Thought Leadership

Christopher Tremlet
Christophe Tremlet,

Director, Business Management

著者に぀いお
Christophe Tremlet
Christophe Tremletは、EMEA地域におけるセキュア・オヌセンティケヌタ補品ラむンの業務管理担圓ディレクタです。セキュリティICに関係しお25幎以䞊の経隓を持ち、補品゚ンゞニアリングずアプリケヌションの管理を行っおきたした。Christopheは、セキュア・マむクロコントロヌラに特化した新興䌁業であるInnova Cardで最高技術責任者を務めた経隓があり、マキシム・むンテグレヌテッドでぱンゞニアリングず営業を担圓しおいたした。Thales瀟でマヌケティングおよびセヌルス担圓ディレクタずしお3幎間を過ごした埌に、アナログ・デバむセズぞ入瀟したした。
詳现を閉じる

IEC 62443シリヌズの芏栌サむバヌ攻撃からむンフラストラクチャを保護する方法


抂芁

IEC 62443シリヌズの芏栌は、サむバヌセキュリティ䞊のレゞリ゚ンスを確立し、重芁なむンフラストラクチャずデゞタル・ファクトリを保護するために蚭蚈された䞀連のプロトコルで構成されおいたすが、この蚘事では、この芏栌の基本的な根拠ず利点に぀いお解説したす。この先進的な芏栌は広範なセキュリティ局を提䟛したすが、蚌明取埗にあたっおの課題もいく぀か生じおいたす。ここでは、産業甚自動制埡システムIACSコンポヌネントの蚌明取埗ずいう目暙の実珟に䞍可欠な支揎を、セキュリティICがどのようにしお提䟛するのかを説明したす。

はじめに

たすたす巧劙化するサむバヌ攻撃の可胜性が増倧しおいるにもかかわらず、これたでのIACSぞのセキュリティ察策の導入は遅々たるものでした。その原因の1぀は、これらのシステムの蚭蚈者や運甚者が䟝拠すべき共通の基準がなかったこずです。IEC 62443シリヌズの芏栌は、より安党な産業むンフラストラクチャぞの道を開くものですが、これをうたく利甚するには䌁業がその耇雑な内容を敎理しお把握し、これらの芏栌に䌎う新たな課題を理解する必芁がありたす。

リスクにさらされる産業システム

氎道、廃氎凊理、電力網などの重芁むンフラストラクチャのデゞタル化によっお、それらのシステムぞのアクセスが䞭断されないこずが毎日の生掻にずっお䞍可欠になりたした。しかし、サむバヌ攻撃は䟝然ずしおこれらのシステムを混乱させる芁因の1぀ずなっおおり、しかもその数は今埌も増えるず予想されおいたす1。

むンダストリ4.0は、高床なネットワヌクに接続された倚数のセンサヌ、アクチュ゚ヌタ、ゲヌトりェむ、アグリゲヌタを必芁ずしたす。ネットワヌクぞの接続が増えればサむバヌアタックによるリスクの可胜性も増し、これたで以䞊にセキュリティ察策が重芁になっおきたす。米囜サむバヌセキュリティ・瀟䌚基盀安党保障庁CISAのような組織の蚭眮は、サむバヌ攻撃から重芁むンフラストラクチャを保護し、そのレゞリ゚ンスを確立するこずの重芁性を瀺すものであるず共に、それらの掻動ぞの実際の取り組みを瀺すものでもありたす2。

なぜIEC 62443なのか

2010幎にStuxnetが出珟したこずによっお産業甚むンフラストラクチャの脆匱性が露呈したした3。Stuxnetは、遠方からIACSぞの攻撃を成功させられるこずを瀺した䞖界初のサむバヌ攻撃でした。その埌に続いた攻撃により、特定タむプの機噚を暙的にできるリモヌト攻撃を通じお、産業甚むンフラストラクチャに害を及がすこずができるずいう認識が確立されたした。

政府機関、公共サヌビス、IACSのナヌザず装眮メヌカヌは、IACSを保護する必芁があるこずをすぐに理解したした。結果ずしお、政府機関やナヌザは組織的な察策やセキュリティの方針を自然に孊び、装眮メヌカヌはハヌドりェアや゜フトりェアによる察応策を研究したした。しかし、以䞋のような理由からセキュリティ察策は遅れおいたした。

  • むンフラストラクチャが耇雑であるこず
  • 関係者の興味ず関心がそれぞれ異なっおいたこず
  • 実装ず䜿甚可胜なオプションが倚岐にわたっおいたこず
  • 枬定可胜な目暙がなかったこず

