Wataru Machii of the Nagoya Institute of Technology introduces this novel defensive measure that alters the perimeter defenses or zoning based on the certain operational modes or observed activity. There are numerous possibilities for this idea.

1. Nagoya Institute of Technology
Dynamic Zoning Based On
Situational Activity in ICS
Wataru Machii
Nagoya Institute of Technology
S4xJapan 15/09/2014
1

2. Nagoya Institute of Technology
自己紹介
▪ 名古屋工業大学大学院社会工学専攻
▪ 越島研究室所属博士前期課程2年
▪ オランダやアメリカで開催されているICS Cyber
Security Training Programに参加。
2

3. Nagoya Institute of Technology
NIT ICS Security Research Team
研究の概要
▪ ICSセキュリティの研究に
おいて重要である3つの柱
 People
 Facility
 Control
の観点から包括的にアプロー
チを行っている。
3

4. Nagoya Institute of Technology
NIT ICS Security Research Team
テストベッド
▪ 実機のミニプラントを用いて、
攻撃側の視点も取り入れた防
御手法の検討・テストを行っ
ている。
▪ ICSセキュリティ活動啓蒙のた
めにICSに対するサイバー攻撃
デモを行っている。
4

5. Nagoya Institute of Technology
Agenda
▪ ICS Securityについて
▪ ゾーニングについて
 IEC62443 and Knapp
 CE行列によるゾーニング
 ゾーン設計支援ツール
▪ 動的ゾーニング
 OpenState Mechanism
▪ 動的経路切り替え
 OpenFlow Mechanism
5

6. Nagoya Institute of Technology
ICS Securityについて
これまでの対策
▪ IT技術者による対策が中心である。
 Firewall
 IDS
 Anti Virus などなど・・・
▪ 完璧な防御など存在しない
 どんな対策を施しても侵入される可能性はある
 ヒューマンエラー
 未知の脆弱性
 内部犯行
 USB
6

7. Nagoya Institute of Technology
ICS Securityについて
ICSの現状
▪ 制御系システムは脆弱である
 オープンな仕様であるコントローラ
 セキュリティが考慮されていないプロトコル
 セキュリティパッチが当てられない
 システムの更新頻度の低さ
 現場の技術者のセキュリティに関する知識
 リアルタイム処理に影響を与えるソフトは動かしたくな
い
などなど・・・
7

8. Nagoya Institute of Technology
ICS Securityについて
ICSの課題
▪ サイバー攻撃を受けたとしても制御系システムの
安全は守られなければいけない
 仮に侵入を許しても、重大な事故を引き起こさせてはい
けない
 攻撃を受けていても、システムを安全に停止させなけれ
ばいけない
▪ 制御側の視点によるセーフティを考慮したセキュ
リティ対策が必要となってくる
8

9. Nagoya Institute of Technology
ゾーニングについて
Zones&Conduits
▪ IEC62443では、制御系シス
テムのセキュリティ向上のた
めに、Zones&Conduitsが標
準として組み込まれている。
 Zones
 制御系システムにおける機能を論
理的や物理的に分割し、それぞれ
分割されたものを一まとめのネッ
トワークとしたもの
 Conduits
 それぞれのゾーンの間の通信経路
を論理的にグルーピングしたもの
9

10. Nagoya Institute of Technology
ゾーニングについて
Secure Enclaves
▪ 制御系システムが持つ機能をグループごとに分けるこ
とで、ICSのセキュリティを向上させる手法が提案さ
れている
1. Control Loop
2. HMI
3. Control Process
4. Historization
5. Trading Communication
6. Remote Access
7. Users and Roles
8. Protocols
Eric D. Knapp. (2011). Industrial network security. Syngress
10

11. Nagoya Institute of Technology
ゾーニングについて
Zoning for safety and security protection in ICS
▪ CE行列によるゾーニング
 コントローラのネットワークをゾーンに分割し、同時に侵入され
る領域を限定することで、攻撃できる箇所を一部分に限定すると
ともに、クラッカーによる操作で制御システムの変化を侵入され
ていないゾーンで計測し、攻撃を検知できれば、事故を引き起こ
すリスクを軽減することができる。
 いかに攻撃のリスクを抑制し、隠蔽しにくくできるかは制御対象
を良く理解した上でゾーニングを行わなければならない。
 この手法は制御系のエンジニアが行えるセーフティを
考慮したセキュリティ対策である。
11
Y. Hashimoto et al., “Safety securing approach against cyber-attacks for process control system”, Computers and
Chemical Engineering,
http://dx.doi.org/10.1016/j.compchemeng.2013.04.019, 2013

