情報処理安全確保支援士試験 過去問 2019年(令和元年) 秋期 午後Ⅱ 問2
工場のセキュリティ
工場のセキュリティに関する次の記述を読んで、設問1~7に答えよ。
A社は、車両や産業用機械で利用される金属部品の製造会社であり、本社オフィスに加えて3か所の工場(以下、本社オフィス及び各工場をそれぞれ事業所という)をもつ。本社オフィスには、営業部、財務部、総務部、システム部などの部門が配置されている。各工場はそれぞれが独立した部門である。A社は、各事業所間及び事業所間を結ぶ基幹ネットワーク(以下、A-NETという)を整備している。A-NETはシステム部が管理し、社内の機器の多くが接続されている。
A社は、全社共通のセキュリティ規程を定めており、各部門はこれに従って機器を管理しなければならない。A-NETの概要を図1に、A社のセキュリティ規程を図2に示す。
- A社が従業員に貸与するPC(以下,標準PCという)は,システム部が管理する。
- システム部は,標準PCの仕様を定める。また,標準PCについて,セキュリティを維持するための措置を定める。この措置には,脆弱性修正プログラム(以下,パッチという)の適用及びマルウェア対策ソフトの導入が含まれる。
- 各部門は,業務に必要なソフトウェア(以下,業務用ソフトという)を調達し,標準PCにインストールして利用することができる。ただし,その場合は,調達前にシステム部の許可を得る。また,当該部門は当該業務用ソフトを適切に管理する。
- システム部は,A-NETについて,セキュリティ及びその他の不都合が生じないように管理・維持する責任と,そのための権限をもつ。
- 各部門は,標準PCとは別のPC及びその他の機器(以下,これらを併せて部門機器という)を調達し利用できる。
- 各部門は,専用のネットワーク(以下,部門NETという)を構築し利用できる。
-
各部門は,部門機器又は部門NETをA-NETに接続する場合,接続前にシステム部に申請し許可を得る。申請時には,次の事項を記した書面を提出する。
- 接続の目的
- 接続に必要な技術情報(必要なIPアドレスの数,想定される通信量,その他システム部が別途定めるもの)
- 管理者と連絡先
先日、同業のB社でセキュリティ事故が発生し、生産設備が数日停止した旨の記事が業界紙に掲載された。これまでのところ、A社では、同様の被害が生じた事故は起きていないが、以前から、セキュリティ面を深く考慮せずに拡張してきたA-NET及び部門NETについて抜本的な改善の必要性があるとの指摘が、システム管理を担う現場の技術者から出ている。
【ランサムウェア感染】
ある日、α工場において、設計部のSさんが利用する標準PC(以下、PC-Sという)の動作が極端に遅くなり、かつ、一部のファイルが開けなくなる事象が発生した。SさんからA-NETを受けたシステム部は、α工場において部門機器や業務用ソフトを管理するD主任と共同で、調査及び対処を行った。その内容を図3に示す。
- システム部は、PC-SをA-NETから切断し回収した。
- 社内から社外への通信を申請するプロセスにより、PC-Sが不審な通信を行っていること、①User_Agentヘッダフィールドの値が"curl/7.64.0"のHTTPリクエストを繰り返し送信していることが確認された。
- PC-S上、及びPC-Sがアクセス可能なファイルサーバ上のファイルのうち一部のファイルが暗号化されてしまい、幾つかの実行中のプロセスがエラーメッセージをログに出力していた。
- SさんへのヒアリングとPC-S及びプロキシサーバに記録されたログの解析から、次のことが分かった。
- Sさんは、α工場で使用しているCADツール(以下、CAD-Vという)の有償オプション機能の広告を電子メール(以下、メールという)で受信した。その本文に記載されていたURLリンクをクリックし、CAD-V用のサンプルファイル(以下、ファイルTという)をダウンロードした。
- Sさんは、CAD-Vを用いて、ファイルTを開いた。
- すぐに、PC-Sがサイト Uに最初の通信を行った。
- 30分後、Sさんは PC-Sの異常に気付いた。
- マルウェア対策ソフトのベンダにファイルTの解析を依頼したところ、ファイルTは、次の特徴をもつランサムウェアであることが分かった。
- CAD-Vの脆弱性を悪用し動作する。CAD-VでファイルTが開かれた場合、CAD-Vを実行している利用者の権限で書込み可能なファイルのうち一部のファイルを暗号化する。また、サイトUにアクセスし、ランサムウェアが動作した機器の環境や暗号化の状況についての情報を登録する。
- 攻撃者が遠隔操作を行うための機能はない。
- 感染を拡大する機能はあるが、感染拡大に必要な一定の条件(以下、条件Vという)を満たす場合にだけ機能し、感染力は弱い。