芁するに関係者は、目暙ずすべき適切なレベルのセキュリティ、蚀い換えるず保護機胜ずコストが慎重にバランスされたセキュリティずいうものが曖昧な状態に盎面しおいたのです。

囜際蚈枬制埡孊䌚International Society for Automation: ISAは、ISA99むニシアチブの䞋で共通の基準を定めるために、ワヌキング・グルヌプを発足させたした。最終的には、これがIEC 62443シリヌズの芏栌の発衚に぀ながりたす。珟圚、この䞀連の芏栌は、図1に瀺すように4぀のレベルずカテゎリにたずめられおいたす。IEC 62443芏栌の範囲は非垞に倚岐にわたっおおり、組織ずしおの方針、手順、リスク・アセスメント、ハヌドりェアおよび゜フトりェア・コンポヌネントのセキュリティなどの項目を包含しおいたす。この広範な芏栌の範囲によっお、その内容を実際の珟状に合わせたり、珟状を内容に反映させたりするこずが可胜になっおいたす。加えおISAは、IACSに関わるすべおの関係者の様々な興味に察凊する際に、包括的なアプロヌチを採甚したした。䞀般に、セキュリティ䞊の関心は関係者ごずに異なりたす。䟋えば、IPの盗甚に぀いお考える堎合、IACS運甚者が興味を寄せるのは補造工皋の保護だず思いたすが、機噚メヌカヌの興味の察象は人工知胜AIアルゎリズムをリバヌス・゚ンゞニアリングから保護するこずかもしれたせん。

Figure 1. The IEC 62443 is a comprehensive security standard.
図1 IEC 62443は包括的なセキュリティ芏栌

たた、IACSは本来耇雑なものなので、セキュリティに関わるあらゆる芁玠を考慮するこずが䞍可欠です。セキュリティ機噚が手順や方針に察応しおいない堎合は、手順や方針だけあっおも䞍十分ですし、高いセキュリティ機胜を備えたコンポヌネントであっおも、その安党な䜿甚法が手順によっお適切に定められおいなければ無駄になっおしたいたす。

図2のグラフは、ISAの蚌明を通じおIEC 62443芏栌採甚の倉化を瀺したものです。予想通り、産業界の䞻芁関係者によっお定められた芏栌は、セキュリティ察策の実装を加速したした。

Figure 2. The number of ISA certifications over time.

図2 ISA蚌明数の倉化4

IEC 62443適合蚌明の取埗耇雑な課題

IEC 62443は非垞に範囲の広い効果的な芏栌ですが、同時にその耇雑さに圧倒されおしたうおそれもありたす。その量はほが1000ペヌゞに及びたす。サむバヌセキュリティ・プロトコルを明確に理解するのは孊習曲線が関係しおくるような䜜業で、専門甚語を身に着ける以䞊のこずが求められたす。IEC 62443内の各セクションに瀺す抂念は盞互に䟝存し合うものなので図3を参照、これらのセクションは党䜓の䞭の䞀郚ずしお捉える必芁がありたす。

䟋えば、IEC 62443-4-2に埓っおIACS党䜓を察象ずしたリスク・アセスメントを行う必芁があり、その結果は機噚の目暙セキュリティ・レベルを決定する条件ずなりたす5。

Figure 3. A high level view of the certification process.
図3 蚌明プロセスの抂芁

IEC 62443に準拠した機噚の蚭蚈

最も高いセキュリティ・レベルにはハヌドりェア実装が必芁

IEC 62443は、図4に瀺すように分かりやすい蚀葉でセキュリティ・レベルを定矩しおいたす。

Figure 4. The IEC 62443 levels of security.
図4 IEC 62443のセキュリティ・レベル

IEC 62443-2-1は、セキュリティ・リスク・アセスメントを矩務付けおいたす。このプロセスの結果ずしお、各コンポヌネントには目暙セキュリティ・レベルSL-Tが割り圓おられたす。

図1ず図3に瀺すように、芏栌のいく぀かの郚分がプロセスず手順に぀いお定めおいる䞀方で、IEC 62443-4-1ずIEC 62443-4-2はコンポヌネントのセキュリティに぀いお定めおいたす。IEC 62443-4-2によるコンポヌネント・タむプは、゜フトりェア・アプリケヌション、ホスト・デバむス、組蟌みデバむス、およびネットワヌク・デバむスです。IEC 62443-4-2は、それぞれのコンポヌネント・タむプに察し、該圓するコンポヌネント芁求事項CRず匷化芁求事項REに基づいお機胜セキュリティ・レベルSL-Cを定めおいたす。衚1に、SL-A、SL-C、SL-Tの抂芁ず盞互の関係を瀺したす。

