【情報通信研究機構/横河電機/京都大学】制御システムの健全性を確認するトラフィック分析・可視化技術を開発 ~電力・ガス・水道などの重要インフラを支える制御システムのセキュリティインシデントを検知~

2015年9月16日発表

国立研究開発法人 情報通信研究機構
横河電機株式会社
国立大学法人 京都大学

 横河電機株式会社(YOKOGAWA、代表取締役社長: 西島 剛志)は、国立研究開発法人情報通信研究機構(NICT、理事長: 坂内 正夫)及び国立大学法人京都大学(京都大学、岡部 寿男教授、高倉 弘喜准教授(当時))と共同で、電力・ガス・水道などの重要インフラの制御システムのネットワーク健全性を確認するためのトラフィック分析・可視化技術を開発しました。本技術により、制御システムで流れるネットワークトラフィックを分析・可視化することで、マルウェア感染等のセキュリティインシデントを早期に発見することが可能になります。なお、本技術は、YOKOGAWAが発売した、可視化技術と回収・解析を組み合わせて制御システムネットワークの健全性を診断する業界初のサービス「ネットワーク健全性確認サービス」に用いられており、今後、重要インフラに係る制御システム等のセキュリティ向上に貢献することが期待されます。

背景

 近年、電力・ガス・水道などの重要インフラの制御システム(以下「制御システム」)がサイバー攻撃の対象として狙われるようになり、制御システムのセキュリティ確保が大きな課題となっています。制御システムは、汎用OSや標準プロトコルを用いた、よりオープンなシステムに移行し続けており、それに応じた感染経路の多様化(USBメモリ経由での感染など)から、マルウェア感染のすべてを未然に防ぐことは困難になっています。そのため、実際にセキュリティインシデントが発生した際に早期に発見するための技術開発が急務となっています。また、制御システムは、10~20年といった長期間にわたって使用されるため、その可用性(システムが安定して動作し続けること)を損なわない対策技術が求められています。

今回の成果

 NICT、YOKOGAWA及び京都大学は共同で、制御システムにおけるマルウェア感染等のセキュリティインシデントを早期に発見するためのネットワークトラフィック分析・可視化技術を開発しました。

 我々が着目したのは、「制御システムのネットワークは、特定用途のために設計・運用されていることから、多様なトラフィックが流れる一般の情報システムとは異なり、システム内を流れるトラフィックの正常状態を把握しやすい」という点です。

図1  今回開発した技術の概要図
図1 今回開発した技術の概要図

 我々が開発した技術では、まず、制御システムのネットワークを流れる正常状態のトラフィックをホワイトリストとして保存します。このホワイトリストを基に、制御システムネットワークの挙動を時系列的に比較することで、マルウェア感染時のトラフィックの増加や不明なIPアドレスとの通信といった意図しない通信の発生を発見することができます。

 さらに、NICTで開発し、既に技術移転をしているリアルタイムトラフィック可視化ツールNIRVANAを基に、制御システム独自の通信プロトコルに対応させるなどの改良を行い、異常が発見された際のトラフィック状況の把握が容易になりました。(図2-正常時、図3-インシデント発生時)

 本技術は、制御システムの各サーバに検出用のソフトウエアをインストールする必要がなく、導入が容易であり、制御システムに求められる高い可用性に影響を与えることなく、インシデント検知が可能です。

図2  制御システムのネットワーク可視化例(正常時)
図2 制御システムのネットワーク可視化例(正常時)

図3  制御システムのネットワーク可視化例(インシデント発生時)
図3 制御システムのネットワーク可視化例(インシデント発生時)

 (ここでは、中央右側のコントロールルームA内の1クライアントサーバーがマルウェアに感染し、ネットワーク内に攻撃のための大量のトラフィックを送信している様子が可視化されている。)

今後の展望

 今回開発した技術は、共同研究相手であるYOKOGAWAが発売した制御システム向けサイバーセキュリティ対策支援サービスである「ネットワーク健全性確認サービス」に活用されるなど、今後の制御システムのセキュリティ向上に役立てられることが期待されます。

 我々は、今後も制御システムにおけるサイバーセキュリティ対策技術に関する研究開発を推進し、安心安全な社会の実現に貢献してまいります。

用語解説

※ NIRVANA(ニルヴァーナ: NICTER Real-network Visual ANAlyzer)
NICTが開発したトラフィックをリアルタイムに可視化・分析するシステム。NIRVANAは、大規模化・複雑化するネットワーク管理の負荷を、トラフィックの「見える化」によって軽減し、障害発生時に迅速な対応が可能になります。NIRVANAは技術移転が可能です。

NIRVANAによる表示画面 (左: パケットモード、右: アドレスブロック表示)
NIRVANAによる表示画面 (左: パケットモード、右: アドレスブロック表示)

以上

本件に関するお問い合わせ

関連製品&ソリューション

セキュリティ対策サービス

さまざまなセキュリティの脅威からプラントや工場を守り、安定・安全に操業するためには、適切なセキュリティ対策で、セキュリティリスクをコントロールする必要があります。

トップ