12. Nagoya Institute of Technology
ゾーニングについて
テストベッドにおけるゾーニング
12
温水循環システム
下部タンクのヒータで
水を温め，ポンプで上
部タンクへ供給する温
水循環システム
ヒータHで
”空焚き事故”
が起こること
を想定し，攻
撃者目線で
FTを作成
センサ[ LM1 LM2 TM1 TM2
PM FM ]
アクチュエータ[ V1 V2 H W ]
コントローラ[ LC1 TC1 FC ]

13. Nagoya Institute of Technology
ゾーニングについて
テストベッドにおけるゾーニング
13
タンク，ヒータ
の機能不全
上部事象に
至るまでの
時間を確保
上部事象に
至る状態を
作る
タンク１内の
液位Ｌｏｗ
タンク１内の
温度High
タンク１とタンク２の
液位が異常である
と気が付かない
タンク１とタンク２の
温度が異常である
と気が付かない
タンク1の流
出弁を全開
ヒータのコン
トローラ
Auto→Manu
al
ヒータ
出力をある
一定の値以
上にする
インターロッ
ク解除
タンク1の温
度を正常で
あるかのよう
に隠蔽
タンク1の温
度を正常で
あるかのよう
に隠蔽
Ｔ1iのHigh
アラームを解
除・監視画面
を表示しない
タンク1の目
標設定値を
正常であるか
のように隠蔽
タンク1の液
位を正常であ
るかのように
隠蔽
タンク2の液
位を正常であ
るかのように
隠蔽
L2iのHigh
アラームを解
除・監視画面
を表示しない
タンク1液位
のＬｏｗアラー
ムを解除・監
視画面を表示
しない
タンク1水位コン
トロールを破綻
同時に攻撃されなけれ
ば発生確率は低下
隠蔽されていても事故に
至るまでに異常に気づけ
ば発生確率は低下
タンク1の
流入弁を閉
じる
タンク1水位
の設定値を
低く

14. Nagoya Institute of Technology
ゾーニングについて
テストベッドにおけるゾーニング
14
• Tank1の液位コン
トロールとHeater
のコントロールを
同時に操作されな
いような分割がで
きている。
• 異なるセキュリ
ティ対策を各ゾー
ンに施すことに
よって、事故を引
き起こすまでの時
間を稼ぐことがで
きる。
ゾーニングの一例

15. Nagoya Institute of Technology
ゾーニングについて
ゾーン設計支援ツール
▪ 大規模なプラントになればなるほど、人間の手でゾーン分割を求め
ることは困難になってくる。
▪ そこで、ゾーン設計をグラフィカルに行えるツールを開発された。
ツールには以下の2つの機能が備わっている。
① ゾーン分割設計評価
 ユーザが指定したセンサ・アクチュエータのゾーンの振り分け方を評
価
② ゾーン分割設計提案
 センサ・アクチュエータの振り分け方を提案
15

16. Nagoya Institute of Technology
ゾーニングについて
ゾーン設計支援ツール
▪ モジュールライブラリから装置を選択・配置する
16

17. Nagoya Institute of Technology
ゾーニングについて
ゾーン設計支援ツール
▪ ゾーン分割設計提案例
17

18. Nagoya Institute of Technology
ゾーニングについて
ゾーニング手法のレビュー
▪ IEC62443 and Knapp
 通信中の機能グループを分離する実用的なアプローチである。
▪ Prof. Hashimoto
 機能的な完全性のクロスチェックに基づいて安全性とセキュリ
ティを同時に実現する分析的なアプローチである。
▪ これらのアプローチはプラントの状況を固定して、制御
システムの機能が限定されている時に有効である。
▪ 機能が限定されているゾーニングだからこそ、制御系
ネットワークの通信経路も固定されている。
18

19. Nagoya Institute of Technology
ゾーニングについて
制御システムの運転モード
▪ 制御システムは様々な運転モードを持っている
 Start-up, Load-change, Shutdown
▪ 各運転モードごとに様々なオペレーションが存在する
 パイプのフラッシュ, タンクに水を入れる, ポンプの起動などな
ど・・・
▪ 各オペレーションによって、プラントの状況は変化して
いく
 バルブの開度, タンクの水量などなど・・・
▪ 運転モードに合わせて、制御システムやプラントの
Stateは様々に変更されなくてはいけない
19

20. Nagoya Institute of Technology
ゾーニングについて
運転モードによる変化
▪ Start-upにおけるプラントの一部分の状態の変化を観察
する。
20
H
L
Tank1
SP
V10
V11
V12
WR
WR
S8
LG1
PLC1
PLC6
LT1
PLC2
PLC3
PLC5
PLC4
SCADA
S7
PW
V・・・バルブ
S・・・水センサー
LT・・・差圧計
PW・・・水を供給する
LG・・・水位計
WR・・・ドレイン

