【第7回】CCEを用いたビルのセキュリティ対策の検討例 vol.1：「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説（7）（1/3 ページ）

本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。今回は検討手法のCCEを用いて、個別のビルシステムのセキュリティ対策をどこまで講じるのかについて論じる。

[佐々木 弘志 ／ マカフィー，BUILT]

　前回は、個別のビルシステムのセキュリティ対策をどこまでやるのかを検討する手法として、CCEと呼ばれる「発生してほしくない事象」を起点としてセキュリティ対策を検討する手法の概要を紹介した。今回は、このCCEを用いて、代表的なビルシステムの例に適用することで、ビルシステムのセキュリティ対策の検討例を示す。

　■CCEの4つのステップを実際のビルシステムに適用する方法は？

　■CCEをセキュリティ対策検討に用いるメリットとは？

1．CCEの4つのステップを実際のビルシステムに適用する方法は？

　CCEを用いてセキュリティ対策を検討するためのビルシステムの例として、「暖房・給湯システム」を用いる。まず、CCEのステップ1と2について検討する（図1）。ステップ1では、「発生してほしくない事象」の検討を行うが、ここでは「ビル利用者の健康被害をもたらす可能性のある事故」とする。これは、フィンランドで実際にあったサイバー攻撃（DDoS攻撃※1）によって発生した事故に基づいている（第3回記事参照）。この事故は、「暖房・給湯システムの機能停止」によって発生した。

※1　多数の分散した拠点から、攻撃対象のサーバに大量の応答リクエストを送り込んで提供サービスを妨害・停止させる攻撃

　ステップ2では、「暖房・給湯システムの機能停止」を起こすのに関係するシステム・機器や運用を洗い出す。ここでは、製品の故障、それにより発生した事故の原因を分析する手法として知られているFTA（Fault Tree Analysis）を用いる。FTAを用いて分析を行うと、ハードウェアの故障など、サイバーセキュリティとは直接関係ない原因も含めてさまざまな事故要因が導かれる。

　ここまでの検討にセキュリティの知識は必要なく、暖房・給湯システムの設計担当者や運用担当者の協力を得て行うことができる。ステップ2の最後に、これらの事故要因のうち、サイバー攻撃によって引き起こされる可能性のあるものをピックアップし、攻撃の具体例を検討する。

　この検討結果では、「暖房・給湯システムの機能停止」に関わる事故要因は、5つの関連システムのうち、どれか一つが「不正操作」または「妨害」を受けることによって発生することが判明する。そのうち、「妨害」は、システム・機器の「サービス拒否」によって発生することが分かる。

　続くステップ3以降は、5つの関連システムごとに、「不正操作」または「妨害」を引き起こす可能性のあるサイバー攻撃について、それぞれ別個に検討を行う（この例では、5×4で20個のステップ3、4の検討を行うことになる）。

図1：暖房・給湯器システムに対するCCE適用例（ステップ1、2）　出典：ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン　〜ファーストステップガイド※2〜より抜粋

※2　「IPA産業サイバーセキュリティセンター 中核人材育成プログラム２期生 有志一同」による策定（関係者限り）

　次に、CCEのステップ3と4についての検討例を示す（次ページ図2）。ここでは、ステップ2で導出したサイバー攻撃のうち「サービス拒否」を起こすための攻撃経路（ステップ3）とそれぞれの経路におけるセキュリティ対策例（ステップ4）について検討した。

　ステップ3では、サイバー・キル・チェイン（Cyber Kill Chain）※3の考え方に基づき、サイバー攻撃が成功するまでの経路を順に示した。ここでは、「遠隔監視サーバシステム」が攻撃の対象となっているので、外部NW（ネットワーク）からの侵入経路について整理した。

※3　2009年に米・航空機製造企業のロッキード・マーティン（Lockheed Martin）のMikeCloppert氏らが提唱。サイバー攻撃を成功させるまでの段階を、順を追って示したもので、これらの攻撃のチェーンを各段階において寸断することで、攻撃が成功する可能性を減らそうという考え方