対話型ワークショップ、組織横断的なCSIRTの重要性を実感
ただし、こうしたITベースのセキュリティ対策を実践しても、課題は残る。「(サイバー攻撃は)いかに早く異常に気付いて対処できるかがポイントになるわけだが、IT部門は産業制御システムを熟知しているわけではないので、分析やアクションにつなげるのが難しい」(越島氏)。
サイバー攻撃の影響は、組織的な垣根を乗り越えて波及する。解決するには、インシデント発生の情報を受けたら組織全体の状況を把握しながら的確に指示を出して統括する「組織」、たとえばCSIRT(コンピューターセキュリティインシデント対応チーム)が必要だ。2日間のワークショップの最後は、その重要性を体感する対話型の演習が行われた。
まずグループが作られ、越島氏が演習内容を説明
演習では、架空の地域冷暖房サービス会社「橋本ケミカル」のIT部門がMcAfee SIEMで不審なアクセスを検知、報告を受けた製造部門の部長が管理画面で確認すると、タンクの1つで液位の低下が確認されたところから始まる。
参加者は、セキュリティベンダー、IT部門、制御部門、マネジメント層が混在する8つのグループに割り振られ、予兆・緊急対応・復旧の3つのフェーズで問題の確認から収束までを議論する。進める際は、関連部門役の研究室メンバーと「メール」しながら状況確認したり対応を仰いだりする。
漠然とした情報しかない中で、機器の不具合かサイバー攻撃かを判断するために問い合わせ先部門を検討
予兆フェーズでは、そもそもサイバー攻撃か、それとも機器の不具合かも分からない状況のため、まずは原因の特定を行う。
「これは供給側でのインシデント? エンドユーザーに影響が出るのであれば予断を許さない状況だよね」。開始直後、現場を知る参加者の声が飛び交う。各グループでは、プラントの安全保証を優先させるべきだ、いや営業に契約者からのクレームの心積もりを伝えて情報共有を優先するべきだなど、現場や営業などのさまざまな観点が展開されていた。
緊急対応フェーズでは、液位が低下しているタンクのバルブを管理画面から閉めようとするものの閉まらず、マニュアルで停止。IT部門の調査により、OPCサーバーの設定ファイルが何者かによって書き換えられていることが判明する。演習では、緊急対応すべきことを考え、サイバー攻撃であることを突き止めるところまで進める。
ここでも参加者ごとの観点の違いから、問題のプラントのネットワークを切り離すグループや、営業部門のネットワークを切り離すグループなど、意見が分かれた。また、マネジメント部門の緊急会議を招集してプラント間の連絡を円滑化する試みに出たグループもあった。これについて、越島氏は「下位系統への伝達を迅速かつスムーズに進めるためにも、早い段階でインシデントコマンダーを決定することは重要」とコメントした。
そして最後の復旧フェーズでは、サイバー攻撃であることが判明。事態の収束まで、誰が主導権を握って進めるべきかが議論された。ここでは、「横断的に関わる話は利害関係が出てくるので、部門間での情報共有を強化するためにも、CIOやCEOなどがコミットする組織を作らないとダメだ」などの意見も交わされた。
メールでの確認事項はピンク、報告や連絡事項は青など、付箋紙を使ってインシデント対応を時系列に整理
大企業・重要インフラ企業ほど難しい効率的なCSIRTの構築
演習後、越島氏はこうまとめた。「演習を通じて、人が主体的に動かないといけない部分、人ではカバーしきれない部分が見えてきたのではないだろうか。特に人間の部分で、現場同士がどう連携するのか、横断的な連携は可能か、連携組織を作るときは誰が責任を持って統括するのか、プロジェクトとして設定するのか、それとも恒久的な組織として配置するのか、考えることは多くある」。
縦断的・横断的な連携を実現するCSIRTのような組織を作れるかどうか。これは重要インフラ企業だけでなく、一般企業でも共通する課題だろう。
今回初めて参加したという参加者は、「機器制御の現場で働いているが、(サイバー攻撃が発生したときに)IT部門がどのようなプロセスで対応しているのかまったく分からないし、どのように情報が下りてくるか分からないのが現状だ。今回のワークショップの体験を自社で展開できるかは分からない」と率直な感想を語った。会社規模が大きい場合、他部門の状況を知ることは難しく、情報共有もままならないのは当然だ。
それを乗り越える情報共有の仕組みが重要インフラ企業で構築されるまでには、まだ時間が必要なようだ。ただ、サイバー攻撃の現状を考えると長く待ってはいられない。今回のワークショップで撒かれた種が、早く芽吹くことが期待される。
