Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Dynamic Zoning Based On Situational Activity in ICS (Japanese)

Wataru Machii of the Nagoya Institute of Technology introduces this novel defensive measure that alters the perimeter defenses or zoning based on the certain operational modes or observed activity.

There are numerous possibilities for this idea.

  • Login to see the comments

  • Be the first to like this

Dynamic Zoning Based On Situational Activity in ICS (Japanese)

  1. 1. Nagoya Institute of Technology Dynamic Zoning Based On Situational Activity in ICS Wataru Machii Nagoya Institute of Technology S4xJapan 15/09/2014 1
  2. 2. Nagoya Institute of Technology 自己紹介 ▪ 名古屋工業大学大学院社会工学専攻 ▪ 越島研究室所属博士前期課程2年 ▪ オランダやアメリカで開催されているICS Cyber Security Training Programに参加。 2
  3. 3. Nagoya Institute of Technology NIT ICS Security Research Team 研究の概要 ▪ ICSセキュリティの研究に おいて重要である3つの柱  People  Facility  Control の観点から包括的にアプロー チを行っている。 3
  4. 4. Nagoya Institute of Technology NIT ICS Security Research Team テストベッド ▪ 実機のミニプラントを用いて、 攻撃側の視点も取り入れた防 御手法の検討・テストを行っ ている。 ▪ ICSセキュリティ活動啓蒙のた めにICSに対するサイバー攻撃 デモを行っている。 4
  5. 5. Nagoya Institute of Technology Agenda ▪ ICS Securityについて ▪ ゾーニングについて  IEC62443 and Knapp  CE行列によるゾーニング  ゾーン設計支援ツール ▪ 動的ゾーニング  OpenState Mechanism ▪ 動的経路切り替え  OpenFlow Mechanism 5
  6. 6. Nagoya Institute of Technology ICS Securityについて これまでの対策 ▪ IT技術者による対策が中心である。  Firewall  IDS  Anti Virus などなど・・・ ▪ 完璧な防御など存在しない  どんな対策を施しても侵入される可能性はある  ヒューマンエラー  未知の脆弱性  内部犯行  USB 6
  7. 7. Nagoya Institute of Technology ICS Securityについて ICSの現状 ▪ 制御系システムは脆弱である  オープンな仕様であるコントローラ  セキュリティが考慮されていないプロトコル  セキュリティパッチが当てられない  システムの更新頻度の低さ  現場の技術者のセキュリティに関する知識  リアルタイム処理に影響を与えるソフトは動かしたくな い などなど・・・ 7
  8. 8. Nagoya Institute of Technology ICS Securityについて ICSの課題 ▪ サイバー攻撃を受けたとしても制御系システムの 安全は守られなければいけない  仮に侵入を許しても、重大な事故を引き起こさせてはい けない  攻撃を受けていても、システムを安全に停止させなけれ ばいけない ▪ 制御側の視点によるセーフティを考慮したセキュ リティ対策が必要となってくる 8
  9. 9. Nagoya Institute of Technology ゾーニングについて Zones&Conduits ▪ IEC62443では、制御系シス テムのセキュリティ向上のた めに、Zones&Conduitsが標 準として組み込まれている。  Zones  制御系システムにおける機能を論 理的や物理的に分割し、それぞれ 分割されたものを一まとめのネッ トワークとしたもの  Conduits  それぞれのゾーンの間の通信経路 を論理的にグルーピングしたもの 9
  10. 10. Nagoya Institute of Technology ゾーニングについて Secure Enclaves ▪ 制御系システムが持つ機能をグループごとに分けるこ とで、ICSのセキュリティを向上させる手法が提案さ れている 1. Control Loop 2. HMI 3. Control Process 4. Historization 5. Trading Communication 6. Remote Access 7. Users and Roles 8. Protocols Eric D. Knapp. (2011). Industrial network security. Syngress 10
