守るだけでは腑に落ちなかった - 制御システム技術者のサイバー修行録（第８回）

攻撃を知り、守りが「自分ごと」になった。

攻撃と検知の実践を通じて、最終的に行き着いたのは自分ごととして判断するリスクアセスメントだった。セキュリティを「自分ごと」にするための判断と記録の考え方を整理する。

第8回：OT IDS - 検知技術の普及とリスクアセスメントへの回帰（2023-2024）

【連載記事】 この記事は全9回の連載です。📚 連載まとめ・目次はこちら

本回の結論

本稿で伝えたい結論はシンプルである。

セキュリティ対策の本質は、自分ごととして判断するリスクアセスメントにある。

攻撃手法を知り、検知し、分析するという一連の実践を通じて、最終的に重要になるのは「何を守るのか」「どこまで守るのか」を自ら判断することと考えるに至った。

以下では、その考えに至るまでの実践を順に記載する。

SEECAT出動（2023秋）

SEECATへ出展し、水ポコを題材に通信改ざん・BadUSBでのC2接続によるハッキングデモを実施。多くの来場者に興味を持っていただいた。やはりサイバー攻撃デモは、まだまだ見たことがない方も多く、面白いと思う人が多いことを再認識した。

この通信改ざん、BadUSBでのC2接続によるハッキングのデモは、水ポコおよび仮想の工場模擬制御システムを使い、何度か各所の皆様へデモ講演することになる。現在は、サイバーディフェンス研究所のYoutubeの動画で公開している。

RedTeamペネトレーションテスト参画（2023秋）

OSINTから物理侵入から基本なんでもありというペネトレーションテストに参画した。このとき田中は、初期侵入のペネトレーションテスト用グッズであるHAK5製品を買い漁って検証を行った。HAK5の製品は以前よりいくつか試してはいたが、たった数年でBadUSBの攻撃手法が大きく進化していることを体感できた。

制御システムセキュリティカンファレンス2024（2024年2月）

数年ぶりにカンファレンス講演するにあたり、ここまで何度か検証をつづけてきたOT IDSをテーマに講演することとした。具体的には、ネットワーク通信監視・解析のOSSツールのArkimeをOT IDSとして使用する方法の紹介である。OT環境にパッチやAV(Anti Virus)、EDR(Endpoint Detection and Response)などのセキュリティ対策製品は可用性重視のため適用しにくいと言われている中、「止められないのであれば、せめて見えるようにするしかない」という趣旨で、低コストで実運用できる内容であり、これをきっかけに通信監視がOT業界に広まればよいなと思ってのことである。仮想の工場制御システムに対し実際にサイバー攻撃を行い、どのように検知できるかを示す内容であった。3年前の同カンファレンスで行った簡易的な環境をつかったサイバー攻撃デモに引き続き好反応を得られた。

やはり実践的に手を動かす内容は皆関心が高いのだという思いが確信に変わってきた。何年もペネトレーションテストのようにサイバー攻撃の手法に日頃から関わっている環境にいると、基本的な攻撃手法を当たり前のことのように感じてきてしまっていた。しかし、制御システム関係者を含む一般社会の方々の目線で考えれば、一連のサイバー攻撃の流れを実際に見た事が無い人の方が圧倒的に多く、これらを実際に見て体感することで得られることは多いのだと思う。

OT IDS関係ブログ（2024年春）

カンファレンスの後、OT IDSの無償と有償ツール比較ブログを公開した。両者のメリット・デメリットがあるという結果であったので興味ある方はブログを見ていただきたい。

オリパラブログ（2024年春）

2024年5月に東京五輪の制御システムに対するペネトレーションテストから得られた知見を公開しますを公開した。東京オリンピック・パラリンピック開催から既に３年経過していたが多くの方に読んでいただいた。ターゲットに関する情報は汎用化する配慮をした上で公開したものである。

インシデントや実際の弱点に関する情報というのは世の中に出てきにくいため、実際に試したことの知見というのは世間の一定数から必要とされているのだと感じることができた。

サイバー攻撃を調査（2024春）

ある業界に対するサイバー攻撃について公開文献から調査を行った。この際、生成AIを活用することで文献探索や要約、報告内容の整理を効率的に進めることができた。当然ながら誤情報も含まれるためファクトチェックは不可欠だが、適切に使えば作業効率と品質を大きく向上させるツールであると実感した。

MITRE ATT&CK MATRIXの活用

当時、サイバー攻撃シナリオを自然言語で考えたものをMITRE ATT&CK MATRIXに当てはめて解説するということを行なったが、生成AIは、間違いの方が多いにせよ大体それらしきATT&CKのtechniqueを示してくれたのは面白かった。

2026年4月時点では、ほぼ正確にMITRE ATT&CK techniqueへのマッピングを行える状況になっており進化の早さを感じている。

コラム：MITRE ATT&CK MATRIX

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）マトリックスは、サイバー攻撃者の行動を体系化したフレームワークです。攻撃の各段階（戦術）と具体的な方法（テクニック）をマトリックス形式で表現し、包括的な脅威モデルを提供しています。このフレームワークは、サイバー攻撃に関する共通言語および知識ベースとして機能し、リスク評価、セキュリティ対策の強化、インシデント対応、脅威ハンティングなど、様々な用途に活用されています。継続的に更新され、最新の脅威に対応しており、サイバーセキュリティコミュニティで広く採用されています。

この程度、自然言語をMITRE ATT&CKに翻訳してくれるのであれば、サイバーセキュリティに関わる一般の人が、MITRE ATT&CKを普通に利用できるようになる日もすぐそこにきていると思えた。