- α工場には条件Vを全て満たす機器はない。ただし、条件Vを一部満たす機器は存在し、PC-Sから5台の機器への感染拡大の試行の痕跡が見つかった。
- CAD-Vの脆弱性情報及びその対策であるaはCAD-Vの開発元によって公開されていたが、α工場はそれらの情報を得ていなかった。
- マルウェア対策ソフトのベンダから、ファイルTの検知ツールを入手し、社内のほかの全PCを検査した。その結果、PC-S以外に感染はなかった。
- 前項までの状況から、次の実施をもって本件の対処を終えることにした。
- PC-Sはbする。
- ファイルサーバ上の暗号化されてしまったファイルはバックアップから復元する。
- PC-Sに、業務用ソフトをインストールする。
- PC-S上に必要なファイルは、バックアップから復元する。
- CAD-Vがインストールされた全てのPCについて、CAD-Vの開発元が公開した脆弱性対策を実施する。
- ファイルTを配布していたWebサイト、及びcに対する社内からのアクセスをFWによって遮断する。
- 全従業員に対して、次の事項についての通知及び注意喚起を行う。
- ランサムウェアの感染があったこと(CAD-Vの名称、バージョン情報を含む)
- 広告などに偽装したメールを用いて攻撃が行われる場合があること
- インターネットからダウンロードしたファイルは危険であること
- PC-SをSさんに返却し、Sさんが PC-Sの利用を再開する。
図3の6について、感染拡大の試行の痕跡が見つかったのは、いずれも生産設備を制御するための専用PC(以下、FA端末という)だった。FA端末は、α工場が管理する部門機器としてA-NETへの接続が許可されていた。FA端末には、パッチの適用やマルウェア対策ソフトの導入などの、セキュリティを維持するための措置が施されていなかった。D主任によると、FA端末は標準PCではないので、セキュリティ規程で定められた標準PCに対する措置は適用対象外と理解しているとのことであった。また、FA端末は、汎用OSを用いたPCであるが、FA端末及び生産設備の製造ベンダY社の指定する方法で利用しなければならない。Y社の許可を得ずにパッチを適用したり、他社のソフトウェアをFA端末にインストールしたりした場合は、
見直し実施の方針
今回のランサムウェア感染では、生産設備の停止などの重大な事態に陥ることはなかった。しかし、A社の経営陣は、実害があったこと、生産設備に影響する可能性があったこと、及びB社でセキュリティ事故があったことを踏まえ、工場のセキュリティについて抜本的な見直しを行う方針を決定した。
経営陣は、システム部のM部長をこの抜本的な見直しのプロジェクト(以下、プロジェクトWという)の責任者に任命した。プロジェクトWは、サイバー攻撃などによる生産設備の停止を防ぐことを目的とし、必要な施策を検討して実施する。例えば、A-NETで障害が発生しても生産設備の稼働を維持できるようにする。
【プロジェクトWの進め方】
M部長は、まず、α工場の課題を調査して、必要な措置を検討し、ほかの工場は、α工場の結果を基に、進め方を検討することにした。
M部長は、システム部のCさんをプロジェクトWの担当者に指名した。また、情報セキュリティの知見が少ないA社の現状を踏まえ、セキュリティコンサルティングサービスを提供するE社の支援を受けることにした。
次は、CさんとE社の情報処理安全確保支援士(登録セキスペ)のF氏との会話である。
Cさん: プロジェクトWでは、ランサムウェアに限らず、例えば、B社で発生したようなセキュリティ事故を確実に防ぎたいと考えています。
F氏: B社のセキュリティ事故は、APT(Advanced Persistent Threat)攻撃を受け、社内のPCが遠隔操作型のマルウェアに感染したことが発端でした。
Cさん: APT攻撃の事例はよく耳にします。具体的には何が起こるのでしょうか。
F氏: APT攻撃の典型的なステップを表1にまとめました。
| 番号 | ステップ | 攻撃者の活動 |
|---|---|---|
| 1 | 偵察 | 攻撃者は、攻撃対象とする組織(以下、ターゲット組織という)を調査する。ターゲット組織のWebサイト、従業員のメールアドレスや社会的関係などを調べる。 |
| 2 | 武器化 | 攻撃者は、攻撃に用いる武器を準備する。ターゲット組織に合わせて、遠隔操作機能をもつマルウェアを作成する。侵入を成功させるために、正常なdに偽装した"おとりファイル"を作成する場合もある。 |
| 3 | 配送 | 攻撃者は、作成したマルウェアをターゲット組織に配送する。例えば、マルウェアを添付したメールを特定の従業員に送信する。 |