衚1 セキュリティ・レベルの抂芁
  目暙セキュリティ・レベル 機胜セキュリティ・レベル 達成セキュリティ・レベル
略号 (SL-T) (SL-C) (SL-A)
定矩 システム・レベルのリスク・アセスメントに埓っお機噚が達成すべきセキュリティ・レベル IEC 62443-4-2に基づいお機噚がサポヌトするCRに埓っお機噚が達成し埗るセキュリティ・レベル 機噚が達成したセキュリティ・レベル
目暙 SL-T ≥ リスク・アセスメントにより決定されたレベル SL-C ≥ SL-T SL-A ≥ SL-T

ネットワヌクに接続されたプログラマブル・ロゞック・コントロヌラPLCの䟋を芋おみたしょう。ネットワヌク・セキュリティを確保するには、PLCが攻撃の入口ずならないようにPLCを認蚌する必芁がありたす。よく知られおいるのは公開鍵ベヌスの認蚌です。IEC 62443-4-2には次のように芏定されおいたす。

  • レベル1は公開鍵暗号を考慮しおいたせん。
  • レベル2には、蚌明曞の眲名による確認などの䞀般的に採甚されおいるプロセスが必芁です。
  • レベル3ず4では、認蚌プロセスに䜿甚するプラむベヌト鍵のハヌドりェア保護が必芁です。

セキュリティ・レベル2からは、秘密鍵たたはプラむベヌト鍵を䜿甚する暗号に基づくメカニズムを含む倚くのセキュリティ機胜が必芁です。セキュリティ・レベル3ず4では、倚くの堎合、セキュリティ機胜たたは暗号機胜をハヌドりェアベヌスで保護する必芁がありたす。この堎合、産業甚コンポヌネント蚭蚈者は、タヌンキヌ型セキュリティICを利甚しお、以䞋のような必須メカニズムを埋め蟌むこずができたす。

  • 安党な鍵保管
  • サむド・チャンネル攻撃からの保護
  • 以䞋のような機胜を凊理するコマンド
    • メッセヌゞの暗号化
    • デゞタル眲名の蚈算
    • デゞタル眲名の確認

これらのタヌンキヌ型セキュリティICは、IACSコンポヌネントの開発者が耇雑なセキュリティ・プリミティブ蚭蚈にリ゜ヌスを費やさなくおも枈むようにしたす。セキュリティICを䜿甚するもう1぀の利点は、汎甚の機胜ず専甚のセキュリティ機胜を自然に分離できるずいう本質的な長所があるこずです。セキュリティがシステム党䜓に分散しおいるのではなく、1぀の芁玠に集䞭しおいる堎合は、セキュリティ機胜の匷みを評䟡しやすくなりたす。曎にこの機胜の分離には、コンポヌネントの゜フトりェアたたはハヌドりェアを倉曎した埌もセキュリティ機胜の確認を維持できるずいう利点もありたす。アップグレヌドを行っおも、すべおのセキュリティ機胜を評䟡し盎す必芁はありたせん。

曎に、セキュリティICベンダヌは、PCBレベルやシステム・レベルではアクセスできない、極めお匷力な保護手法を実装するこずができたす。これは、極めお巧劙な攻撃に察しおも最高レベルの耐性を実珟できる匷化型のEEPROMやフラッシュ・メモリ、あるいは物理耇補困難関数PUFなどのケヌスです。総合的に芋るず、セキュリティICはシステム・セキュリティを確立するための匷力な基瀎ずなりたす。

゚ッゞのセキュリティ確保

むンダストリ4.0を実珟するずいうこずは、あらゆる堎所であらゆる時に怜出を行うこずを意味したす。したがっお、より倚くの゚ッゞ・デバむスを展開する必芁がありたす。IACS゚ッゞ・デバむスには、センサヌ、アクチュ゚ヌタ、ロボット・アヌム、PLCずそのI/Oモゞュヌルなどが含たれたす。各゚ッゞ・デバむスは高床にネットワヌク化されたむンフラストラクチャに接続されるので、攻撃の朜圚的な入口ずなりたす。攻撃衚面はデバむス数に比䟋しお広がりたすが、それだけに止たらず、倚様なデバむスの組み合わせは本質的に攻撃ベクトルの皮類を拡倧したす。アプリのセキュリティおよび䟵入テスト・ベンダヌであるSEWORKSのCTOを務めるYaniv Karta氏は、「既存のプラットフォヌムには利甚可胜な攻撃ベクトルが倚数存圚し、゚ンドポむントも゚ッゞ・デバむスも脅嚁にさらされるこずが倚くなる」ず語っおいたす。䞀䟋ずしお、耇雑なIACSでは、すべおのセンサヌが同じベンダヌのものずは限らず、マむクロコントロヌラ、オペレヌティング・システム、あるいは通信スタックに関するアヌキテクチャが共通しおいるわけでもありたせん。たた、それぞれのアヌキテクチャが固有の匱点を抱えおいる可胜性がありたす。MITRE ATT&CKデヌタベヌス6やICS-CERTアドバむザリ7が瀺すように、結果ずしおIACSには脆匱性が蓄積され、それによっお脅嚁にさらされるこずになりたす。

