ICS / SCADAへの「攻撃者視点」を知ることで対策方法を理解する実践トレーニング

受講者の一人は、「どんな産業用システムにも脆弱性があり、安全なネットワークは存在しないことが、模擬攻撃をくりかえし行うことで体感できた。脆弱性を悪用する攻撃シナリオを知ることによって対策方法も自ずと理解することができる」と語った。

研修・セミナー・カンファレンスセミナー・イベント

126 views

2017.8.24 Thu 8:15 PR

15 年以上の IT インフラ事業を通じて蓄積したサーバ構築・運用の実績と、10 年以上の同社グループ企業が提供するオンラインゲームの脆弱性診断や、自社 SOC と CSIRT 運用で培ったノウハウによるセキュリティサービスに独自の強みを持つ NHN テコラス。

同社は日本企業の重大課題「セキュリティ人材不足」に対応すべく、トレーニングを通じた人材育成事業を本年から開始した。すでに Web ペネトレーション、マルウェア分析などのコースを提供している。

トレーニングコースの中で目玉となるのが、9 月 13 日～15 日に開催される、産業用制御システム（ICS）、監視制御システム（SCADA）をテーマにしたハンズオンを含む実践トレーニングだ。本記事では、8月頭に都内で開催された ICS / SCADA セキュリティトレーニング・プレセミナーの模様をレポートする。

● 制御システムへのペンテスト実績と各国政府へのトレーニングの提供

ICS / SCADA 向けのオープンなセキュリティトレーニングは、日本でこれまで例がない。今回のプログラムは、情報セキュリティコンサルティングやトレーニングをグローバルで手がける NSHC PTE.LTD. との共催である。NSHCは国際刑事警察機構（INTERPOL）をはじめとして、コロンビア国防省、イラン国防省、ルワンダ国防省、香港警察などにセキュリティトレーニングを提供し、地下鉄など実際の社会インフラへの模擬ハッキングによって脆弱性調査を行ってきた実績を持つ。

● ICS / SCADA のケーススタディ

プレセミナーでは、ICS / SCADAのケーススタディとして、実際のサイバー攻撃の事例が紹介された。たとえば社会インフラは、身代金要求型の攻撃を受けた場合、金銭を支払う判断がなされることが多いとみなされ、実際に米サンフランシスコで 2016 年、地下鉄がランサムウェアの被害に遭い、券売機内に保存されたデータが暗号化され、券売機が使えなくなる被害が起きている。

また、ウクライナの電力会社は 2015 年末、標的型攻撃によりEメールの添付ファイルを経由して社員のパソコンがマルウェアに感染、管理者権限が奪取され、停電が引き起こされる被害に遭っている。

このように、インフラ施設がサイバー攻撃の標的になると、重篤な被害が広範に及ぶ可能性が高い。しかし、理解はしているものの修正のための行動はなかなか起こしにくい。それは、インフラは稼動が最重要視され、オフィスITや定期メンテができるようなシステムと本質的に異なっているからだ。たとえ脆弱性が存在しても、パッチをあてるまで時間がかかることが多い。