前回は、制御システムのセキュリティー対策において、制御システム設計エンジニア(以下、制御システムエンジニア)の役割がなぜ重要なのかを説明した。その上で、広範に渡る制御システムエンジニアの役割のうち、特に重要とされる3項目を紹介した。今回は、その3項目、すなわち「セグメント/ゾーン設計」「制御装置/制御機器ベンダーの監査」「インシデント対応」について解説する。

セグメント/ゾーン設計

 IEC62443-3では、制御システムのセキュリティーに関するセグメント/ゾーン設計のコンセプトが提示されている。

 そのコンセプトの1つは、機能安全SIS(Safety Instrumented System)の健全性と独立性の確保だ。機能安全のシステムを独立させることについては、工場安全などの観点から理解されている。しかし、メカニックな部分が独立していればよいと間違って理解しているエンジニアが多い。

 例えば、制御装置のチューニングや制御状況の診断などでのオペレーションの利便性を考え、主要制御のシーケンスや高度制御の演算の状況をオペレーターに見せられるようにしたいといった場合だ。このようなケースでは、EWS(Engineering Work Station)を制御ネットワークにつないで、制御演算の情報をEWSに取り込んでリアルタイムにモニターできるようにしている場合が多い。しかも、そのEWSの同じ監視画面からSISの情報も見られるようにと、SISをネットワークで接続していることがある。そうした場合、このEWSが乗っ取られると、SISは、Safety条件を変えられて機能しなくなる、もしくは機能してはいけない時に機能するといった事態に陥ってしまう。

 この対策としては、SISとEWSを、ネットワークも含めて独立したシステムにすることである。すなわち、メカニックな部分だけでなく、ネットワークも含めて機能安全SISを独立させることだ。無論、インターネットへの接続も禁止。USBメモリーなどの電子媒体によるデータの取り出しや取り込み作業には、マルウエア(悪意のある不正なソフトウエア)検出機能付きのUSBメモリーや電子媒体を使用し、それらをSIS用EWSに挿入する前と挿入した後には、ネットワークから独立させたウイルスチェッカーによる検査を実施する。ちなみに、ネットワークから独立させたウイルスチェッカーは、毎日、バージョンアップするという管理を怠らないようにすることが必要であり、この作業を現場の管理ルールに加えるようにする。

 ただし、ステルス機能付きマルウエアの全てを検出できるわけではないので、そのリスクは消えない。EWSにウイルスチェッカーをインストールすることが考えられるが、ウイルスチェッカーの動作中は、EWS本来の機能が一時的に遅くなったり使えなくなったりすることがあり、そのリスクを考慮した上での判断となろう。