制御システムセキュリティカンファレンス2013に参加して

雑感
01 /29 2013
制御システムセキュリティカンファレンス2013に参加して

先週の木曜日(1月24日)に、「制御システムセキュリティカンファレンス2013」に参加してきました。

簡単ですが、内容をご紹介します。

昨年(「制御システムセキュリティカンファレンス2012」)は、制御システムセキュリティの実態とユーザ企業(団体)における活動例が中心でしたが、今年は、制御システムセキュリティを取り巻く動向と主として制御システム(機器)ベンダへの情報提供が多かったように思います。

私なりに、各講演をまとめてみました。

1.各国はサイバー空間を陸・海・空とならぶ軍事戦略次元と位置づけ、「重要インフラへのサイバー攻撃は戦争行為」と見なす方向で検討や声明をだしている。
2.国内では、技術研究組合「制御システム・セキュリティ・センタ」(CSSC)が発足し、制御システムのセキュリティ問題への取り組みが本格化している。
2.OSVDB(OPEN SOURCE VULNERABILITY DATABASE)に登録された制御システム製品の脆弱性件数は、下記のように、年々増加傾向にある。
  2007年  12件
  2008年  22件
  2009年  13件
  2010年  31件
  2011年  164件
  2012年  191件
3.脆弱性情報を製品利用企業向けに購読契約ベースで販売する会社までが、出現している。(上記の、OSVDBは、ボランティアベースで無料だが、年間利用料が100万円を超えるデータベースもある)。
4.アメリカのICS-CERTは、重要インフラ事業者への標的型攻撃が活発化している現状に注目している。
5.マイクロソフトは、セキュリティ問題に真剣に取り組んでいる。
6.2004年にSDL(Security Development Lifecycle)という、安全なソフトウェア製品開発のための開発プロセスを提唱し、現在、Version2.0に改版。セキュリティテスト、セキュアコーディング、技術者の啓発とトレーニング等を統合し効果的かつ安定したエンジニアリングとして推進。
7.株式会社フォティーンフォティは、TCP/IPなどの汎用プロトコルのセキュリティ検査(ソフトウェアのバグを検出する)のためのファジングツールを開発。
8.なお、このツールは、ISASecure Certificationとして規定された認証のEDSA(Embedded Device Security Assurance Certification)認証に適合
9.制御システムのインシデントに関しては、世界各国で報告があがっているが、日本でのインシデント情報は話題にはなるが真偽は不明。必要な情報共有を行い、不安を払拭することが大事。なお、コンピュータセキュリティのインシデントへの対応に関する資料を参照。また、「工業用制御システムにおけるサイバーセキュリオティインシデント対応能力の開発」も参考にしてほしい。
10.なお、JP-CERTでは、制御システム関係者向けインシデント対応トレーニングや制御システム向けセキュリティ自己評価ツール「J-CLICS」、情報共有のサイト「ConPaS」などのサービスを提供しており、活用して欲しい。

━━━━━━━━━━━━━━━━━━
ODVA日本支部 事務局
E-mail:ODVA-TAG.Japan@odva.org
━━━━━━━━━━━━━━━━━━
スポンサーサイト

標的型サイバー攻撃に立ち向かう為に

雑感
10 /05 2012
標的型サイバー攻撃に立ち向かう為に

本日、セキュリティ関連のセミナーに出席したところ、IPAの小林氏が、首記のタイトルで講演をされました。

簡単に、内容を報告します。

1.標的型メール攻撃の傾向
  ・サイバー攻撃のキッカケは”標的型メール”
  ・”標的型メール攻撃”は、10年間続いており、被害が食い止められていない。
  ・最近2年間で被害が顕在化してきた(政府機関、製造事業者など)
  ・攻撃にはソフトウェアの古い脆弱性が悪用されている。
    --> ソフトウェアのアップデートなどをタイムリーに行って入れば、攻撃を防げる可能性が高まる。
  ・OSに比べて、(Adobe Reader、JREなどの)クライアントソフトの更新作業がなされていない。
2.標的型攻撃の特徴
  ・Stuxnetなどの兵器レベルから金銭目的、諜報目的など様々なタイプが存在する。
  ・特徴としては、
    -標的を含めた一定の期間内に関連する業界団体に対して、一連の攻撃を繰り返す。
    -標的の身辺の事前調査を入念に行う。
    -そのため、実在メールの返信など、攻撃と気づかせない状況が作り出されている。
  ・攻撃が検知できない、攻撃者がシステムの状況に応じて攻撃方法を変えるなど、対策が難しい。
3.新しい発想に立った対策
  ・現状のネットワークセキュリティは、外から内への侵入に備える境界防御の概念であるが、完全に侵入を防ぐのは困難
  ・侵入されることを前提に「実害を防ぐ」対策が必要
  ・入口(侵入を防ぐ)と出口(情報を外部に出さない)の二重のセキュリティ対策を
  ・IPAは、「新しいタイプの攻撃」の対策に向けた設計・運用ガイドをリリース
4.IPAの取り組み
  ・サイバー情報共有イニシアティブ(J-CSIP)を立ち上げ活動・・・重工業会社から電力、ガス、石油などへ広がる
  ・MyJVNバージョンチェッカで、ソフトウェアのバージョンを確認して欲しい