21. Nagoya Institute of Technology
ゾーニングについて
運転モードによる変化
▪ 各機器の状態は操作手順ごとに以下の表のように変化していく。
21
STATE PW V10 V11 V12 S7 S8 LT1 LG1 LevelTank1 WR1Flash WR2Flash
1 0 0 0 0 0 0 0 0 00 0 0
2 1 0 0 0 0 0 0 1 01 0 0
2.5 1 0 0 0 0 0 0 1 10 0 0
3 0 0 0 0 0 0 0 1 10 0 0
4 0 0 0 1 0 0 0 1 10 0 0
5 0 0 0 1 0 1 0 1 01 1 0
6 0 0 0 0 0 0 0 1 01 1 0
7 1 0 0 0 0 0 0 1 01 1 0
7.5 1 0 0 0 0 0 0 1 10 1 0
8 0 0 0 0 0 0 0 1 10 1 0
9 0 0 1 0 0 0 0 1 10 1 0
10 0 0 1 0 0 0 0 1 01 1 0
11 1 0 1 0 0 0 1 1 01 1 0
11.5 1 0 1 0 0 0 1 1 10 1 0
12 0 0 1 0 0 0 1 1 10 1 0
13 0 1 1 0 0 0 1 1 01 1 0
14 0 1 1 0 1 0 1 1 01 1 1
15 0 0 1 0 0 0 1 1 01 1 1
16 1 0 1 0 0 0 1 1 01 1 1
16.5 1 0 1 0 0 0 1 1 10 1 1
17 0 0 1 0 0 0 1 1 10 1 1
18 0 0 1 1 0 0 1 1 01 1 1
19 0 0 1 1 0 1 1 0 01 1 1
20 0 1 1 1 0 1 0 0 00 1 1
21 0 1 1 1 0 1 0 0 00 1 1
22 0 1 1 1 0 0 0 0 00 1 1
0 1 1 1 0 0 0 0 00 1 1

22. Nagoya Institute of Technology
ゾーニングについて
運転モードによる変化
▪ プラントにおいて、通信される部分とされない部分は以下の図のよ
うに変化する。
通信が必要な経路
通信が不要な経路
通信が必要なゾーン
通信が不要なゾーン
22
H
L
Tank1
SP
V10
PW
V11
V12
WR
WR
S8
LG1
PLC1
PLC6
LT1
PLC2
PLC3
PLC5
PLC4
SCADA
S7
PW
PW

23. Nagoya Institute of Technology
ゾーニングについて
ゾーニングにおける課題
▪ 課題1(Security & Safety)
 運転モードごとにセキュリティ要件やセーフティ要件は、操作手
順や制御システムの構造に基づいて定められなければならない。
▪ 課題2(Minimum Communication links)
 運転モードに応じて、必要な通信のみ行い、不要な通信は切断
されなければならない。
▪ 課題3(Tagout & Takeover)
 各ゾーンを同時に攻撃されても、隔離をした上で安全にコント
ロールできなければならない。
23

24. Nagoya Institute of Technology
ゾーニングについて
課題解決ための方策
▪ 運転モードに応じて、
 動的にゾーニングを決定する
 プラントから得られる情報に基づいて最適なゾーニングを求める
 動的に通信経路を切り替える
 侵入されていないゾーンにコントロールを切り替える
 運転モードに応じて、不要な通信を切断する
 最適なゾーニングに応じて、ネットワーク構成を切り替える
24

25. Nagoya Institute of Technology
動的ゾーニング
OpenState Mechanism
▪ 運転モードに応じた、最適
なゾーニングを決定するた
めには
 プラントの状況変化を監視する
必要がある。
 このプラントの一部の情報だけ
でも変数が11個あるため2048通
りの状況が存在することになる。
 右図はプラント構造情報と操作
プロセスから、通常状態で起こ
り得る状況のみに縮約したもの
である。
▪ 大量の情報を人間が扱う
ことは難しい。
 状況変化を機械的に抽出し、
縮約する仕組みが必要とな
る。
STATE PW V10 V11 V12 S7 S8 LT1 LG1 LevelTank1 WR1Flash WR2Flash
1 0 0 0 0 0 0 0 0 00 0 0
2 1 0 0 0 0 0 0 1 01 0 0
2.5 1 0 0 0 0 0 0 1 10 0 0
3 0 0 0 0 0 0 0 1 10 0 0
4 0 0 0 1 0 0 0 1 10 0 0
5 0 0 0 1 0 1 0 1 01 1 0
6 0 0 0 0 0 0 0 1 01 1 0
7 1 0 0 0 0 0 0 1 01 1 0
7.5 1 0 0 0 0 0 0 1 10 1 0
8 0 0 0 0 0 0 0 1 10 1 0
9 0 0 1 0 0 0 0 1 10 1 0
10 0 0 1 0 0 0 0 1 01 1 0
11 1 0 1 0 0 0 1 1 01 1 0
11.5 1 0 1 0 0 0 1 1 10 1 0
12 0 0 1 0 0 0 1 1 10 1 0
13 0 1 1 0 0 0 1 1 01 1 0
14 0 1 1 0 1 0 1 1 01 1 1
15 0 0 1 0 0 0 1 1 01 1 1
16 1 0 1 0 0 0 1 1 01 1 1
16.5 1 0 1 0 0 0 1 1 10 1 1
17 0 0 1 0 0 0 1 1 10 1 1
18 0 0 1 1 0 0 1 1 01 1 1
19 0 0 1 1 0 1 1 0 01 1 1
20 0 1 1 1 0 1 0 0 00 1 1
21 0 1 1 1 0 1 0 0 00 1 1
22 0 1 1 1 0 0 0 0 00 1 1
0 1 1 1 0 0 0 0 00 1 1
25

