世界経済フォーラムは、2年連続でサイバー攻撃をグローバル・リスクのトップ5に挙げ、一国の電力システムへの攻撃が壊滅的な影響を及ぼす可能性があることを強調している。送電網のリスクは、ITやその他のシステムへの接続が拡大したために増大し、より多くの脅威にさらされている。同時に、脅威の主体は重要インフラ攻撃により重点を置き、インターネット上のマルウェア・ツールセットの利点を享受している。
残念ながら、今日の電力システムを防御することは難しい。なぜなら、電力システムは通常、帯域幅と効率に最適化された通信プロトコルを使用しており、セキュリティ保護はゼロか単純だからだ。さらに、多くの送電網は、配備後にセキュリティの強化をほとんど受けていない。
この問題に対処するため、2000年代初頭、電力系統管理規格を専門とするIEC技術委員会57は、電力系統をセキュア・バイ・デザインにする方法について検討を開始した。ワーキング・グループ15(WG15)は、技術的観点から要件を評価し、それを実装する標準的な方法を定義するために結成された。
私は2015年からWG15のメンバーであり、スイスのルガーノで開催されたWG15 Winter '17 ミーティングでは、Nozomi Networks を主導した。今春の次回の会合に向けて、これらの規格についてお知らせし、その最新状況をお伝えすることがお役に立つのではないかと考えました。
WG15の概要
最初に WG15 の概要を説明する。このグループは、世界 90 団体の ICS オペレータ、SCADA エンジニア、セキュリティ専門家、ネットワーキング専門家で構成されている。メンバーには、ABB、シーメンス、シュナイダーエレクトリック、ゼネラルエレクトリック、エネル、IREQ、Nozomi Networks 、その他が含まれる。
私たちは、セキュア・バイ・デザインの電力システムに必要な構成要素を特定した。これには、エンド・ツー・エンドの暗号化原則、全ユーザーの役割定義とID管理、システム自体の広範な監視が含まれる。
WG15のもう一つの任務は、サイバーセキュリティの側面を評価・検証するために、他のワーキンググループの文書をレビューすることである。
IEC 62351規格の現状
現在、62351規格ファミリー(詳細な概要はIEC 62351-1: Introductionを参照)は、安全な電力システムのアーキテクチャを描き、そのプロトコルとコンポーネントを標準化している。その概要をよりよく知るために、興味深い読み物がある:IEC 62351-10:TC57システムのセキュリティ・アーキテクチャ・ガイドライン
真に効果的なエンド・ツー・エンドのセキュリティを得るためには、安全なプロトコルが必要である:
- アクターの信頼できる秘密鍵に基づいて、安全な接続を確立する。
- システム内部で行動することを許されたアクターのリポジトリを持つ。
前者はIEC 62351-9で標準化されている:前者はIEC 62351-9:Key Management で標準化されており、後者はIEC 62351-8で標準化されている:また、IEC/TR 62351-90-1「RBAC ガイドライン」でレビューされ、説明されている。
通信プロトコルは、認証、完全性チェック、機密性の欠如など、「一般的なOT プロトコルの問題」を解決する上で重要な役割を果たす。いくつかのOT プロトコルはすでにこれらの分野に対処しているが、OT の世界では、「プロトコルのセキュリティ」が非常に低い、つまりインセキュリティ・バイ・デザインであることが非常に一般的である。このため、IECの傘下で設計された電力系統プロトコルの全セットは、エンドツーエンドの暗号化、ID管理、RBACを提供するように拡張されている。
もちろん、TLS(トランスポート・レイヤー・セキュリティ)のような既存のセキュアなプロトコルの役割は大きいが、セキュアなアーキテクチャのありとあらゆる側面を定義するために、他にも多くの側面が取り組まれてきた。これらには次のようなものがある:
- すべてのデバイスで証明書を使用する
- 長期間のTLSセッションが稀にしか存在しない場合の振る舞いの標準化
- 特定のユースケースのために、まったく新しい暗号化サブプロトコルを作成する。
IEC 62351規格による電力系統の監視
IEC 62351規格群では、エンド・ツー・エンドの暗号化は確かに重要な機能だが、システム・モニタリングも重要な役割を果たしている。実際、電力系統の健全な状態を監視するために、いくつかのパートが割かれている:
