制御システム利用者のための脆弱性対応ガイド -...

重大な経営課題となる制御システムのセキュリティリスク制御システム利用者のための脆弱性対応ガイド

～ 制御システムを運用する企業が実施すべきポイント ～

＊この資料は複製・配布自由です

1

/

2

1 3

2 9

3 14

23

/

/

3

1.

/

4

1.1.

5

1.2. (1)

PC

PC PC

PC

Windows LinuxOS PC

6

1.2. (2)

PC *

p.10-p.12

USB

PCUSB

USB

PC

*

7

1.3. (1)

*

2020

*

2014 11

8

1.3. (2)

p.10-p.12 BCP

2.

9

2.

/

10

2.1. (1)

1

50 1,400 17

2005 8 18 13

50,000 50 1,400

17

IT , 2009.3, pp.23-24 https://www.ipa.go.jp/files/000013981.pdf

11

2.1. (2)

2

BP British Petroleum

3

2008

Bloomberg, “Mysterious ’08 Turkey Pipeline Blast Opened New Cyberwar Era,” 2014.12.10

http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html

[1]BSI , “Die Lage der IT-Sicherheit in Deutschland 2014 2014 ” https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile [2]BBC, “Hack attack causes 'massive damage' at steel works,” 2014.12.22, http://www.bbc.com/news/technology-30575104

12

2.1. (3)

5

USB

4

50

, 2011.11.27

MONOist 5 http://monoist.atmarkit.co.jp/mn/articles/1402/12/news082.html

13

2.2.

BCP

CSMS 5 p.28

p.20 p.21 - p.22

14

3.

/

15

3.1.

PLC

HMI

OA

/

FW

FW

PLC

/

*PLC Programmable Logic Controller HMI Human Machine Interface

DCS Distributed Control System

(DCS)

16

3.2.

10 20 3 5

24 365

17

3.3.

4

LAN /

USB USB

USB

LAN

PC ID

* 6 p.29

18

3.4. (1)

19

3.4. (2)

p.22

4 p.27

Windows XP

Windows XP 2014 4

Windows XP

Windows XP

20

3.5.

1

/ /

USB

20

2

* ISASecure EDSA Embedded Device Security Assurance

EDSA *

21

3.6. (1)

1 USB

/

USB USB / USB PC

USB

USB

22

3.6. (2)

2

p.21

IDS

7 p.30

23

1. 2. 3. JVN iPedia 4. 5. CSMS 6. Stuxnet Havex 7. URL

24

1.

CSSC 26

EDSA

JIPDEC ISMS/ITSMS/BCMS

CSMS

IPA

JPCERT/CC

JPCERT/CC

2011 12

2012 3 CSSCIPA JPCERT/CC

CSSC

25

2.

IPA 26 110

IPA JPCERT/CC JPCERT/CC

Web

26

3. JVN iPedia

JVN iPedia http://jvndb.jvn.jp/

600

JVN iPedia

JVN: Japan Vulnerability Notes JPCERT/CC IPA NVD: National Vulnerability Database NIST

41,816 43,371 45,161 46,860 48,427 51,499

0

10,000

20,000

30,000

40,000

50,000

60,000

0500

1,0001,5002,0002,5003,0003,5004,000

3Q2013

4Q2013

1Q2014

2Q2014

3Q2014

4Q2014

JVNNVD

27

4.

2012 1 PLCProgrammable Logic Controller

*

5 6

PLC

* URL http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-12-020-01.pdf

PLC

PLC

28

5. CSMS

IECIEC 62443-2-1 CSMS

2010 IEC 62443-2-1

CSMS

3

PDCA

*CSMS Cyber Security Management System for IACS (Industrial Automation and Control System)

29

6. Stuxnet Havex

Stuxnet

Havex

PLC Programmable Logic Controller 8,400 3

Stuxnet USB PC

PLC

Microsoft Windows 5 4 SCADA

OPC

2014

PC OPC OPC

SCADA: Supervisory Control And Data Acquisition OPC: OLE(Object Linking and Embedding) for Process Control

30

7. URL

CSSC

http://youtu.be/wbEiDQZU5sI

IPA

https://www.ipa.go.jp/security/keihatsu/videos/index.html

IPA Web

https://www.ipa.go.jp/security/controlsystem/index.html

NECA http://www.neca.or.jp/wp-content/uploads/control_system_security_guideline.pdf

SSAT(Scada Self Assessment Tool) JPCERT/

https://www.jpcert.or.jp/ics/ssat.html

(J-CLICS) JPCERT/

https://www.jpcert.or.jp/ics/jclics.html

, JPCERT

https://www.ipa.go.jp/security/ciadr/partnership_guide.html

JVN http://jvn.jp/

JVN iPedia http://jvndb.jvn.jp/

JPCERT https://www.jpcert.or.jp/ics/information05.html

Web

http://www.css-center.or.jp/

CSMS

http://www.jipdec.or.jp/information/newsrelease/20140425.html

CSMS

http://www.isms.jipdec.or.jp/csms/doc/JIP-CSMS111-08.pdf

〒 113-6591東京都文京区本駒込2丁目28番8号 文京グリーンコートセンターオフィス16階URL https://www.ipa.go.jp/security/電話 03-5978-7527 　FAX 03-5978-7518

独立行政法人情報処理推進機構

重大な経営課題となる制御システムのセキュリティリスク～ 制御システムを運用する企業が実施すべきポイント ～

【制御システム利用者のための脆弱性対応ガイド】

2015年3月 第1版発行