| 4 | エクスプロイト | 攻撃者は、ターゲット組織内の機器でマルウェアを実行させる。例えば、OSやアプリケーションプログラムの脆弱性を悪用してマルウェアを実行させる。 |
| 5 | インストール | 攻撃者は、ターゲット組織の機器にマルウェアをインストールする。当該機器にeを設置することによって、長期にわたり侵入を維持できるようにする場合もある。 |
| 6 | コマンド&コントロール | マルウェアは、インターネット上に設置された攻撃者のサーバと通信して、fを受け取り、それに従って動作する。 |
| 7 | 目的の実行 | 攻撃者は、攻撃の目的を果たすための活動を開始する。データの窃取、破壊、改ざんなどを行う。侵害された機器を踏み台とし、侵入を拡大するための活動を行う場合もある。 |
【調査結果】
Cさんは、F氏の支援の下、α工場の課題を調査した。α工場のネットワークの概要を図4に示す。
調査によって発見された主要な課題を次に示す。
課題1
FA端末には、パッチの適用もマルウェア対策ソフトの導入もしていない。それにもかかわらず、複数のFA端末がA-NETに接続されている。
課題2
APは、接続を許可する機器をMACアドレス認証によって制限している。パスワードやデジタル証明書を利用した認証は行っていない。APの近くから、攻撃者がgすることでhを入手し、この値を使用することで容易にAPに接続できてしまう。
課題3
工場内で使われる機器は、標準PC及びFA端末も含め、業務用ソフトなどの脆弱性管理が不十分である。公開されている脆弱性情報が確認されておらず、パッチが適用されていない機器が多い。セキュリティ規程に脆弱性管理についての具体的な言及がなく、どこまで管理するかを各部門に任せている。
CさんとF氏は、システム部及びα工場の関係者に、発見された課題がもたらすリスクを説明し、解決の必要性について理解を得た。その上で、課題の解決に向けて検討を開始した。
【課題1の解決】
D主任によると、FA端末をA-NETに接続していたのは、次の二つの目的のためである。
- 生産に関わるデータを、FA端末から取り出して業務サーバに登録したり、プリンタで印刷したりするため。これらの作業は毎日、1時間に1回以上ある。
- FA端末のメンテナンスや設計データの更新の際に、A-NET経由でFA端末に当該データの転送を行うため。これらの作業は、多くても月に数回程度である。
CさんとF氏はD主任と協議を重ね、ネットワーク構成を見直すことで課題1の解決を図ることにした。見直し案におけるα工場のネットワークを表2及び図5に示す。
| 名称 | 説明 |
|---|---|
| 事務LAN | 事務などのデスクワークに利用するネットワークであり、A-NETの一部として管理する。主に標準PCやプリンタを接続する。APを設置する。許可を受けた機器は無線で接続できる。 |
| F-NET | α工場とFA端末、プリンタ、その他の生産設備に関連する機器だけを接続する部門NETである。F-NETとA-NETの接続の有無及び接続する場合の形態は別途検討する。 |
| センサNET | α工場では、一部の生産設備にIoTセンサ(以下、センサという)を取り付けて、設備の監視などに役立てる実証実験をクラウドサービス事業者のZ社と進めている。センサNETをこのための部門NETとして新設する。センサが収集したデータは、センサNET経由で、Z社のクラウドサービスに登録する。α工場の担当者は、Z社のクラウドサービスにアクセスし、設備の状況を把握できる。センサの不具合が生産設備に直接影響を与えることはない。 |
FA端末から業務サーバにデータを安全に転送するための仕組みの候補を表3に、それぞれの仕組みについての評価結果を表4に示す。
| 名称 | 説明 |
|---|---|
| FW方式 | F-NETとL3SWの間にステートフルパケットインスペクション型FWを設置し、F-NET側からA-NET側へのアクセス及びその応答に相当する通信だけを中継する。A-NET側からF-NET側にアクセスする通信は全て遮断する。データは、スクリプトを用いて、自動的に業務サーバに転送し登録する。 |
| USBメモリ方式 | F-NETとA-NETは物理的に接続せず、USBメモリを用いてデータを転送する。担当者は、必要時に、USBメモリをFA端末に接続してデータを書き込んだ後、USBメモリをFA端末から取り外す。その後、A-NETに接続した標準PCにこのUSBメモリを接続し、書き込んだデータを取り出して業務サーバに登録する。 |