- パート7(IS、国際規格)は、IEDやその他の電力系統コンポーネントの能動的な監視に焦点を当てている。この規格では、監視する必要のあるものを定義するために、(UMLによる)汎用的なアプローチが用いられています。さらに、専用のMIB(管理情報ベース)を監視するための実用的なSNMPv3マッピング・プロファイルが提供されています。
- パート14(現在草案中)は、電力系統コンポーネントが生成すべきログに焦点を当てている。フォーマットとセマンティクスを標準化することで、パワーグリッドのログ管理ソリューションの実装とメンテナンスのコストを下げることができます。
- パート90-2(TR、テクニカルレポート)は、IEC 62351暗号化チャネルのディープパケットインスペクション(DPI)をどのように実行できるかに焦点を当てている。この文書では、既存の DPI 技術の現状と、それらが今日の IEC 62351 チャネルの監視にどのように適用できるかを説明している。また、より簡単で安全な通信のDPIを可能にするために、プロトコルや技術に適用する変更を分析するための参考文献でもある。
このトピックについては、賛否両論があるため、多くの議論がなされてきた。とはいえ、マシン・ツー・マシンの枠組みで暗号化通信を深く監視することは、進行中の活動を完全に可視化するなど、そうでない場合よりも多くの利点をもたらす。
- パート90-3(現在草案中)は、上記の3つのパートをまとめることに重点を置いている。これは、深い可視性を得てフォレンジック分析をサポートし、その結果、より信頼性が高く回復力のあるシステムを可能にするために、電力系統を監視する方法について実践的な例を提供することを目的としている。
Nozomi Networks は、OT システムのセキュリティ確保に取り組んでいる。
IEC 62351規格ファミリーの概要について、その基本的な目標から出発し、モニタリングの側面にやや焦点を絞って簡単に説明したが、参考になれば幸いである。これらの規格は電力システムに特化したものではあるが、ガス配給など他の領域でもしばしば使用されている。そのため、セキュアな ICS 通信に必要なコンポーネントの良いアイデアを提供してくれる。
Nozomi Networks は、OT システムの安全確保に非常に力を入れており、安全な通信のための標準が重要だと考えています。そのため、私はWG15に参加し、特に電力系統監視に関連する部分(パート7を見直し、パート90-2をリードし、現在はパート90-3)の規格策定に貢献してきました。
次回は、IEC 62351のモニタリング規格について、そのさまざまなオプションやそれぞれの活用方法など、さらに詳しく解説する。
IEC 62351 規格の参考文献リスト:
- Iectc57.ucaiug.org:WG15 IEC 62351規格と活動に関する公開情報
- IEC/TS 62351-1:はじめに
- IEC/TS 62351-2:用語解説
- IEC 62351-3:TCP/IPを含むプロファイルのセキュリティ
- IEC 62351-4:MMSを含むプロファイルのセキュリティ
- IEC 62351-5:IEC 60870-5および派生規格のセキュリティ
- IEC 62351-6:IEC 61850プロファイルのセキュリティ
- IEC 62351-7:ネットワーク管理用オブジェクト
- IEC 62351-8:役割ベースのアクセス制御
- IEC 62351-9:鍵管理
- IEC/TR 62351-10:セキュリティアーキテクチャ
- IEC 62351-11: XMLファイルのセキュリティ
- IEC/TR 62351-12:DERを備えた電力系統の回復力とセキュリティに関する勧告
- IEC/TR 62351-13:規格と仕様でカバーすべきセキュリティトピックに関するガイドライン
- IEC 62351-14 セキュリティ・イベントのログと報告
- IEC/TS 62351-100-1:IEC62351-5及び関連規格の適合性テストケース
- IEC/TS 62351-100-3:IEC62351-3の適合性テストケース
- IEC/TS 62351-100-4:IEC62351-4の適合性テストケース
- IEC/TS 62351-100-6:IEC62351-6の適合性テストケース
- IEC/TR 62351-90-1:パート 8 の役割の使用に関するガイドライン
- IEC/TR 62351-90-2 ディープ・パケット・インスペクション
- IEC/TR 62351-90-3 ネットワーク管理ガイドライン