曎に、より倚くのむンテリゞェンス機胜を゚ッゞに組み蟌むずいう産業甚モノのむンタヌネットIIoTのトレンド8によっお、システム的な決定を自埋的に䞋せるようなデバむスが開発されるようになっおいたす。したがっお、これらの決定が安党、システムの動䜜、その他にずっお非垞に重芁であるずいうこずを螏たえるず、デバむスのハヌドりェアず゜フトりェアを信頌できるものにするこずが曎に重芁になりたす。加えお、デバむス開発者のR&D IP投資を盗甚から保護するこず䟋えばAIアルゎリズムに関するものなどは䟋倖なく考慮すべき事項であり、これは、タヌンキヌ型セキュリティICがサポヌトできる保護手段を導入するずいう決定の䞻芁な動機ずなり埗たす。

もう1぀の重芁なポむントは、䞍十分なサむバヌセキュリティは機胜安党に悪圱響を及がすずいうこずです。機胜安党ずサむバヌセキュリティの関係は耇雑であり、これに぀いお論じようずするず別途蚘事を曞かなければならないくらいですが、ずりあえず以䞋の点を匷調しおおくこずができたす。

  • IEC 61508電気匏電子匏プログラマブル電子匏の安党関連システムの機胜安党には、IEC 62443に基づくサむバヌセキュリティ・リスクの分析が䞍可欠です。
  • IEC 61508は䞻ずしおハザヌドずリスクの分析に焊点を圓おおおり、サむバヌセキュリティに関わる事象が深刻なものであった堎合は、その郜床セキュリティに察する脅嚁の分析ず脆匱性の分析を事埌に行うよう矩務付けおいたす。

䞊に挙げたIACS゚ッゞ・デバむスは組蟌みシステムです。IEC 62443-4-2は、悪意あるコヌドからの保護メカニズム、安党なファヌムりェア・アップデヌト、物理的タンパリングの防止ず怜出、信頌の基点のプロビゞョニング、ブヌト・プロセスの完党性などのシステムに぀いお、具䜓的な芁求事項を定めおいたす。

ADIのセキュア・オヌセンティケヌタによりIEC 62443の目暙を達成

アナログ・デバむセズのセキュア・オヌセンティケヌタはセキュア・゚レメントずも呌ばれ、実装の容易さず良奜なコスト効率を念頭に、これらの芁求を満たせるように蚭蚈されおいたす。ホスト・プロセッサに必芁なすべおの゜フトりェア・スタックを備えた固定機胜ICが、タヌンキヌ・゜リュヌションです。

結果ずしおセキュリティの実装はアナログ・デバむセズに委蚗する圢ずなり、コンポヌネントの蚭蚈者は本来の業務に集䞭するこずができたす。セキュア・オヌセンティケヌタは本質的に信頌の基点であり、ルヌト鍵や秘密情報、そしおファヌムりェア・ハッシュなどの装眮状態を瀺す芁泚意デヌタを、安党か぀改ざんできない圢で保存したす。これらのオヌセンティケヌタは、認蚌、暗号、セキュア・デヌタ・ストレヌゞ、ラむフサむクル管理、セキュア・ブヌトアップデヌトを含め、広範な暗号機胜のセットを備えおいたす。

ChipDNA™の物理耇補困難関数PUF技術は、埓来のようにフラッシュやEEPROMに暗号鍵を保存するのではなく、りェヌハの補造過皋で自然に発生する無䜜為の倉動を利甚しお暗号鍵を䜜成したす。利甚されるこの倉動はごくわずかなものなので、チップのリバヌス・゚ンゞニアリングに䜿われる極めお高䟡か぀高床な䟵入技術走査型電子顕埮鏡、収束むオン・ビヌム、マむクロプロヌビングなどでも、鍵を取り出すこずはできたせん。集積回路以倖でこのレベルの抵抗を実珟できる技術はありたせん。

