Embed Size (px)
Citation preview
重大な経営課題となる制御システムのセキュリティリスク制御システム利用者のための脆弱性対応ガイド
~ 制御システムを運用する企業が実施すべきポイント ~
*この資料は複製・配布自由です
1
/
2
1 3
2 9
3 14
23
/
/
3
1.
/
4
1.1.
5
1.2. (1)
PC
PC PC
PC
Windows LinuxOS PC
6
1.2. (2)
PC *
p.10-p.12
USB
PCUSB
USB
PC
*
7
1.3. (1)
*
2020
*
2014 11
8
1.3. (2)
p.10-p.12 BCP
2.
9
2.
/
10
2.1. (1)
1
50 1,400 17
2005 8 18 13
50,000 50 1,400
17
IT , 2009.3, pp.23-24 https://www.ipa.go.jp/files/000013981.pdf
11
2.1. (2)
2
BP British Petroleum
3
2008
Bloomberg, “Mysterious ’08 Turkey Pipeline Blast Opened New Cyberwar Era,” 2014.12.10
http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html
[1]BSI , “Die Lage der IT-Sicherheit in Deutschland 2014 2014 ” https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile [2]BBC, “Hack attack causes 'massive damage' at steel works,” 2014.12.22, http://www.bbc.com/news/technology-30575104
12
2.1. (3)
5
USB
4
50
, 2011.11.27
MONOist 5 http://monoist.atmarkit.co.jp/mn/articles/1402/12/news082.html
13
2.2.
BCP
CSMS 5 p.28
p.20 p.21 - p.22
14
3.
/
15
3.1.
PLC
HMI
OA
/
FW
FW
PLC
/
*PLC Programmable Logic Controller HMI Human Machine Interface
DCS Distributed Control System
(DCS)
16
3.2.
10 20 3 5
24 365
17
3.3.
4
LAN /
USB USB
USB
LAN
PC ID
* 6 p.29
18
3.4. (1)
19
3.4. (2)
p.22
4 p.27
Windows XP
Windows XP 2014 4
Windows XP
Windows XP
20
3.5.
1
/ /
USB
20
2
* ISASecure EDSA Embedded Device Security Assurance
EDSA *
21
3.6. (1)
1 USB
/
USB USB / USB PC
USB
USB
22
3.6. (2)
2
p.21
IDS
7 p.30
23
1. 2. 3. JVN iPedia 4. 5. CSMS 6. Stuxnet Havex 7. URL
24
1.
CSSC 26
EDSA
JIPDEC ISMS/ITSMS/BCMS
CSMS
IPA
JPCERT/CC
JPCERT/CC
2011 12
2012 3 CSSCIPA JPCERT/CC
CSSC
25
2.
IPA 26 110
IPA JPCERT/CC JPCERT/CC
Web
26
3. JVN iPedia
JVN iPedia http://jvndb.jvn.jp/
600
JVN iPedia
JVN: Japan Vulnerability Notes JPCERT/CC IPA NVD: National Vulnerability Database NIST
41,816 43,371 45,161 46,860 48,427 51,499
0
10,000
20,000
30,000
40,000
50,000
60,000
0500
1,0001,5002,0002,5003,0003,5004,000
3Q2013
4Q2013
1Q2014
2Q2014
3Q2014
4Q2014
JVNNVD
27
4.
2012 1 PLCProgrammable Logic Controller
*
5 6
PLC
* URL http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-12-020-01.pdf
PLC
PLC
28
5. CSMS
IECIEC 62443-2-1 CSMS
2010 IEC 62443-2-1
CSMS
3
PDCA
*CSMS Cyber Security Management System for IACS (Industrial Automation and Control System)
29
6. Stuxnet Havex
Stuxnet
Havex
PLC Programmable Logic Controller 8,400 3
Stuxnet USB PC
PLC
Microsoft Windows 5 4 SCADA
OPC
2014
PC OPC OPC
SCADA: Supervisory Control And Data Acquisition OPC: OLE(Object Linking and Embedding) for Process Control
30
7. URL
CSSC
http://youtu.be/wbEiDQZU5sI
IPA
https://www.ipa.go.jp/security/keihatsu/videos/index.html
IPA Web
https://www.ipa.go.jp/security/controlsystem/index.html
NECA http://www.neca.or.jp/wp-content/uploads/control_system_security_guideline.pdf
SSAT(Scada Self Assessment Tool) JPCERT/
https://www.jpcert.or.jp/ics/ssat.html
(J-CLICS) JPCERT/
https://www.jpcert.or.jp/ics/jclics.html
, JPCERT
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
JVN http://jvn.jp/
JVN iPedia http://jvndb.jvn.jp/
JPCERT https://www.jpcert.or.jp/ics/information05.html
Web
http://www.css-center.or.jp/
CSMS
http://www.jipdec.or.jp/information/newsrelease/20140425.html
CSMS
http://www.isms.jipdec.or.jp/csms/doc/JIP-CSMS111-08.pdf
〒 113-6591東京都文京区本駒込2丁目28番8号 文京グリーンコートセンターオフィス16階URL https://www.ipa.go.jp/security/電話 03-5978-7527 FAX 03-5978-7518
独立行政法人情報処理推進機構
重大な経営課題となる制御システムのセキュリティリスク~ 制御システムを運用する企業が実施すべきポイント ~
【制御システム利用者のための脆弱性対応ガイド】
2015年3月 第1版発行