26. Nagoya Institute of Technology
動的ゾーニング
OpenState Mechanism
▪ LSA(Latent Semantic Analysis)
 LSAは、文書群とそこに含まれる用語群について、それらに関連した概
念の集合を生成することで、その関係を分析する技術である。
 この概念空間は文書の比較(クラスタリング)や用語間の関係(類義性や多
義性)を探す場面に応用されてきた。
http://ja.wikipedia.org/wiki/%E6%BD%9C%E5%9C%A8%E6%84%8F%E5%91%B3%E8%A7%A3%E6
%9E%90
26
LSA

27. Nagoya Institute of Technology
動的ゾーニング
OpenState Mechanism
▪ LSA(Latent Semantic Analysis)による状況変化の縮約
 LSAにおいて、プラントを構成する機器同士の構造式を文書群とし、構
成する機器を用語群とすることで分析を行う。
27
r(Tank2,Pipe1)=0.97
r(Pipe4,V15)=-0.19
LSA
縮約

28. Nagoya Institute of Technology
動的経路切り替え
OpenFlow Mechanism
▪ SDN(Software Defined Network)
 ネットワークの構成、機能、性能などをソフトウェアの操作
だけで動的に設定、変更できるネットワーク、あるいはその
ためのコンセプトを指す。
 コンセプトの実装事例の一つがOpenFlowである。
▪ OpenFlow
 OpenFlowではネットワークをコントロールすることができ
るプロトコルが定められており、どのようにコントロールす
るかは開発者のアプリケーション次第である。
 簡単なハブスイッチやルータのアプリケーションは出回って
いるが、プラントの状況に合わせて通信経路を切り替えるア
プリケーションは存在しない。
28

29. Nagoya Institute of Technology
動的経路切り替え
OpenFlow Mechanism
▪ 運転モードに応じて、ネットワーク構成をコントロール
するアプリケーションを開発する。
 常時接続されるのではなく、必要な時のみ通信を行うことが可能
になる。
 通信が行われない状況を作り出すことで、攻撃者にとってはどのような
ネットワークであるのかを把握することが困難になり、よりセキュアに
することができる。
 運転モードに応じた最適なゾーニングがネットワーク構成を変更
することで可能になる。
 コントローラがどのゾーンに接続されるかが変わっていくため、攻撃者
が事故を引き起こすことがより困難になり、よりセーフティにすること
ができる。
29

30. Nagoya Institute of Technology
動的経路切り替え
OpenFlow Mechanismのプロトタイプ
▪ RaspberryPiと呼ばれる小型ボードとUSB-LANアダプタを組み合わ
せることで、OpenFlow ControllerとSwitchを実装し、Switchに接
続される端末同士の通信経路を動的に切り替えることができるアプ
リケーションを開発した。
OpenFlow Controller
OpenFlow Switch
30
OPC-コントローラ間やゾーン間の通信を自在にコントロール
することが可能になった。
OPCへ接続
+
PLCへ接続

31. Nagoya Institute of Technology
まとめ
▪ これまでは「空間上」でのゾーニングを行ってきた。
 IEC62443 and KnappによるSecure Enclaves
 Prof. Hashimotoによるゾーニング手法
▪ 新たに動的ゾーニング手法を提案した。
 この手法は「時間軸上」でのゾーニングを行う。
 時間軸上でのゾーニングは制御システムにおいては特に有効であると考える。
 制御システムやプラントでは、人間が直接制御するのではなく、機械
が制御している世界であるからこそ、一定時間で状況が変化していく
ことを把握しやすい。
 「時間軸上」で制御系システムが変化していくことによって、攻撃者
にとっては状況を把握することが難しくなる。
31

32. Nagoya Institute of Technology
Thank you.
32