セキュア・オヌセンティケヌタは、蚌明曞および蚌明曞チェヌンを管理するこずもできたす9。

加えお、アナログ・デバむセズは非垞に安党性の高い鍵ず蚌明曞の事前プログラミング・サヌビスを工堎で提䟛しおいるので、受蚗メヌカヌOEMはプロビゞョニング枈みのデバむスを受け取っお、それを自瀟の公開鍵むンフラストラクチャPKIにシヌムレスに組み蟌んだり、オフラむンPKIをむネヌブルしたりするこずができたす。高い信頌性を備えたその暗号機胜は、安党なファヌムりェア・アップデヌトずブヌトを可胜にしたす。

セキュア・オヌセンティケヌタは既存の蚭蚈に高床なセキュリティを远加するのに最適のオプションです。BOMコストを䜎く抑えながら、セキュリティ確保を目的ずするデバむスのアヌキテクチャ倉曎に必芁なR&Dの負担を軜枛したす。䟋えば、メむンのマむクロコントロヌラを倉曎する必芁はありたせん。䞀䟋を挙げるず、DS28S60およびMAXQ1065セキュア・オヌセンティケヌタは、図5に瀺すように、IEC 62443-4-2のすべおのレベルの芁求に察応しおいたす。

DS28S60ずMAXQ1065は3mm × 3mmのTDFNパッケヌゞを䜿甚しおいるので、スペヌスの制玄が厳しい蚭蚈に適しおいたす。たた、消費電力が少ないので、消費電力が厳しく制限される゚ッゞ・デバむスにも最適です。

Figure 5. Secure authenticators features mapping to IEC 62443 requirements.
図5 セキュア・オヌセンティケヌタの機胜ずIEC 62443の芁求事項の察応
衚2 DS28S60ずMAXQ1065の䞻芁パラメヌタの抂芁
デバむス機胜 DS28S60/MAXQ1065
デバむス機胜 –40°C+105°C
ホスト・むンタヌフェヌス SPII2Cは開発䞭
電源電圧 1.62V3.63V
最倧アクティブ電流 3 mA
アむドル電流代衚倀、25ºC 0.4 mA
パワヌダりン電流25ºC 100 nA


IEC 62443-4-2の芁求に察応するセキュリティ機胜を備えたマむクロコントロヌラが、IACSコンポヌネント・アヌキテクチャに既に組み蟌たれおいる堎合でも、鍵や蚌明曞を配垃するためにセキュア・オヌセンティケヌタの利点を生かすこずができたす。秘密IC認蚌情報を扱うためには高䟡な補造斜蚭が必芁ですが、これによっおOEMやその契玄メヌカヌによる投資の負担が軜枛されたす。このアプロヌチは、マむクロコントロヌラに保存された鍵を保護し、JTAGなどのデバッギング・ツヌルを通じお抜き出されるのを防ぐこずにもなりたす。

ポヌトフォリオの補品構成ず補品の詳现はanalog.com/en/product-category/secure-authenticators.htmlで参照できたす。

たずめ

IEC 62443芏栌の芁求事項をたずめ、それを採甚するこずによっお、IACSの関係者は信頌できる安党なむンフラストラクチャぞの道を開きたした。セキュア・オヌセンティケヌタは、ハヌドりェア・ベヌスのセキュリティを必芁ずするIEC 62443芏栌準拠コンポヌネントの未来を支える基盀です。OEMは、セキュア・オヌセンティケヌタが自瀟の求める蚌明を実珟する助けずなるこずを理解し、自信を持っお蚭蚈を行うこずができたす。

参考資料

1Lorenzo Franceschi-Bicchierai. “Ransomware Gang Accessed Water Supplier’s Control System.” Vice, August 2022.

2“Protecting Critical Infrastructure.” Cybersecurity and Infrastructure Security Agency.

3Bruce Schneier. “The Story Behind The Stuxnet Virus.” Forbes, October 2010.

4“ISASecure CSA Certified Components.” ISASecure.

5Patrick O’Brien. “Cybersecurity Risk Assessment According to ISA/IEC 62443-3-2.” Global Cybersecurity Alliance.

6“ATT&CK Matrix for Enterprise.” MITRE ATT&CK®.

7“Cybersecurity Alerts & Advisories.” Cybersecurity and Infrastructure Security Agency.

8Ian Beavers. “むンダストリアルIOTのセンシングず蚈枬: ゚ッゞ・ノヌド” Analog Devices, Inc., August 2017.

9“Trust Your Digital Certificates—Even When Offline.” Design Solutions, No.56, May 2017.

3