| 中継用PC方式 | 事務LANとF-NETの間にデータ転送用のPC(以下、中継用PCという)を設置し、中継用PCを用いてデータを転送する。担当者は、必要時に、FA端末を操作し、データをF-NET側から中継用PCの内蔵ストレージにコピーする。その後、中継用PCにリモートログインし、中継用PCを操作してデータを業務サーバに登録する。中継用PCは、接続した両ネットワーク間でパケットを転送する機能をもたない。 |
| データダイオード方式 | データダイオードは、二つの接続点間において、片方向だけデータを転送する機能をもつネットワーク機器である。F-NETとL3SWに接続し、F-NET側からA-NET側へのデータの転送を許可し、逆方向は全ての通信を遮断する。データダイオードの実装例として、機器内部に光通信を行う部位を設け、データが片方向しか流れないことを物理的に保証するものがある。また、一部の通信プロトコルについて、通信をエミュレートする機能注1)をもち、あたかも二つのネットワークが接続しているように見せることができる。データは、スクリプトを用いて、自動的に業務サーバに転送し登録する。 |
| 方式 | 運用時の人的作業負荷 | データ転送の即時性 | セキュリティ(マルウェア感染)注1) |
|---|---|---|---|
| FW方式 | ○ | i | i |
| USBメモリ方式 | × | △ | △ |
| 中継用PC方式 | △ | j | j |
| データダイオード方式 | ○ | k | k |
注1) F-NETに接続された機器が、A-NET経由でマルウェアに感染するリスクを評価する。
CさんとD主任は、評価の結果、方式を一つ選択した。
また、逆方向のA-NET側からFA端末へのデータ転送は、USBメモリを利用して行うことにした。α工場のF-NET管理担当者は、A-NETに接続した標準PCにUSB
メモリを接続して必要なデータをコピーし、その後、②USBメモリをFA端末に接続してデータの更新などの作業を行う。FA端末のメンテナンスの場合、データの更新をY社が行う場合もある。その場合、Y社の担当者は、メンテナンスデータを格納したUSBメモリを持参し、α工場のF-NET管理担当者の監督の下、③USBメモリをFA端末に接続して作業する。
【課題2の解決】
課題2の解決のため、今後は、APでの機器の認証方式として、WPA2エンタープライズ方式を採用することにした。同方式において必要となる認証サーバは、事務LAN用とセンサNET用をそれぞれ設置する。このうち、前者は全社で共用のサーバとし、システム部が管理する。後者はα工場が管理する。
【課題3の解決】
Cさんは、M部長と相談し、今後は、システム部が工場内で使われる機器について脆弱性管理を指導することにした。具体的には、システム部が脆弱性管理のプロセスを規定し、各部門に順守してもらうことにした。Cさんが考えた脆弱性管理のプロセスの案を表5に示す。
| 番号 | プロセス | 内容 |
|---|---|---|
| 1 | 情報収集 | 利用しているハードウェア及びソフトウェアについて脆弱性情報を入手する。 |
| 2 | 深刻度評価 | 入手した脆弱性情報について④その時点での自社にとっての深刻度を評価する。 |
| 3 | 措置の実施 | 深刻度評価の結果に従い、⑤適切と考えられる措置を実施する。 |
| 4 | 状況管理 | (省略) |
脆弱性管理のプロセスは、将来、A社のセキュリティ規程に取り入れられる。
【セキュリティ規程の見直し】
α工場の調査によって複数の課題が見つかったことから、現行のセキュリティ規程には改善すべき点があると考えられた。M部長は、セキュリティ規程の改定の検討をCさんに指示した。
Cさんは、これまでFA端末をA-NETに接続してきた経緯を踏まえ、セキュリティ規程に次の項目を追加することを考えた。
- 各部門は、部門機器及び部門NETを適切に管理・維持するための措置を定める。
- 各部門は、部門機器又は部門NETをA-NETに接続するための申請を行う前に、当該接続についてリスクアセスメントを実施する。
- システム部は、各部門が上記の作業を行う際に、これを支援する。
CさんがF氏の追加について相談したところ、F氏は、追加する項目に合わせて、図2の7について⑥申請時に書面に記す事項を追加することを提案した。
また、Cさんは、APへの接続制限の方法、及び業務用ソフトの脆弱性管理に不備があったことを考慮し、セキュリティに関わる施策の実施状況及びその効果を定期的に見直すプロセスをセキュリティ規程に明記することを考えた。
Cさんは、セキュリティ規程の修正案を作成し、M部長に提示した。M部長は修正案を経営会議に提出し承認を得た。
【施策の実施】
課題の解決のために検討された施策が実施され、大きな効果が得られた。そこで、α工場以外の工場についても調査が開始された。