制御システムの安全とセキュリティの両立 - IPA© IPA Software Reliability Enhancement Center 制御システムの安全とセキュリティの両立三菱電機(株)

Software Reliability Enhancement Center© IPA

制御システムの安全とセキュリティの両立

三菱電機(株) 神余浩夫

1© IPA Software Reliability Enhancement Center

講師紹介

神余浩夫（かなまるひろお） 1987 大阪大学大学院工学原子力工学修士課程修了

1987 三菱電機入社中央研究所→先端技術総合研究所

2004 三菱電機名古屋製作所安全シーケンサMELSEC Safety, CC-Link Safetyの開発

2011 三菱電機先端技術総合研究所機能安全，制御セキュリティの研究・開発・技術指導

安全・セキュリティ関連の国際標準化活動

機械・ロボット安全の啓蒙・教育

TUV Rheinland 機能安全エキスパート(FSexp)

IPA/SEC 制御システム安全・セキュリティWG

著書：目で見る機能安全，日本規格協会, 2017


IoT つながる世界

多数の機器が大きなシステムとなり多様なサービスを提供

三菱電機ホームページより ©Mitsubishi Electric Co.


つながる世界のリスクの特徴

想定しないつながりが発生する携帯機器，家電，自動車など，思いもしないつながり

管理されていないモノもつながる古い機器，廃棄・中古品，ユーザ責任で追加されたモノ

身体や財産への危害がつながりにより波及する特に，身体・生命・財産にへの「危害」には対策が必要

問題が発生してもユーザにはわかりにくい機器が感染・故障してもすぐに被害発生しない

「つながる時代の開発指針」(IPA，2016)より


事故事例-ロケット

ロケット飛行制御ソフトウェアの不具合

Arian5ロケット(Wiki CC-by-2.0 DLR German

Aerospace Center)

1996年6月4日，欧州宇宙機構(ESA)のアリアン5が，発射直後に爆発．

アリアン5の飛行制御用コンピュータに，実績のあるアリアン4のソフトウェアを流用した．

しかし，加速度の大きいアリアン5では，発射時に「桁あふれエラー」が発生．

エラーにより飛行制御用コンピュータが 2台とも停止し，ロケットの姿勢制御ができなくなり，自爆装置が作動した．


事故事例-垂直離着陸機

垂直離着陸機飛行制御ソフトウェアの不具合 2000年12月，米国海兵隊の垂直離着陸機MV-22，夜間

飛行訓練中に墜落，4名が死亡した．

左ナセルの油圧系が故障，三重系の系統切り替え．

主飛行制御システムは油圧系統の警告灯を点灯．パイロットは警告灯を消すためにリセットスイッチを押した

主飛行制御システムは警告灯を消さず，パイロットが繰り返し操作をしているうちに操縦を誤ったとみられる．

MV-22 オスプレイ(public domain from

US Government)


事故事例-自動運転車

事故車両Public Domain

自動運転に対する過信→制限の強化 2016年5月，フロリダで自動運転車が交差点でトレーラートラ

ックと衝突．ドライバーが死亡＝世界初の自動運転死亡事故

ドライバーはハンドルに手を添えていなければならない→自動車は7回警告を発したが，ドライバーは無視．37分間中25秒しかハンドル握っていなかった．

事故調査の結果，ソフトウェアに欠陥なし→3回警告無視すると自動運転を中止するように改修


事故事例-電力系統システム

電力系統のセキュリティ攻撃 2015年12月23日，ウクライナ西部のイヴァーノ・フラ

ンキーウシク周辺で数時間に及ぶ停電が発生．

攻撃者は，標的型メールを用いてマルウェア(Black Energy)を情報システムに感染させ，監視制御システムのマンマシン・インタフェースに感染を拡大．

監視制御システム中の通信ソフトを別のマルウェアで無効化．監視制御システムが電力システムを操作できないようにした．

さらに，電話システムへのトラフィック攻撃(DoS)も加えた．

三菱電機ホームページより©Mitsubishi Electric Co.


