サイバーセキュリティセンター
PG-SIRTグループ CISSP
田中 優氏

サイバーセキュリティセンター
PG-SIRTグループ
インシデントレスポンスチームリーダー小菅 高志氏

産業用システムに対する脅威が増加
東京オリンピックを控えセキュリティ対策の強化が急務に

東京電力パワーグリッドは東京電力グループの送配電事業会社として、日本の産業・経済の中心である首都圏エリアで、送配電ネットワークを通じ電力の供給などを行っている。その供給量は日本全体の約3分の1に相当し、高度な技術力と信頼性の高さは世界トップクラスともいわれている。また、2020年度までに同グループのエリア全てに2700万台のスマートメーターを導入する計画を推進している。

電力という極めて重要な社会インフラを担う同社にとって、テロやサイバー攻撃を防ぐためのセキュリティ対策は最優先事項の一つとなっている。そのため従来から、物理的／技術的／人的とさまざまな対策をとることで多層防御の仕組みを整備してきた。しかしここにきて、環境の変化に伴い、新たな対策の検討を迫られることになったのである。

2015年ごろから諸外国において社会インフラを狙ったサイバー攻撃が増加しており、その手法も巧妙化しつつあった。同社もこうした動きをキャッチアップしながら適切な対策を進めてきたが、産業用システムのセキュリティをどうするかという問題が浮上してきたのである。この点についてサイバーセキュリティセンターPG-SIRTグループ CISSPの田中優氏は「産業用システムは攻撃のリスクが低いと考えていましたが、昨今の攻撃事例を踏まえ、新たな対策を検討する必要が出てきました」と説明する。

同社は社会インフラを担う事業者として、国や監督官庁による規制のもと必要な対策をとるよう求められており、さらには2020年に東京オリンピックが控えているという事情もある。サイバーセキュリティセンター PG-SIRTグループのインシデントレスポンスチームリーダー小菅高志氏も「首都圏へ安定した電力供給を続けるためにも、セキュリティ対策の強化は急務であると考えました」と強調する。

独自プロトコルを採用した産業用システムへの対応など
求める要件を満たしたeyeInspect（旧SilentDefense）

東京電力パワーグリッドは2015年、同社の産業用システムを監視することができるIDS（不正侵入検知）製品について調査を実施。システムの保護に向けて広く情報収集を進める中、注目した製品がオランダForeScout社の「eyeInspect」だった。
「eyeInspectの機能は魅力的で、大いに興味をそそられたのですが、当時は国内でどこの会社も取り扱っていませんでした。しかし、2016年になってマクニカが取り扱いを始めたと知り、あらためて導入を検討することにしたのです」（田中氏）

導入にあたり、同社が製品に求めた要件は以下の通りだ。まず、近年になって未知の攻撃が急増していることを考慮し、検知手法はこれに対応できるホワイトリスト方式であることとした。また、同社の産業用システムが独自のプロトコルを採用していることから、これに対応できることも必須とした。さらに、既存のシステムへ影響を与えずに導入できることや、日本国内で高い品質のサポートが受けられることも挙げている。

これらの要件を全て満たしたのがeyeInspectだった。eyeInspectは、産業用システムネットワークに流れる通信をIPアドレスのみならずレイヤ7（アプリケーション層）まで可視化するDPI（ Deep Packet Inspection）製品であり、どういった通信が産業用システム内を流れているかを完全に監視することができる。また、この可視化能力に基づいたホワイトリスト方式の検知を行うことで、産業用システムに関するサイバー攻撃を検知することも可能だ。

加えてeyeInspect にはSD Scriptと呼ばれる機能があり、スクリプト言語Luaのエンジンが組み込まれており、Luaスクリプトで記述することによって独自プロトコルを採用した産業用システムへ対応したり、パケットのヘッダ情報だけでなくペイロードで受け渡される産業用システムのステータスや値の想定外の変化を捉えたりすることができる。また、導入の際にシステムなどを大幅に変更する必要がなく、負担も少なくて済む。海外製品ではあるが、マクニカによる手厚いサポートも期待できる。「そこで、eyeInspectの導入に向けて本格的に動くことになったのです」（小菅氏）

異常な通信を即座に検知
最短時間で適切な対応が可能に

2017年5月、東京電力パワーグリッドはマクニカからテスト機を借り受け、eyeInspectの検証を実施。既存のシステムおよびネットワークに影響が出ないか、パケットの把握はどうかといった点をチェックした。
「この際、マクニカには技術的支援などさまざまな面からサポートいただきました。おかげで、1週間ほどでeyeInspectが当社の求めるすべての要件を満たしていることを確認できました」（田中氏）

同社は8月にeyeInspectの採用を正式に決定、構築に着手した。システムの構成は、モニタリング対象となる多数の拠点から収集したパケットをeyeInspectの監視センサーに集約、それをeyeInspectのコマンドセンターに送付し監視する。
「今回、eyeInspectの導入に際して最も期待していることは、私たちが認識していない内部／外部の動きをいち早く知ることです。パケットの流れを把握することにより、どのような事象が起きているか追跡できることを重視しました」（田中氏）

eyeInspectはホワイトリスト機能によって異常な通信は即座に通知できる。また、各機器に対する詳細な解析が可能で、画面表示もわかりやすく、システムの状況をしっかりと可視化できる。小菅氏も「これまで見えなかったものが見えるようになれば、仮にインシデントが発生したとしても最短時間で適切な対応がとれるようになったと思います」と評価している。

2018年4月に運用開始
マクニカには活用面での支援を期待

東京電力パワーグリッドは2017年度にハードウェアの展開を完了させ、2018年4月よりeyeInspectを運用開始した。これを支援すべく、マクニカではeyeInspectの最新の仕様や機能を随時キャッチアップし、その内容を日本語かつ日本品質で提供。併せて現場のニーズを開発元へフィードバックしていく方針だ。田中氏は「マクニカには、これから当社がeyeInspectを使いこなしていく上で、ローカライズやトレーニングなど活用面での支援を期待しています」と語ってくれた。