━━━━━━━━━━━━━━━━━━
ODVA日本支部 事務局
E-mail:ODVA-TAG.Japan@odva.org
━━━━━━━━━━━━━━━━━━

制御システムセキュリティカンファレンス2012に参加して

雑感
02 /07 2012
制御システムセキュリティカンファレンス2012に参加して

先週の金曜日(2月3日)に、皆様にもお知らせしていました、「制御システムセキュリティカンファレンス2012」に参加してきました。

簡単ですが、内容をご紹介します。

発表者の方々は、経済産業省 情報セキュリティ政策室長の江口様をはじめ商務情報政策局の「制御システムセキュリティ検討TF」に関わる方々が中心となり講演されていました。また、企業のセキュリティ対策の実態として、日本ガス協会様と三菱化学株式会社様の講演がありました。

各講演の趣旨を要約すると、以下のようになると思います。
1.Stuxnetが発見されてから、制御システム(含む、PLC、DCS、PCベースのツールやシステムなど)にもセキュリティ対策が必要になっていることが注目されだした。
2.セキュリティ標準として、IEC 62443シリーズやANSI/ISA 99(ANSI/ISA 62443に名称変更)シリーズが整備されつつある。
3.海外への輸出では、セキュリティ認証の取得が条件になるものもでてきた。
4.制御システムへの攻撃を実際に行ってみると、ほとんどのシステムが脆弱性を抱えている。
5.制御システムのセキュリティは10年前の状況であり、簡単な”C言語”のセキュアなコーディングルールから実行すべき。徐々に、「認証」「暗号化」の検討を。
6.日本では、「産学官連携サイバーセキュリティコンソーシアム(技術研究組合)」を設立し、テストベッドの設置(セキュリティの検証)、標準化活動、認証、人材育成、普及啓発等を実施していく予定。


皆様のシステムも一度、セキュリティ対策について見直しをされてはいかがでしょうか?


なお、ODVAでは、EtherNet/IPのためのサイバーセキュリティに対するガイドラインを発表しました。

実際のガイドライン文書は、こちらになります。

セキュリティ見直しの参考にしていただきますように、お願いします。

━━━━━━━━━━━━━━━━━━
ODVA日本支部 事務局
E-mail:ODVA-TAG.Japan@odva.org
━━━━━━━━━━━━━━━━━━

新年あけましておめでとうございます

雑感
01 /02 2012
新年あけましておめでとうございます

日の出

旧年中は、大変お世話になりました。

おかげさまで、本ブログも3000名様を超えるアクセスを得ることができました。

今年は、ODVA日本支部のホームページも充実させていきますのでよろしくお願いします。

━━━━━━━━━━━━━━━━━━
ODVA日本支部 事務局
E-mail:ODVA-TAG.Japan@odva.org
━━━━━━━━━━━━━━━━━━

早いものでもう12月です!

雑感
12 /01 2011
早いものでもう12月です!

今日から12月になりました。

まだ一ヶ月ありますが、今年もあっという間の一年でした。

ODVAでは、この一年、以下のような活動を行ってきました。

2月:「デザインセミナ」を開催@大阪
イーサネットプロトコルの解説と実際にネットワークを構築する方向けのセミナを開催しました。

2月:「EtherNet/IP開発者セミナ」を開催@大阪
これからEtherNet/IP機器を開発しようという方々を対象に、開発者セミナを開催しました。

7月:「デザインセミナ」を開催@東京
イーサネットプロトコルの解説と実際にネットワークを構築する方向けのセミナを開催しました。

7月:「EtherNet/IP開発者セミナ」を開催@東京
これからEtherNet/IP機器を開発しようという方々を対象に、開発者セミナを開催しました。

10月:「ODVAカレッジ2011」を開催@東京
市場動向やCIP技術の解説から、ケーブル・コネクタ・スイッチなどの選定方法/注意点からトラブルシューティングまで幅広くセミナを行うとともに、CIP技術を利用した幅広い製品の展示を行いました。

11月:「システムコントロールフェア2011」に出展@東京
東京国際展示場で開催された「システムコントロールフェア2011」にODVAブースを展示しました。

ODVAの委員会では、これから来年度の計画を立てる予定にしています。

来年は、開発者セミナをより充実させていこうと思っていますが、こんなことをして欲しいという皆様のご要望をお聞かせ願えれば幸いです。

━━━━━━━━━━━━━━━━━━
ODVA日本支部 事務局
E-mail:ODVA-TAG.Japan@odva.org
━━━━━━━━━━━━━━━━━━

ODVA TAG Japan

ODVA TAG Japan事務局が運営するODVAのブログです。

ODVA TAG Japanのホームページもよろしくお願いします。