事故事例-核燃料濃縮プラント

核燃料濃縮プラントのセキュリティ攻撃 2009～10年にかけて，イランのウラン濃縮プラントの遠

心分離機約1000台が異常回転により破損．

遠心分離機を制御するコントローラのプログラムが，エンジニアリング端末に感染したウイルス(Stuxnet)によって書き換えられた．

ウラン濃縮プラントはインターネットと接続していない→何者かによって持ち込まれたUSBから感染拡大

コントローラが直接攻撃された世界初の事件

ウラン遠心分離機(原子力規制委員会

©Nuclear Regulation Authority)


機能安全とは

フェールセーフ，フォールトアボイダンス故障が起きても大丈夫，危険にならない

そもそも故障が起きない，起きにくい

機能安全(Functional Safety) 機能で安全を担保する(安全機能が働く)

安全制御システム＝危険を検知すれば安全状態に移行する

自動ブレーキ，自動消火装置，速度超過監視，etc

安全制御システムコンパクト(回路のソフトウェア化)，工数削減

きめ細かい安全制御ができる，複雑高度な安全対策が可能に

著者オリジナル


機能安全の実現

安全機能の分割とマッピング安全機能をサブ機能に分割，(アプリ)，ソフトウェア，

ハードウェアに割り付ける．診断回路，多重化およびSIL要求も考慮すること

ロボット位置検知スイッチ

危険区域ライトカーテン

近接ロボットの決定

遮断する動力の決定

電磁コンタクタ

入力診断出力診断

安全入力回路

安全出力回路

論理演算

論理演算回路(CPU，メモリ等)

演算診断

危険区域への人体進入検知

作業員がロボットに接近すると非常停止

該ロボットの動力遮断近接するロボットの選択

安全機能

アプリ

ソフトウェア

H/W



機能安全規格

IEC61508機能安全規格(1999,2010,Ed3改訂中)

初めてのマイコン，ソフトウェアを用いた安全制御システムに対する要求事項と標準技術を規定

かつて，安全回路はハードウェア(機械的)で実現マイコン，ソフトウェアに命を預けられない

1990年代．IT技術の進歩，信頼性技術の確立

プロセス産業IEC61511

電子制御モータIEC61800

産業機械IEC62061

原子力IEC61513

ロボットISO10218ISO13482

自動車MISRAISO26262

医療器械IEC62304 鉄道

IEC62278

エレベータISO22201

機能安全規格IEC61508

PLCIEC61311-6

フィールドバスIEC61784-3

家電IEC60335IEC60730

(著者オリジナル)


事例-無線列車制御システム

無線列車制御システム(CBTC) 車上機器と地上機器間の無線通信により，列車の正確な

位置を把握し，列車の自動停止などの運行制御を行う．

電車は，先行電車の位置と速度から，自分がいつどこで減速すればよいかを判断する．

安全かつ効率的な列車の運行が可能．



事例-協働作業ロボット

人との共同作業ロボット＝柵なしロボットアームが手前(搬送動作エリア)：人体進入→瞬時停止

アームが奥(加工動作エリア)：人体進入→低速動作

アームが手前に出てこないように位置制限運転→ロボットの無駄な停止を回避＝稼働性向上




制御セキュリティとは

制御システムの特徴 10年以上使用される＝数年で入れ替えできない

簡単に止められない，ソフトウェア更新できない

運転員・保全員はセキュリティをよく知らない

守るべき対象と目的プログラム/パラメータの書き換え，

不正操作，サービスダウン


セキュリティ機能の実現

守るべきものを何からどう守るのかデータ，プログラム，リソース，サービス等

攻撃者(脅威)，ヒューマンエラー

セキュリティ対策により，リスク低減を実施SL(セキュリティレベル)が要求するセキュリティ対策機能，開発

手法・技法を採用

実現した対策が効果的か＝十分リスク低減したか

15

「つながる時代の開発指針」(IPA，2016)より


制御セキュリティ規格

IEC/ISA 62443 制御システムセキュリティ規格

一般

ポリシー

システム

コンポーネント

©ISA, International Society of Automation


事例-プロセスオートメーション

IEC 62443-2-1より

システムをゾーンに分割

安全制御系を最深部に


事例-USB，端末，経路

汎用的なインタフェースや経路への対策脅威対策

USBポート未使用USBポートのロック，ハブの未使用ポートのロック，LANケーブルのロック

リモートメンテナンス回線

回線に接続されている端末の認証端末におけるセキュリティ監査を実施

操作端末の入れ替え入れ替え時にマルウェアチェックを行うホワイトリストによるアプリ実行制御

物理的侵入物理セキュリティによる入退室管理ID棚卸，パスワードの周期的変更

インターネット経由インターネットのアクセス監視オンラインのマルウェアチェックを実施

CSSCパンフレットより(©CSSC)


