産業IoTインフラのセキュリティを守るための研究開発の取 …...IoTがやってきた！しかし？• 今の産業ネットワークでは、外部との情報交換は

© 2017 National Institute of Advanced Industrial Science and Technology.All rights reserved.

産業IoTインフラのセキュリティを守るための研究開発の取り組み

産業技術総合研究所情報技術研究部門

大岩寛2017.12.20

1


もくじ• 背景：産業用ネットワークの

セキュリティリスク• IoTがやってきた！

– ……しかし？• 何が必要か？• 我々の取り組み

2


産業用ネットワークとインターネット

• 産業用ネットワークとインターネットの技術が急速に統合– 産業機器ネットワークのEthernet化– 産業制御機器の汎用OS（Windows）化

– 2つの領域がよく似た技術になった→ インターネット側のセキュリティトレンドが産業用ネットワークにも大きく影響

3


産業用ネットワークとセキュリティの脅威 (1)

• （背景として）2004年以降のPCセキュリティ– 各PCの入り口と、PC内部で2重に防御

• PCの入り口：パーソナルファイヤウォール– PCへの外部からの要求は基本拒否

» PCは基本的に、外部から制御される必要が無い• PCの内部：アンチウィルスソフト

– ソフトウェアの動作に自ら干渉して、不正動作を監視» 余分なCPUパワーを消費し、動作は不安定化» その分、PC自体の性能を強力にして対応する

– その前提で、PCはインターネット直結OK•公衆WiFi等では実際に直結される。

4

Blasterウィルス以降


機械A 機械B 機械C

制御機器等

制御機器等

管理機器等

ファイヤウォール

インターネット

情報系NW

生産管理系NW

制御系NW


• 産業用ネットの基本的考え方：– 全体設計と分析・管理で攻撃の入口を守る

• 機能ごとにNWを分割• 各層の境界で通信を隔離• それぞれの境界で流れるデータを厳しく限定

– 産業機械そのものはほぼ無干渉で通信可能

「何重にも囲んだバリケード」のモデル



• 産業用ネットの基本的考え方：なぜこうなっているのか？– 産業機械そのものは極めてセキュリティに脆弱

•アンチウィルスを使いたくない／使えない– 動作の安定性・可用性が最優先

•セキュリティ保護や更新が入らない– 10年単位での古い機械が大量に存在– OSを更新するとドライバの動作などが保証できない

•各端末に外側から設定や管理作業が必要– 要求を受け付ける仕組みが必須

→ 仕方なく、外側で何重にも防御を重ねる6



• 産業用ネットの弱点(1)一度内部に入られると極めて脆弱– 制御機器などが

Ethernet＋汎用OS化→ 汎用のウィルスがUSBメモリ等で持ち込まれる

• 一旦入られると、横伝いに大量感染のリスク

• 攻撃を直接受けることを想定しない機器は攻撃に極めて無力

7


制御機器等

制御機器等

管理機器等



情報系NW

生産管理系NW

制御系NW



• 産業用ネットの（？）弱点 (2)– 小規模の現場の深刻な問題：放置プレーまたは管理疲れ

•導入時は、機械納入者にネットワークお任せ– 機器毎に別々のネットワークを引いていくことも

•以降、放置– 現場にはほとんどIT管理に掛けるコストが無い– 他人が設定しているので、どうして良いか分からない– 機器を入換えても見直しもセキュリティ更新もできず

セキュリティがどんどん劣化していく一方

8



• やられた実例– Stuxnet (2010)

•海外の核燃料工場にUSBメモリ経由等で侵入•制御機器を乗っ取り、製造装置を物理的に破壊

– Miraiワーム (2016)•不用意にインターネットに繋いだ大量のWebカメラ等を乗っ取り

– デフォルトパスワードの機器の管理口から容易に侵入• DDoS 攻撃でインターネット基盤を麻痺させる

9


The Internet

IoTの近未来像

街←→サイバー空間サービス連携交通流動最適化異常検知・スマート警備移動支援・スマートモビリティ狭域気象予測・把握

センサー提供者

（官・民）

センサー提供者

（官・民）

センサー利用者

（官・民）センサー利用者

（官・民）

ＩｏＴ：情報の流通が

新たな価値を生み出す

社会のパラダイム


産業界にもIoTがやってきた！• 産業分野でも様々な構想

• Smart Indutries, Industrie 4.0, Industrial Internet, …– 産業機器同士の密連携動作による効率的生産– 生産とサプライチェーンの連動– クラウドへのデータ集約と分析で予知保全– 高度なデータ分析や生産指示を遠隔クラウドで（秘密のノウハウを顧客から隠蔽・隔離）

