連載
» 2020年09月30日 10時00分 公開

【第12回】ビルシステムの“ネットワークセキュリティ監視サービス”をビジネス化するための鍵(下)「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(12)(2/2 ページ)

[佐々木 弘志 / マカフィー,BUILT]
前のページへ 1|2       

2.ビルシステムのネットワークセキュリティ監視の効果を高める戦略

 では、このような誤検知を減らして、セキュリティ監視の効果を高める方法はないだろうか。その一つの回答として、森ビルとパナソニックが辿(たど)り着いた戦略が、「検知技術の多層化」である。すなわち、攻撃シナリオの特性に応じて、複数の検知技術を導入するという考え方である。

 例えば、攻撃者(もしくは外部のメンテナンス業者のような善意の第三者)が持ち込んだ端末やUSBメモリをビルシステムに接続することで、マルウェア感染が広がる攻撃シナリオを想定してみると分かりやすい(図2)。

検知技術を多層化させたビルシステムのネットワークセキュリティ監視 提供:パナソニック

 この場合、プリンタ経由のように、本来対象システムと通信するはずがない端末から攻撃を受けるシナリオと、防災センター設備内の制御サーバを乗っ取られて正規の制御コマンドで攻撃されるシナリオとでは、検知の方針が根本的に異なる。

 前者は、本来あるはずのない経路ということで、学習などで通常の通信元と通信先のペアをルール化(ホワイトリスト化:市販製品で実現可能)することで、仮に正規コマンドによって攻撃されたとしても異常を検知することができる。しかし、後者は、正規の制御端末が乗っ取られているので、そのような方法は通用しないため、さらに踏み込んだ検知手法が必要になる。

 パナソニックは、この部分の検知に対して、独自のAI学習技術を用いたアプローチを取っている ※2(図3)。通常の状態のビルシステム制御には、ある程度のシーケンス(流れ)がある。例えば、空調や照明の自動制御の場合、調整制御を行う場合には複数の通信コマンドでのやり取りが行われるが、その順番には概ね規則性があり、AIを用いてその規則を学習することで、傾向から外れる通信コマンドを異常として検知することができる。仮に正規の端末からの正規コマンドであっても、この規則から外れているものは異常と検知されるのだ。このような検知手法は、ルールベースの検知手法と比べれば、誤検知の可能性もあるが、同時に、ビルシステムの機器故障などの運用上の異常を検知するのにも役立つのではないかと考えられる(連載第10回を参照)。

※2 BUILTインタビュー記事:「サイバー攻撃の網羅的な検知を目指す、“機械学習”によるパナソニックのBASセキュリティ」

 このように、検知技術を多層化することで、ビジネス化の際の監視チームの運用負荷を下げることができれば、コスト面でも有効な戦略となり得るだろう。

AI技術を用いたビルシステム内の通信異常の検知イメージ 提供:パナソニック

■まとめ

 前回と今回とで、森ビルとパナソニックが共同で取り組む「ビルシステムのセキュリティ監視サービス」のビジネス化の取り組みを紹介した。

 ■ネットワークセキュリティ監視サービスにおける脅威検知の具体化の方法とは?

 標準的なビルシステムに対するサイバー脅威を攻撃ステップごとに細分化し、それぞれの攻撃ステップにおける攻撃手法(ICS ATT&CKを参照)に対する検知方法を検討する方法をとった。

 ■ビルシステムのネットワークセキュリティ監視の効果を高める戦略とは?

 攻撃シナリオの特性に応じて、検知技術を多層化した。具体的には、市販の製品で実現可能なルールベースの異常検知と、パナソニック独自開発のAI学習による制御シーケンスの異常検知を組合せて用いる。このような戦略で、検知精度をあげることができれば、監視チームの運用負荷低減にもつながる。

 今後のビルシステムは、コロナ禍におけるメンテナンスの要請から、自動化、リモート化がこれまで以上に進むと考えられる。すなわち、インターネットを介して攻撃を受けるリスクもこれまで以上に増えることを意味する。したがって、ビルの規模や重要度によっては、外部の事業者に、ビルシステムの監視だけでなく、ネットワークセキュリティ監視も依頼するといった選択肢も十分出てくるのではないだろうか。

著者Profile

佐々木 弘志/Hiroshi Sasaki

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP。制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産業省 情報セキュリティ対策専門官(非常勤)、2017年7月からは、IPA産業サイバーセキュリティセンターのサイバー技術研究室の専門委員(非常勤)として、産業サイバーセキュリティ業界の発展をサポートしている(2019年10月現在)。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.