  11. 11. Nagoya Institute of Technology ゾーニングについて Zoning for safety and security protection in ICS ▪ CE行列によるゾーニング  コントローラのネットワークをゾーンに分割し、同時に侵入され る領域を限定することで、攻撃できる箇所を一部分に限定すると ともに、クラッカーによる操作で制御システムの変化を侵入され ていないゾーンで計測し、攻撃を検知できれば、事故を引き起こ すリスクを軽減することができる。  いかに攻撃のリスクを抑制し、隠蔽しにくくできるかは制御対象 を良く理解した上でゾーニングを行わなければならない。  この手法は制御系のエンジニアが行えるセーフティを 考慮したセキュリティ対策である。 11 Y. Hashimoto et al., “Safety securing approach against cyber-attacks for process control system”, Computers and Chemical Engineering, http://dx.doi.org/10.1016/j.compchemeng.2013.04.019, 2013
  12. 12. Nagoya Institute of Technology ゾーニングについて テストベッドにおけるゾーニング 12 温水循環システム 下部タンクのヒータで 水を温め,ポンプで上 部タンクへ供給する温 水循環システム ヒータHで ”空焚き事故” が起こること を想定し,攻 撃者目線で FTを作成 センサ[ LM1 LM2 TM1 TM2 PM FM ] アクチュエータ[ V1 V2 H W ] コントローラ[ LC1 TC1 FC ]
  13. 13. Nagoya Institute of Technology ゾーニングについて テストベッドにおけるゾーニング 13 タンク,ヒータ の機能不全 上部事象に 至るまでの 時間を確保 上部事象に 至る状態を 作る タンク1内の 液位Low タンク1内の 温度High タンク1とタンク2の 液位が異常である と気が付かない タンク1とタンク2の 温度が異常である と気が付かない タンク1の流 出弁を全開 ヒータのコン トローラ Auto→Manu al ヒータ 出力をある 一定の値以 上にする インターロッ ク解除 タンク1の温 度を正常で あるかのよう に隠蔽 タンク1の温 度を正常で あるかのよう に隠蔽 T1iのHigh アラームを解 除・監視画面 を表示しない タンク1の目 標設定値を 正常であるか のように隠蔽 タンク1の液 位を正常であ るかのように 隠蔽 タンク2の液 位を正常であ るかのように 隠蔽 L2iのHigh アラームを解 除・監視画面 を表示しない タンク1液位 のLowアラー ムを解除・監 視画面を表示 しない タンク1水位コン トロールを破綻 同時に攻撃されなけれ ば発生確率は低下 隠蔽されていても事故に 至るまでに異常に気づけ ば発生確率は低下 タンク1の 流入弁を閉 じる タンク1水位 の設定値を 低く
  14. 14. Nagoya Institute of Technology ゾーニングについて テストベッドにおけるゾーニング 14 • Tank1の液位コン トロールとHeater のコントロールを 同時に操作されな いような分割がで きている。 • 異なるセキュリ ティ対策を各ゾー ンに施すことに よって、事故を引 き起こすまでの時 間を稼ぐことがで きる。 ゾーニングの一例
  15. 15. Nagoya Institute of Technology ゾーニングについて ゾーン設計支援ツール ▪ 大規模なプラントになればなるほど、人間の手でゾーン分割を求め ることは困難になってくる。 ▪ そこで、ゾーン設計をグラフィカルに行えるツールを開発された。 ツールには以下の2つの機能が備わっている。 ① ゾーン分割設計評価  ユーザが指定したセンサ・アクチュエータのゾーンの振り分け方を評 価 ② ゾーン分割設計提案  センサ・アクチュエータの振り分け方を提案 15
  16. 16. Nagoya Institute of Technology ゾーニングについて ゾーン設計支援ツール ▪ モジュールライブラリから装置を選択・配置する 16
  17. 17. Nagoya Institute of Technology ゾーニングについて ゾーン設計支援ツール ▪ ゾーン分割設計提案例 17
  18. 18. Nagoya Institute of Technology ゾーニングについて ゾーニング手法のレビュー ▪ IEC62443 and Knapp  通信中の機能グループを分離する実用的なアプローチである。 ▪ Prof. Hashimoto  機能的な完全性のクロスチェックに基づいて安全性とセキュリ ティを同時に実現する分析的なアプローチである。 ▪ これらのアプローチはプラントの状況を固定して、制御 システムの機能が限定されている時に有効である。 ▪ 機能が限定されているゾーニングだからこそ、制御系 ネットワークの通信経路も固定されている。 18
  19. 19. Nagoya Institute of Technology ゾーニングについて 制御システムの運転モード ▪ 制御システムは様々な運転モードを持っている  Start-up, Load-change, Shutdown ▪ 各運転モードごとに様々なオペレーションが存在する  パイプのフラッシュ, タンクに水を入れる, ポンプの起動などな ど・・・ ▪ 各オペレーションによって、プラントの状況は変化して いく  バルブの開度, タンクの水量などなど・・・ ▪ 運転モードに合わせて、制御システムやプラントの Stateは様々に変更されなくてはいけない 19
