複数の対策 を講じる必要がある
Pg.43
ご清聴有難う御座いました。
