IEC 61850は、変電所におけるデジタル変電所アーキテクチャ、ツールの標準化、およびプロトコルの国際標準であり、標準化とICSセキュリティにとって大きな勝利である。これは世界中で採用されており、ユーティリティ企業やオペレーターが新しい機器を効率的に試運転、相互運用、保守できるようにしている。
しかし、その通信プロトコルのひとつであるGOOSEは、有効ではあるものの、いくつかのセキュリティ上の問題を抱えている。世界中の多くの研究者がこの問題に対処するための提案を出しているが、IECはすでにこのような欠陥に対処するための標準的な方法を定義している。IECのアプローチが、世界中の送電網や変電所のセキュリティ向上にどのように利用できるかを見てみよう。
IEC 61850-8-1: GOOSE プロトコルの仕様
このプロトコルは、変電所のIEDがプロセスバス上でステータスとイベントを共有するために使用されます。GOOSEの背後にある設計は、パブリッシャー/サブスクライバーのパターンに基づいており、パブリッシングはイーサネットを介してイベントをマルチキャストすることで行われ、サブスクライバーはそれを受信して自由に処理することができます。
イベントは同様のアプリケーション・レベルのセマンティクスを持つ概念的な「制御ブロック」で伝送される。各 GOOSE 制御ブロックに対して、プロトコルは「より新しい」ステータスが使用されることを確認するために 2 つの異なるシーケンス番号(stNum と stVal)を採用します。stNum シーケンス番号はステータスが変更されたときに更新され、stVal は stNum 値によって定義されキャプチャされたステータスがまだ有効であるときに更新されます。stNumシステムは成長し続け、進化し続けるが(それを最初にロールバックするためのルールがステートマシンにあるにもかかわらず)、stValシステムは、同じステータスが時間が経っても有効なままであれば、最終的にインクリメントされる。
とはいえ、元のプロトコルはインジェクション攻撃やリプレイ攻撃から保護されていないため、悪意のある行為者は、ネットワークで観測されたものと同様の GOOSE フレームを生成することで、変電所のセキュリティを脅かすことができますが、その値は操作されています。たとえば、悪意のある行為者は、現在の値よりもはるかに大きな stNum を持つ GOOSE 制御ブロックを注入して、正当な発行者から送信されるステータスの実際の値を上書きすることができます。プロトコルの認証されていない性質のため、この攻撃には多くのバリエーションがあります。
今日、通信経路選択プロセス(すなわち、GOOSE は論理的な変電所 VLAN に制限されることになっている)は、これらのメッセージを送受信するデバイスの周囲を制限するために使用されています。しかし、これらのプロトコルレベルの弱点を解決するための標準化されたソリューションが存在します。
GOOSEプロトコルレベルの脆弱性問題の解決策
いくつかの異なる研究努力や提案がなされてきたが、IEC 61850を成功に導いたベンダー間の互換性を保証するためには、単一の規格を展開することが非常に重要である。
その単一の解決策は、GOOSEメッセージが完全性のために署名できるようになった(場合によっては暗号化も)という前提に基づいている。このような処理に使用される鍵管理も標準化され、運用と保守が容易になりました。
IEC 62351-6 は、フレームにセキュリティ拡張セクションを追加することで、IEC 61850 プロトコルと GOOSE メッセージのセキュリティを確保する方法を概説しています。
GOOSE プロトコルレベルの弱点を保護するための答えは、Reserved フィールド(IEC 61850-8-1 で定義)を使用して、Security Extension が存在するかどうかを理解できることを理解することにあります。もしそうなら、Security Extension は GOOSE ペイロードの HMAC と、それを解釈するために必要な情報を含んでいます。
もちろん、HMACを生成するには、デジタル証明書と鍵管理が必要である。ここで、IEC 62351-9 (鍵管理)が登場する。セキュリティ拡張機能を適切に使用するための IED の設定は、IEC 62351-6 で定義された SCL(変電所コンフィギュレーション言語)の拡張機能を使用して行われる。この側面は、プロトコルとツールを横断して、開発ライフサイクルの完全なカバレッジを保証するために重要である。
IEC 62351-9 は、IEC 62351 ファミリーの規格で定義されているすべてのプロトコルとシステムで要求される主要な管理側面の概要を示している。重要な役割を果たすのは、RFC 6407 で定義された Group Domain of Interpretation (GDOI) の採用である。これは、GOOSE パブリッシャーとサブスクライバーが、有効なセッション鍵を効果的で安全な方法で生成し、使用できることを保証します。
現在ではあまり普及していないが、IEC 61850-90-2(サンプリング値)も同様のセキュリティ拡張を含むように強化されている。このアプローチは、変電所内のライブ測定を保護します。GOOSEで実現された同じ技術的考察と進歩は、Sampled Valuesにも適用できます。
次なる課題IEC 62351のさらなる強化
GOOSEプロトコルは脆弱性に悩まされてきたが、ようやく標準化された方法で対処され、ベンダーによって実装されるようになった。とはいえ、真に安全な送電網システムを実現するために、IEC 62351規格ファミリーのさらなる機能強化が予定されている。暗号化通信が採用されるにつれ、セキュリティモニタリングの焦点は、「悪者をチェックする」アプローチから、エンド・ツー・エンド・システムの健全性とセキュリティを確保するアプローチへと広がっていくだろう。例えば、PKI(公開鍵基盤)が危険にさらされていないか、証明書のプロビジョニングと失効が適切に行われているか、脆弱なサイファー・スイートが無効化されているかなどを確認する。
事業者にとって、可視性とセキュリティ監視技術を導入することは、今後も重要である。この点に関して、Nozomi Networks ソリューションは、IEC 61850とIEC 62351を完全にサポートし、暗号化通信システムのセキュリティと有効性を監視します。