機能安全と制御セキュリティ

機能安全と制御セキュリティの共通点と差異似ているが差異も多い

用語，要求分析，開発プロセス，コーディング規約，評価など

安全リスク分析とセキュリティリスク分析は視点が違う

長年使い込んだソフトウェアは安全とみなされるが，セキュリティ的には脆弱性になる．セキュリティパッチは安全か？

同じ製品・システムが，両方に適合しなければならない規格に矛盾，競合があってはならない

ふたつの開発プロセスが業務規程(ISO 9001)に展開できるか

故障

危険事象

リスク(SIL)

安全機能

設備

脆弱性

脅威

リスク (SLT)

セキュリティ対策

実現実現

競合解消



安全・セキュリティシステム設計手順

対象・分野により手順が異なる一般的：安全とセキュリティを並列に分析・設計

安全設備，セキュリティ設備の追加分析と競合解消が必要

安全関連部に特化：安全設計→セキュリティ分析セキュリティ対策が新たな危険源を生み出さないことが前提

Safety安全リスク

アセスメント↓

安全対策

Security脅威/脆弱性分析

[安全設備/安全機能]

↓セキュリティ対策

実現

Safety安全リスク

アセスメント↓

安全対策

Security脅威/脆弱性分析[安全設備/安全機能]

↓セキュリティ対策

[安全設備/安全機能]

実現IEC TR 63069安全とセキュリティ分析・対策を並列に

IEC 63074先に安全設計，安全設備をセキュリティ分析著者オリジナル


機能安全と制御セキュリティの統合

IEC/TR 63069 機能安全と制御セキュリティのフレームワーク 2016年，日本が提案して発足．各国コメント反映中

IEC 61508とIEC 62443を結びつけるための定義・提案用語，概念，手順など

多くの分野で検討開始(下表)

分野機能安全規格安全・セキュリティ規格セキュリティ規格

プロセス産業 IEC 61508 IEC TR63069 IEC 62443

FA機械ISO 13849IEC 62061

IEC 63074 IEC 62443

原子力 IEC 61513 IEC 62859 IEC 62645

自動車 ISO 26262 ISO 26262 J-3061

航空 DP-178C -- DO 326A

鉄道 IEC 62278 -- IEC 62280



制御システムセーフティ・セキュリティ検討ＷＧ

機能安全等に準拠したセーフティシステムに対して、サイバーセキュリティ分析をどのように行えばよいのか？できるだけ汎用的に示したい。

セキュリティ要件をセーフティ要求・機能にどのようにすりあわせたらよいか？基本的な考え方を示す。

活動方針

✔セーフティ・ファースト：既設セーフティシステムが有。セーフティゴールありき✔想定読者：セキュリティ対応が必要なセーフティ経験のあるインテグレータ✔国際規格・標準：IEC 61508、IEC 62443✔モデルシステム：架空のFA（Factory Automation）システム✔アクター：事業者、システムインテグレータ（＋機器メーカ）

成果

制御システムセーフティ・セキュリティ要件検討ガイド(仮称）


重要インフラをささえる企業の生の声

セーフティセキュリティ

動向・要件

課題（国内企業17社、

2大学よりヒアリング）

規格

プロセスは確立している。しかし、IoT時代に向けた新たなサービスや機能

への対応が必要（自動運転、生産系と事務系システム連携など）

セキュリティ脅威は日々増加、変化している。

将来にわたる脅威の全体像を特定することは不可能。

認証取得のためのもの。認証取得のためのスキームと一体。ドメイン毎。

組込みシステムはドメインごとに作成中。セーフティとの関係は無し

プロセスドメイン毎に確立されたプロセスを定義モデルとなるようなプロセスは未定義

セキュリティ要件の抽出において、脅威分析の具体的な方法が規格に明示されていない。個人差が大きく、脅威抽出の網羅性に確信が持てない。

セーフティ、セキュリティの双方に詳しい技術者は極めて少ない。セキュリティ要件がセーフ

ティに及ぼす影響を同時に評価・すりあわせることが難しく、連携させる枠組みなし

セーフティ要件に影響するセキュリティ要件を、どのタイミングでどのように関連付ければいいのか？わからない！

セキュリティにはセーフティのように確立したプロセスがなく、双方の要件を満たす設計含む

開発プロセスの進め方がわからない。

２０１５年後半からセーフティシステム関連の製造業中心にヒアリング実施

制御システムS&S WG ©IPA


Ｓ＆Ｓと、エンジニアリングプロセスとの関係

安全コンセプト

安全分析

安全要求

セキュアシステム仕様

システム仕様

システム仕様

詳細設計

作成

モジュール試験

システム試験

全安全妥当性確認

セキュア妥当性確認

システム運用・保守

コンポーネント仕様(実現含む)

