経済安全保障推進法(令和4年5月18日公布)は、日本の経済安全保障を強化するために制定された法律であり、同法に基づく下記4つの制度が運用開始されています。
本記事ではこのうち「基幹インフラ役務の安定的な提供の確保に関する制度」(以下、本制度)について取り上げます。本制度では機能不全に陥った場合に国民生活や社会経済に多大な影響を及ぼす領域として15の「特定社会基盤事業」(表1)が定められており、「特定社会基盤事業者」に指定された組織・企業は「リスク管理措置」と呼ばれるセキュリティ対策の実施が求められます。
対象となる設備にはOTシステムが多く含まれており、本記事はOT環境を対象に「リスク管理措置」への具体的な取り組み方の例を紹介します。
|
電気 |
ガス |
石油 |
水道 |
鉄道 |
|
貨物自動車運送 |
外航貨物 |
港湾運送 |
航空 |
空港 |
|
電気通信 |
放送 |
郵便 |
金融 |
クレジットカード |
(内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について」より抜粋)
本制度では、特定社会基盤事業者が国(主務省庁)により指定された「特定重要設備」の導入及び維持管理業務等の委託をしようとする際には事前に届出を行い、審査を受けなければならないこととされています。
この審査におけるチェック項目は多岐に渡りますが、その中でも実施すべき具体的なセキュリティ対策項目として「リスク管理措置」が定められています。
リスク管理措置は「特定重要設備を導入する場合」と「特定重要設備の重要維持管理等を委託する場合」の2つに分けられていますが、本記事ではこのうち特定重要設備を導入する場合のリスク管理措置について見ていきます。
特定重要設備は提供する機能の重要度(当該設備が侵害された際の影響の大きさ)と、外部から攻撃を受ける可能性を考慮して、各業界の関連法令(電気事業法、ガス事業法、etc…)にて定める基準により指定されています。
|
業界 |
業種 |
特定重要設備 |
|
電気 |
一般送配電事業 |
中央給電指令所における需給制御システム及び系統制御所における系統制御システム |
|
送電事業 |
系統制御所における系統制御システム |
|
|
発電事業 |
50 万kW以上の発電機等の出力制御を行う機能を有する装置を含む、発電所や蓄電所、発電機の出力制御装置やそのプログラムの総体(監視制御システム) |
|
|
特定卸供給事業 |
50 万kW以上の電気を集約し、及び供給するエネルギーマネジメントシステム(EMS) |
|
|
ガス |
一般ガス導管事業 |
高中圧ガス供給設備制御システム |
|
特定ガス導管事業 |
高中圧ガス供給設備制御システム |
|
|
ガス製造事業 |
ガス製造設備制御システム |
|
|
石油 |
石油精製業 |
分散型制御システムにおいて石油蒸留設備を監視・制御するコントローラ(減圧蒸留装置は含まない) |
|
石油ガス輸入業 |
制御システムにおいて、石油ガス輸入業の演算・制御を行う機器 |
(経済産業省「電気事業における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説」「ガス事業における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説」「石油事業における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説」よりNRIS作成)
リスク管理措置はリスク評価を実施した結果に応じて実施するもので、必ずしもすべての項目を常に実施することを求めるものではありません(各社/組織の特性、環境によっては対応不要と判断できるものもあります)。
各リスク管理措置は特定社会基盤事業者自身が実施すべき項目もありますが、設備の供給者(ベンダ、サービスプロバイダ)が特定社会基盤事業者の求めに応じて対応する項目が多く含まれています。
|
カテゴリ |
特定社会基盤事業者 |
特定重要設備の供給者 |
|
設備の不正な変更の防止 |
|
|
|
十分なサポートの確保 |
|
|
|
攻撃を受けた際の対応体制の構築 |
|
|
|
法令遵守、外国の影響の排除 |
|
|
(内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について」よりNRIS作成)
ここではリスク管理措置の進め方について3つ例を挙げて進め方を解説します。
注:本記事で紹介する対策はあくまで弊社解釈による一例であり、本記事の内容の実施を以て審査基準を満たすことを保証するものではありません。
ランサムウェアによる設備稼働停止が実際に起きてしまっても復旧を可能とする体制の構築が求められています。体制構築にあたって検討すべき事項として、対策本部の立ち上げ、広報・法務等の部署と連携した対外的な対応等様々あります。このような全社的な対応は、BCP:事業継続計画の枠組みを活用しつつ、直接の被害を受ける対象であるIT/OTシステムの具体的な復旧手順の整備にフォーカスして検討を進める必要があります。
本リスク管理措置への対応で必要となる活動は下記の通りです。
|
活動 |
概要 |
|
緊急時の運用手段の確立 |
システムが停止した場合でも手動オペレーションにより最低限のサービスを継続する等、緊急時の運用手段を確立する。緊急手段により影響を低減しつつ通常状態への復帰を目指す。 |