  20. 20. Nagoya Institute of Technology ゾーニングについて 運転モードによる変化 ▪ Start-upにおけるプラントの一部分の状態の変化を観察 する。 20 H L Tank1 SP V10 V11 V12 WR WR S8 LG1 PLC1 PLC6 LT1 PLC2 PLC3 PLC5 PLC4 SCADA S7 PW V・・・バルブ S・・・水センサー LT・・・差圧計 PW・・・水を供給する LG・・・水位計 WR・・・ドレイン
  21. 21. Nagoya Institute of Technology ゾーニングについて 運転モードによる変化 ▪ 各機器の状態は操作手順ごとに以下の表のように変化していく。 21 STATE PW V10 V11 V12 S7 S8 LT1 LG1 LevelTank1 WR1Flash WR2Flash 1 0 0 0 0 0 0 0 0 00 0 0 2 1 0 0 0 0 0 0 1 01 0 0 2.5 1 0 0 0 0 0 0 1 10 0 0 3 0 0 0 0 0 0 0 1 10 0 0 4 0 0 0 1 0 0 0 1 10 0 0 5 0 0 0 1 0 1 0 1 01 1 0 6 0 0 0 0 0 0 0 1 01 1 0 7 1 0 0 0 0 0 0 1 01 1 0 7.5 1 0 0 0 0 0 0 1 10 1 0 8 0 0 0 0 0 0 0 1 10 1 0 9 0 0 1 0 0 0 0 1 10 1 0 10 0 0 1 0 0 0 0 1 01 1 0 11 1 0 1 0 0 0 1 1 01 1 0 11.5 1 0 1 0 0 0 1 1 10 1 0 12 0 0 1 0 0 0 1 1 10 1 0 13 0 1 1 0 0 0 1 1 01 1 0 14 0 1 1 0 1 0 1 1 01 1 1 15 0 0 1 0 0 0 1 1 01 1 1 16 1 0 1 0 0 0 1 1 01 1 1 16.5 1 0 1 0 0 0 1 1 10 1 1 17 0 0 1 0 0 0 1 1 10 1 1 18 0 0 1 1 0 0 1 1 01 1 1 19 0 0 1 1 0 1 1 0 01 1 1 20 0 1 1 1 0 1 0 0 00 1 1 21 0 1 1 1 0 1 0 0 00 1 1 22 0 1 1 1 0 0 0 0 00 1 1 0 1 1 1 0 0 0 0 00 1 1
  22. 22. Nagoya Institute of Technology ゾーニングについて 運転モードによる変化 ▪ プラントにおいて、通信される部分とされない部分は以下の図のよ うに変化する。 通信が必要な経路 通信が不要な経路 通信が必要なゾーン 通信が不要なゾーン 22 H L Tank1 SP V10 PW V11 V12 WR WR S8 LG1 PLC1 PLC6 LT1 PLC2 PLC3 PLC5 PLC4 SCADA S7 PW PW
  23. 23. Nagoya Institute of Technology ゾーニングについて ゾーニングにおける課題 ▪ 課題1(Security & Safety)  運転モードごとにセキュリティ要件やセーフティ要件は、操作手 順や制御システムの構造に基づいて定められなければならない。 ▪ 課題2(Minimum Communication links)  運転モードに応じて、必要な通信のみ行い、不要な通信は切断 されなければならない。 ▪ 課題3(Tagout & Takeover)  各ゾーンを同時に攻撃されても、隔離をした上で安全にコント ロールできなければならない。 23
  24. 24. Nagoya Institute of Technology ゾーニングについて 課題解決ための方策 ▪ 運転モードに応じて、  動的にゾーニングを決定する  プラントから得られる情報に基づいて最適なゾーニングを求める  動的に通信経路を切り替える  侵入されていないゾーンにコントロールを切り替える  運転モードに応じて、不要な通信を切断する  最適なゾーニングに応じて、ネットワーク構成を切り替える 24
  25. 25. Nagoya Institute of Technology 動的ゾーニング OpenState Mechanism ▪ 運転モードに応じた、最適 なゾーニングを決定するた めには  プラントの状況変化を監視する 必要がある。  このプラントの一部の情報だけ でも変数が11個あるため2048通 りの状況が存在することになる。  右図はプラント構造情報と操作 プロセスから、通常状態で起こ り得る状況のみに縮約したもの である。 ▪ 大量の情報を人間が扱う ことは難しい。  状況変化を機械的に抽出し、 縮約する仕組みが必要とな る。 