P.S. センサーを後付けして生産活動の外側でカイゼンするIoTもあるが、産業機械の生データを使い、生産そのものの改善に踏み込むのが大本命。

11


産業界にもIoTがやってきた！しかし？

• 今の産業ネットワークでは、外部との情報交換は困難– 連携先機器やクラウドは、多重の「バリケード」の向こう側

– IoTサービス導入ごとに、セキュリティの再分析・設定変更はとても不可能。

– かといって、現状の産業機器はとてもそのままインターネットには曝せない。

12


制御機器等

制御機器等

管理機器等



情報系NW

生産管理系NW

制御系NW


何が必要か？• 長期的には

– 「強靱で自らセキュリティを維持できる産業機械」が理想

•今のPC以上、サーバ並みのセキュリティ強度が必要•セキュリティ更新も数十年続ける必要がある

• とはいえ、現状はとても追いつかない。→ 今ある機器をどう安全に使い、

IoT の世界に繋いでゆくか、を考えたい。13


我々の1つの取り組み: DOORMEN アーキテクチャ

• 産業機器を強力に保護するセキュリティ自律管理ネットワーク– 産業機器で「やりたいこと」「使いたい機能」だけをネットワーク側に注文

• あとは全てDOORMENが自動で管理してくれる– 今使う機能以外の通信は、自動で全て遮断

• マルウェアが入り込んでも、感染を拡げられない• 機器を乗っ取られても、無関係の機器に干渉できない

– 機能拡張やIoTサービス導入等にも追従できずっと管理できるネットワークを提供

• 注文の内容を変えれば、全自動で追従してくれる14


DOORMEN の基本アイディア① 産業機器の持つ機能（サービス）を中心にネットワークを管理

② 細かい通信の制御設定は全自動化

– 状況の変化に全自動で追従③ 通すべき機能の通信だけを通過させる、「OKリスト」による管理

– 確実性が高く誤検知のない、産業向きの制御

– 異常な通信も正確に検知でき対処できる

15


DOORMEN: 何ができる？ (1)• ユーザ・利用者の目線でネットワークを管理できる。– 産業機器を使って「やりたいこと」から通信の「やりかた」は自動で計算してくれる。

• 機器間の連携も、個別の組合せでどんどん追加できる。• IoT連携サービスなども、簡単に追加できる。

– 端的には、「機器台帳」を管理さえできればずっとセキュリティを維持し続けられる。

– 必要な機能を使うときだけ、セキュリティ設定を簡単に変更できる。

• メンテナンス等でも、管理ポートなどを普段開けておく必要が無い。

16


DOORMEN: 何ができる？ (2)

• 現状よりずっと緻密に制御できる。– 既存の産業機器はそのままで、通信の内容をネットワーク側で制御できる。

– 同じ機能の通信でも、通信の相手ごとに可否を制御できる。

•例えば、管理機能は管理端末からしか使えない、など容易に制御できる。（Miraiワームを抑止）

– 正常な通信機能は絶対に阻害されないので、産業機器にも安心して使える。

– 時々刻々の変化に制御が自動的に追従する。17


DOORMEN: 何ができる？ (3)

• 状況を常に把握・対処できる。– 正常通信を常にDOORMENが把握しているので、異常が起こった際もすぐに検出できる。

– 各機器を個別に制御できるので、異常が起こった機器だけを速やかに対処できる。

•異常通信を抑制して他の機器の通信の妨害を防ぐ。•警報を管理者に送出して指示を仰ぐ。•機器をネットワークから切り離して隔離する。

• 全体として、管理コストを下げつつ遙かに高精度に確実な通信制御をできる。

18


DOORMEN: ロードマップ

19

フェーズ1： 2019～20年（7月よりNEDOプロを開始）

1拠点ネットワークの全自動制御（レイヤ2の制御の確立）

・工場・病院などのネットワークの通信の自動管理・制御と異常対処

フェーズ2： 2021～22年

クラウドなど外部接続の管理（レイヤ3の制御との連動）

・クラウドなど拠点外との通信の制御・拠点ごとのポリシーの制御への反映

フェーズ3

IoTプラットフォームとの連携

・自動的な情報探索・連携と、自動的な通信制御の連動積極的にデータ流通を支える仕組みとしての情報セキュリティ機能

フェーズ4

広域通信の自動制御・通信網の特性を生かした通信手段や経路選択への反映

・拠点間の自動的ポリシー調整・ Security as a Service化


DOORMEN: 課題• 高速で詳細な通信の制御の仕組み

– ネットワーク機器そのものの性能• 将来的に、現状の機器の1万倍以上の制御能力

– 複雑なネットワークにおける通信制御の方法• 各種の通信経路制御プロトコルなどとの連係動作

• Security Infrastructure as a Serviceとしての全体構築– 機能の情報やポリシーの情報交換

• 情報のフォーマットや記述の標準化・自動生成など– 広域通信網などにおける積極的な通信制御

• 通信網の安全性などと連動した通信内容の自動調整

20


IoTの未来へ• 情報が安全かつ自在に流通できてこそ、

IoTの産み出すデータの価値は増大する。– IoTがセキュリティを壊すようでは、産業の発展を阻害する。

• 既存の資産をうまく生かしつつ、情報がより自在に、より安全に流通する社会基盤を追求してゆきたい。

21

• 本研究は、新エネルギー・産業技術総合開発機構（NEDO）委託研究「IoT推進のための横断技術開発プロジェクト」（平成29年度～平成33年度予定）の支援により行われています。

Documents

産業IoTインフラのセキュリティを 守るための研究開発の取 …...IoTがやってきた！しかし？• 今の産業ネットワークで は、外部との情報交換は

産業IoTインフラのセキュリティを守るための研究開発の取 …...IoTがやってきた！しかし？• 今の産業ネットワークでは、外部との情報交換は