|
バックアップの取得と、安全な管理 |
特定重要設備を構成する機器を初期化した状態から稼働状態に戻すために必要なバックアップデータを把握し、取得しておく。取得したバックアップデータはランサムウェアでまとめて被害を受けないよう物理的・論理的なアクセス制御を施して安全に管理する。 |
|
バックアップからの復旧手順書の作成 |
特定重要設備を構成する機器毎にバックアップデータからの復旧手順書を作成し、必要な時に閲覧できるようにしておく。 |
|
定期的な復旧手順書の実効性確認と改善・修正 |
作成した復旧手順書は、定期的に可能な限り実環境に近い環境で実際に試して実効性を検証し、必要に応じて改善・修正する。 |
NIST SP 800-82 Rev. 3 Guide to Operational Technology (OT) Security
6.Applying the Cybersecurity Framework to OT
IEC62443-2-1 Security program requirements for IACS asset owners
13 SPE 8 - System integrity and availability
特定重要設備に対するアクセスを監視し、不正なアクセスをブロックできるよう設備が構成されていることが求められています。導入後に追加仕様を実装することは(ライフサイクルが長く、設備を止めてのメンテナンスが難しいOTでは特に)難しい場合が多いため、開発段階からの対応が重要です。設備自体の仕様として実装が難しい場合でも代替策による対応が求められます。
本リスク管理措置への対応で必要となる活動は下記の通りです。
|
活動 |
概要 |
|
開発段階からのアカウントによるアクセス制御機能の考慮と実装 |
設備自体の仕様として、個人に紐づくアカウントに対して業務に必要な最低限のアクセス権限を付与できるようにする。設備自体の仕様として実装が難しい場合は特権アクセス管理(PAM)ソリューション導入も選択肢となる。 |
|
アクセスログの出力と警報システムとの連携の実装 |
不正なアクセスや高い権限でのアクセスを検知し、警報システムと連携できるようログ出力を行えるようにする。 |
|
アクセス制御を考慮したネットワーク設計と必要に応じた機器導入 |
VLAN等によるネットワーク分離、ファイアウォール・UTMの導入など、ネットワーク設計における考慮と必要に応じた各種機器導入を行う。設備やネットワーク設計に影響を与えずに導入できるソリューションとしてはパッシブ型ネットワーク監視ツールがある。 |
IEC62443-3-3 System security requirements and security levels
5 FR1 - Identification and authentication control
6 FR2 - Use control
NIST SP 800-82 Rev. 3 Guide to Operational Technology (OT) Security
5.OT Cybersecurity Architecture
6.Applying the Cybersecurity Framework to OT
一般にOT設備はライフサイクルが長く、サポート期間が過ぎたとしても使い続けることがあります。設備自体の保守契約は継続していたとしても、OSがサポート切れとなることも考えられるため、サポート切れとなった後の対応策を事前に検討しておく必要があります。
本リスク管理措置への対応で必要となる活動は下記の通りです。
|
活動 |
概要 |
|
予備機の確保 |
故障時に交換できるよう予備機を確保する。稼働していた機器と同等の環境に復旧させるため、故障対応の観点でもバックアップの取得は重要である。 |
|
脆弱な機器のネットワーク隔離 |
脆弱な状態で運用を継続せざるを得ない機器はルータ配下のLANに接続しインバウンド/アウトバウンドの通信を制限することで攻撃を受けるリスクと、そこから影響が拡大するリスクを低減する。個別のIPSの導入も選択肢の一つであり、OT環境での利用を想定して開発された製品も存在する。 |
|
ホワイトリスト制御の導入 |
ホワイトリストによるアプリケーション実行制御により、パッチが適用できていない既知の脆弱性に対する攻撃に加え未知のマルウェアによる攻撃であっても、実行を抑止することができる。OT設備で実行されるアプリケーションは変更されることが少ないため、ホワイトリスト制御の導入は現実的な選択肢である。仮にサポート期間内でも、サービスを提供するためのアプリケーション動作に支障を来す等の理由で脆弱性に対するパッチ適用ができない場合の対策としても有効 |
NIST SP 800-82 Rev. 3 Guide to Operational Technology (OT) Security
5.OT Cybersecurity Architecture
6.Applying the Cybersecurity Framework to OT
本記事では特定社会基盤事業者が重要設備導入時に求められるリスク管理措置への取り組み方を解説しました。
当社では各業界のOTシステムのセキュリティに対して数多くのご支援を提供してきた実績があります。
本記事で例として取り上げた内容も含め様々なご支援が可能です。お困りの際にはぜひお声がけください。
#サプライチェーントラストサービス