事業者

（アセットオーナー）

安全妥当性確認

セキュア妥当性確認

セキュア分析・要求

セキュア分析・要求

安全システム仕様

セーフティ（実現済）

セキュリティ

（これから）

安全分析

安全要求

セキュアコンセプト

インテグレータ

実現済みのセーフティシステム仕様

赤枠がＷＧの

検討範囲



対象システム

ドメイン別の機能安全規格

セキュリティリスク分析

セキュリティ要件の検討

関連するセキュリティ情報の参照

参照するセキュリティ規格

ＩＳＭＳ

テーラリング

IEC 61508

ISO 26262

IEC xxxx

ＩＥＣ 62443

企業のBCP△△△△

ｘｘｘｘｘｘｘ守るべき資産

ソリューション (対策技術など）

脅威

ＩＥＣ 63069

ＩＥＣ 63074

攻撃手法

事業者視点

インテグレータ視点

ライフサイクル

共通

開発運用廃棄保守

テーラリング

セキュリティ検討の際の関連イメージ

制御システムセーフティ・セキュリティ要件

脆弱性情報



既存の制御システムにおけるセキュリティ検討プロセス

Step3 セキュリティ対策の立案・残存リスク評価

Step5 運用・保守・修理

Step0 安全設計経緯の確認

Step1 事業者のセキュリティ検討

Step2 インテグレータのセキュリティ検討

Step4 全妥当性確認

※実際には、ここで対策の実装・テストが実施されます

対象システムの

おさらい！

事業者の

セキュリティ決意表明！

脅威と脆弱性

はどこに？

現実的＆効果的

(確実、速い、できれば安い）

な対策を考えよう！

セキュリティはナマモノ。時間とともに

脅威も脆弱性も変化します。制御システムS&S WG ©IPA


ガイドの紹介：インテグレータのセキュリティ検討

Step1 事業者のセキュリティプロセス

Step3 セキュリティ対策の立案・残存リスク評価

2-1 事業者からの要求事項の確認

2-2 セキュリティリスク分析・インテグレータによる保護資産の抽出・脅威の識別・脅威事象・脆弱性の識別・被害内容の確認・リスク評価（影響度・発生可能性・リスクレベル）

アクティビティ

Step2 インテグレータのセキュリティ検討

2-3 セーフティへの影響確認

詳細資産一覧

・分析結果（脅威分析表）・ｾｷｭﾘﾃｨ要求仕様・ｾｷｭﾘﾃｨﾘｽｸﾚﾍﾞﾙ

保護資産一覧（詳細）

・事業者セキュリティ要求事項の確認・システム構成の詳細化

入力（既存システムの安全設計資料一式、事業者のセキュリティ検討資料一式）

・安全要求仕様（SRS）・分析結果（FMEDA)、他

・対象システム仕様・構成図・設計書

・状態遷移、データフロー他資産一覧

保護資産一覧

・ｾｷｭﾘﾃｨ方針・計画・ｾｷｭﾘﾃｨ検討範囲 (Suc)

分析結果（ATA他)

セキュリティ要求

システム、機器コンポの脆弱性情報

成果物(インテグレータのセキュリティ検討資料一式）

セキュリティセーフティ

＜入力・成果物＞

一般要求事項

セーフティ影響確認結果

セーフティ影響確認結果



制御系システムの各分野で活用可能な汎用的なガイドブック

実際の開発現場で、セーフティ・セキュリティ検討時に参考となる基本的な手順・考え方を紹介（国際規格準拠）

事例システムによる解説（分析シートつき）平成30年3月公開予定

ガイドブックのプレ紹介



Documents

制御システムの安全とセキュリティの 両立 - IPA© IPA Software Reliability Enhancement Center 制御システムの安全とセキュリティの 両立 三菱電機(株)

制御システムの安全とセキュリティの両立 - IPA© IPA Software Reliability Enhancement Center 制御システムの安全とセキュリティの両立三菱電機(株)