STATE PW V10 V11 V12 S7 S8 LT1 LG1 LevelTank1 WR1Flash WR2Flash 1 0 0 0 0 0 0 0 0 00 0 0 2 1 0 0 0 0 0 0 1 01 0 0 2.5 1 0 0 0 0 0 0 1 10 0 0 3 0 0 0 0 0 0 0 1 10 0 0 4 0 0 0 1 0 0 0 1 10 0 0 5 0 0 0 1 0 1 0 1 01 1 0 6 0 0 0 0 0 0 0 1 01 1 0 7 1 0 0 0 0 0 0 1 01 1 0 7.5 1 0 0 0 0 0 0 1 10 1 0 8 0 0 0 0 0 0 0 1 10 1 0 9 0 0 1 0 0 0 0 1 10 1 0 10 0 0 1 0 0 0 0 1 01 1 0 11 1 0 1 0 0 0 1 1 01 1 0 11.5 1 0 1 0 0 0 1 1 10 1 0 12 0 0 1 0 0 0 1 1 10 1 0 13 0 1 1 0 0 0 1 1 01 1 0 14 0 1 1 0 1 0 1 1 01 1 1 15 0 0 1 0 0 0 1 1 01 1 1 16 1 0 1 0 0 0 1 1 01 1 1 16.5 1 0 1 0 0 0 1 1 10 1 1 17 0 0 1 0 0 0 1 1 10 1 1 18 0 0 1 1 0 0 1 1 01 1 1 19 0 0 1 1 0 1 1 0 01 1 1 20 0 1 1 1 0 1 0 0 00 1 1 21 0 1 1 1 0 1 0 0 00 1 1 22 0 1 1 1 0 0 0 0 00 1 1 0 1 1 1 0 0 0 0 00 1 1 25
  26. 26. Nagoya Institute of Technology 動的ゾーニング OpenState Mechanism ▪ LSA(Latent Semantic Analysis)  LSAは、文書群とそこに含まれる用語群について、それらに関連した概 念の集合を生成することで、その関係を分析する技術である。  この概念空間は文書の比較(クラスタリング)や用語間の関係(類義性や多 義性)を探す場面に応用されてきた。 http://ja.wikipedia.org/wiki/%E6%BD%9C%E5%9C%A8%E6%84%8F%E5%91%B3%E8%A7%A3%E6 %9E%90 26 LSA
  27. 27. Nagoya Institute of Technology 動的ゾーニング OpenState Mechanism ▪ LSA(Latent Semantic Analysis)による状況変化の縮約  LSAにおいて、プラントを構成する機器同士の構造式を文書群とし、構 成する機器を用語群とすることで分析を行う。 27 r(Tank2,Pipe1)=0.97 r(Pipe4,V15)=-0.19 LSA 縮約
  28. 28. Nagoya Institute of Technology 動的経路切り替え OpenFlow Mechanism ▪ SDN(Software Defined Network)  ネットワークの構成、機能、性能などをソフトウェアの操作 だけで動的に設定、変更できるネットワーク、あるいはその ためのコンセプトを指す。  コンセプトの実装事例の一つがOpenFlowである。 ▪ OpenFlow  OpenFlowではネットワークをコントロールすることができ るプロトコルが定められており、どのようにコントロールす るかは開発者のアプリケーション次第である。  簡単なハブスイッチやルータのアプリケーションは出回って いるが、プラントの状況に合わせて通信経路を切り替えるア プリケーションは存在しない。 28
  29. 29. Nagoya Institute of Technology 動的経路切り替え OpenFlow Mechanism ▪ 運転モードに応じて、ネットワーク構成をコントロール するアプリケーションを開発する。  常時接続されるのではなく、必要な時のみ通信を行うことが可能 になる。  通信が行われない状況を作り出すことで、攻撃者にとってはどのような ネットワークであるのかを把握することが困難になり、よりセキュアに することができる。  運転モードに応じた最適なゾーニングがネットワーク構成を変更 することで可能になる。  コントローラがどのゾーンに接続されるかが変わっていくため、攻撃者 が事故を引き起こすことがより困難になり、よりセーフティにすること ができる。 29
  30. 30. Nagoya Institute of Technology 動的経路切り替え OpenFlow Mechanismのプロトタイプ ▪ RaspberryPiと呼ばれる小型ボードとUSB-LANアダプタを組み合わ せることで、OpenFlow ControllerとSwitchを実装し、Switchに接 続される端末同士の通信経路を動的に切り替えることができるアプ リケーションを開発した。 OpenFlow Controller OpenFlow Switch 30 OPC-コントローラ間やゾーン間の通信を自在にコントロール することが可能になった。 OPCへ接続 + PLCへ接続
  31. 31. Nagoya Institute of Technology まとめ ▪ これまでは「空間上」でのゾーニングを行ってきた。  IEC62443 and KnappによるSecure Enclaves  Prof. Hashimotoによるゾーニング手法 ▪ 新たに動的ゾーニング手法を提案した。  この手法は「時間軸上」でのゾーニングを行う。  時間軸上でのゾーニングは制御システムにおいては特に有効であると考える。  制御システムやプラントでは、人間が直接制御するのではなく、機械 が制御している世界であるからこそ、一定時間で状況が変化していく ことを把握しやすい。  「時間軸上」で制御系システムが変化していくことによって、攻撃者 にとっては状況を把握することが難しくなる。 31
  32. 32. Nagoya Institute of Technology Thank you. 32

×