製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
パートナー
会社案内
 
- 沿革
- プレスリリース
- 採用情報
個人のお客様
中堅・中小企業のお客様
大企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → 会社案内 → プレスリリース
マカフィー、パシフィック・ノースウェスト国立研究所と共同でエネルギー分野産業用制御システムのセキュリティに関するレポートを発表
重要インフラに迫るサイバー脅威への課題やリスクを徹底調査、エネルギースマートグリッドが直面している問題も浮き彫りに
2012年7月24日

セキュリティ・テクノロジ専業のリーディングカンパニー、McAfee, Inc.(以下、マカフィー)は、米エネルギー省(DOE)の連邦請負業者であるパシフィック・ノースウェスト国立研究所(PNNL)と共同で「エネルギー分野産業用制御システムにおける、機能と適用性の技術セキュリティ評価:McAfee Application Control、Change Control、Integrity Control」と題するレポートを、本日発表しました。

本レポートは、重要インフラに迫っているサイバー脅威への課題や主要リソース、リスクや脆弱点の特定に関する徹底した調査を初めて行ったものです。産業用制御システム環境の安全確保に対する国家的なセキュリティミッションをサポートするソリューションの価値や効果について分析を行っています。また、活発で強力なAPT(Advanced Persistent Threat)と呼ばれる脅威に対して、ガバナンスや技術の視点から各制御システムの安全を効果的に確保することが、重要インフラやエネルギー業界にとって大きな課題であると言及しています。

PNNLの国家安全保障部門で調査員を務めるサイバーセキュリティ上級研究者、フィリップ・A・クレイグ・ジュニア(Philip A. Craig Jr)氏は、次のように述べています。
「重要インフラシステムが作られた初期の頃は、相互接続のネットワークにおけるセキュリティも誤用も考慮されていませんでした。現在、私たちは、制御システムのセキュリティ強化にいっそう焦点を当てています。複数のベンダーが提供するさまざまなセキュリティツールを詰め込んだだけのセキュリティ手法は時代遅れであり、ただ攻撃を遅らせるだけで、最先端のサイバー犯罪者に重要インフラ全体を攻撃する無数の機会を与えてしまいます」

PNNLとDOEが特定した、制御システム環境における脆弱点は以下の通りです。

  • 露出の増加:スマートグリッドのデバイスやシステムに接続されている通信ネットワークが各デバイスへのアクセスポイントを多数設けることで、結果として潜在的攻撃への露出が増えます。
  • 相互接続性:通信ネットワークの相互接続が増えると、想定される障害や攻撃へのシステムの露出が加速します。
  • 複雑性:接続されるサブシステムが増えるため、電気系統の複雑度が著しく高まります。
  • 一般的なコンピューターテクノロジー:スマートグリッドシステムによる、商用利用可能な共用のコンピューティングテクノロジーの使用が増えると、脆弱性が悪用されます
  • 自動化の増加:スマートグリッド技術が多数の機能を自動化すると、通信ネットワークがこれまでにない画期的な方法でデータを作成、収集、使用するようになります。こうしたデータを不適切に使用すると、国のセキュリティや経済の新たなリスクとなります。

本レポートでは、新たに発生する制御システムの脆弱点がどの程度加速化しているかも調査しています。今日のサイバー攻撃は、「Stuxnet」や「Duqu」などのウイルスのように、特定の目的のために入念に設計された、高度なデジタル兵器へと成長しています。

マカフィーのグローバルパブリックセクター担当バイスプレジデント兼最高技術責任者、フィリス・シェック(Phyllis Scheck)博士は次のように述べています。
「スマートグリッドのように、我々の日常生活に影響を与えるインフラの制御システムが増えてきているものの、高度なサイバー攻撃を阻止するためのセキュリティ対策は不十分なままです。重要インフラの安全確保には、セキュリティを計画的に実現することが絶対に必要です。サイバーセキュリティはシステム機能に不可欠な要素であり、設計プロセスの非常に早い時期にシステムやネットワークに組み込むべきです」

制御システムに加えて本レポートでは、新技術がエネルギー分野に与える影響についても考察しています。情報通信技術が進化し、電力系統の運用や計画機能に組み込まれることでスマートグリッドが構築されます。それによって、制御システムの状態や進歩の可視性が向上し、システム効率が強化されます。このスマートグリッドの動的性質には大きなメリットがあるにもかかわらず、サイバーセキュリティを考慮した設計は行われていませんでした。

本レポートでは、制御システムに対する脆弱性の回避と攻撃の軽減に向けて、以下のソリューションを挙げています。

  • 動的ホワイトリスト:不正アプリケーションを拒否し、サーバー、企業デスクトップ、固定機能デバイスを保護します。
  • メモリー保護:不正実行を拒否し、脆弱点をブロックしてレポートを作成します。
  • ファイル整合性モニタリング:ファイルの変更、追加、削除、名前変更、属性変更、ACL修正、オーナー修正を報告します。ネットワーク共有も含まれます。
  • 書き込み保護:ハードディスクへの書き込みを、オペレーティングシステム、アプリケーション構成、ログファイルに限定し、その他はすべて拒否します。
  • 読み取り保護:特定のファイル、ディレクトリ、ボリューム、スクリプトの読み取りに限り許可し、その他はすべて拒否します。

米エネルギー省の主な目的は、米国の発電、送電、流通資源や、主な石油・天然ガス資産など、重要インフラ、リソースの保護です。パシフィック・ノースウェスト国立研究所は、国の重要インフラやリソースの領域で実行されているセキュリティ・テクノロジの価値を向上させる努力を続けています。本レポートについては、下記ページをご覧ください。
http://www.mcafee.com/us/resources/reports/rp-energy-sector-industrial-control.pdf

パシフィック・ノースウェスト国立研究所について
基本科学・応用化学の進歩を通じて、米国で最も差し迫っている、エネルギー、環境、国のセキュリティに関する多数の問題に取り組んでいます。4,700人のスタッフを雇用、年間予算は約11億ドルで、1965年の発足以来、オハイオ州を拠点とするバテル記念研究所によって米国エネルギー省のために運営されています。詳しくは、下記ページをご覧ください。
http://www.pnnl.gov/news/

■マカフィーについて
マカフィーは、インテル・コーポレーション(NASDAQ:INTC)の完全子会社であり、セキュリティ・テクノロジ専業のリーディングカンパニーです。世界中で使用されているシステム、ネットワーク、モバイルデバイスの安全を実現する革新的なソリューションとサービスを提供し、ユーザーのインターネットへの安全な接続、webの閲覧およびオンライン取引の安全を確実に支えています。マカフィーは、他の追随を許さないクラウドベースのセキュリティ技術基盤Global Threat Intelligence™(グローバル スレット インテリジェンス)を活用して、革新的な製品を送り出しています。個人ユーザーをはじめ、企業、官公庁・自治体、ISPなど様々なユーザーは、コンプライアンスの確保、データの保全、破壊活動の阻止、脆弱性の把握を実現し、またセキュリティレベルを絶えず管理し、改善することができます。詳しくは、http://www.mcafee.com/jp/をご覧ください。

マカフィーでは、セキュリティに関するさまざまな研究成果や調査結果をweb上で公開しています。詳しくは下記ページをご覧ください。
http://www.mcafee.com/japan/security/publication.asp

McAfee、マカフィーは、米国法人McAfee, Inc.またはその関係会社の米国またはその他の国における登録商標または商標です。本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。
(C) 2012 McAfee, Inc. All Rights Reserved.