田中が、MITRE ATT&CK MATRIXの最も気に入っている点を挙げると、それは、知識ベースであるため、MITRE ATT&CK MATRIXを使って会話や資料のやり取りをすると、共通理解が得られやすいという点である。とかく、サイバーセキュリティの分野においては専門用語が飛び交いがちであるため、専門家から一般の方への情報伝達が成立し難い場面を見かけたものである。例えば、攻撃の初期侵入についてExternal Remote Service（外部リモートサービス）で侵入と書かれていれば、その用語を知らない人でもMITRE ATT&CK MATRIXを見れば、External Remote Serviceについて手順や実際に利用された事例を詳しく記載されているため意味を理解することが可能である。

OTレンジ構想（2024年夏）

OTサイバーレンジというタイトルをつけ、ICSセキュリティの世界でよく言及されるPurdueモデルのようなネットワークセグメントが分けられたシステム構成にて、攻撃側・やられ側・検知側の環境を組み込んだ検証環境を構築開始した。

コラム：Purdueモデル

Purdueモデルは、工場などの製造業で使われるシステムを整理するためのフレームワークです。このモデルは、工場の機械（レベル0）から、それを制御するPLCなどが属するネットワーク階層（レベル1）、SCADAと呼ばれるような監視制御を行うシステムのネットワーク階層（レベル2）、製造の効率を向上させるシステムのネットワーク階層（レベル3）、そして企業全体の計画や管理を行うシステムのネットワーク階層（レベル4）まで、異なるレベルに分けて考えるモデル。制御システムセキュリティのネットワーク分割を考える場合によく使われます。

このコンセプトは大きくは２つある。１つ目は、安価な検証環境を用意すること。２つ目は、検証環境の構築手法も含めてノウハウ提供すること。

田中は、制御システムへのサイバー攻撃を理解する上で、防御だけでなく攻撃手法まで知ることで理解が深まると考えてサイバーディフェンス研究所に参加した。その時以来、実際にサイバー攻撃を行い、検知、防御する検証環境があれば、繰り返し多くの人が学ぶことができるのにと考えていた。しかし、現実には、制御システムの環境を保持しているのは、一部の例外を除けば、大きな組織が高額で精巧な制御システムを用意しているのが現状であり、利用しているのも、デモ鑑賞程度の概要理解のレベルを超えて詳細まで学習するとなると、重要インフラ業界などのセキュリティ意識の高い組織の方に限られている状況に思える。

また、検証環境が用意されており、攻撃手法と、防御手法を学ぶことができたとしても、サイバー攻撃手法は日々進化しており脆弱性も日々発見されるものであるため、検証環境を構築するノウハウがなければ、環境が陳腐化し宝の持ち腐れになりかねないことの懸念もある。常に最新状況にアップデートしていくには、環境をカスタマイズしていける仕組みの必要性も感じる。そのためには、検証環境を購入する組織に、環境構築のノウハウが公開されていなければアップデートしつづけることはできない。

これらの課題をクリアするために、攻撃側、やられ側は、これまで溜めてきた資産を整理して構築し、検知側は、無償入手できるSecurityOnion、Malcolmにて構築した。これらの検証環境を用いて、世の中で自組織の人員の能力向上を図りたいと考えている人々のニーズにマッチするかが今後の課題である。

リスクアセスメント、リスク分析の整理（2024年夏）

サイバーディフェンス研究所に入社した2019年の9月に、規格ドキュメント学習を行い、そのときに検討した内容を「2019年頃に田中が制御システムセキュリティ対策を任された現場担当者向けに　何か伝えられないかと構想していたときのメモ」として残していた。5年後の2024年夏、リスクアセスメントの進め方について、どのように考えているかを少し記載する。

セキュリティ担当となったとき、最初に向き合うことになるのがリスクアセスメントである。

IPAのガイドを活用する

まずは、とにもかくにも IPAの「制御システムのセキュリティリスク分析ガイド　オンラインセミナー」を受講することをお勧めする。オンライン開催に至っては無料で定期的に開催されている。

このセミナーは、IPAの「制御システムのセキュリティリスク分析ガイド　第２版」、「制御システム関連のサイバーインシデント事例」シリーズを解説する内容である。

コラム：リスクアセスメント、リスク分析で使われる用語定義

リスクアセスメントを始めようとすると、多くの方が、「リスクアセスメント」「リスク分析」、「脅威」「脅威源」など、微妙に異なる多くの用語が存在し、かつ、その用語について、世間の人たちが、ばらばらの意味で使用されていることに戸惑うと思います。ここで、一般の方でもわかるように簡潔に定義を書こうとすると、さまざまな見解を持つ方からのツッコミが入ると思うので詳細の記載はしません。ここでお伝えしたいことは、自分が利用しようと思うガイドに記載の用語定義をしっかり理解するということです。ちなみに、IPAのガイドでは、リスクアセスメントは、リスク特定、リスク分析、リスク評価の３つの要素になっており、IPAのガイドはリスク分析というタイトルになっています。が、リスク分析の枠にとどまらない豊富な内容が収められています。

田中は、ISO、NISTなどが発行している各種リスクアセスメントのガイドラインを読み、かつ、IPAの「制御システムのセキュリティリスク分析ガイド　第２版」を読んできた中で、現時点で日本でリスクアセスメントを行うにあたっては本書が最も実用的であると思う。IPA自身、概要編のYoutube動画の中で、以下の通りQ&Aをしている。

疑問：世の中にはたくさんのガイドラインがあるのに、またガイドなの？
回答：これはガイドラインではなく、ガイドブック（手法の解説書）です。
説明：いくつもの規格などで要求される、リスク分析の「進め方」について解説したガイドブックです。

IPAのホームページには、本書発行の背景が以下に記載されているが、ここに全てが言い尽くされていると感じる。

【課題A】リスク分析の具体的な手法や手順が分からない
【課題B】リスク分析には膨大な工数を要する（と言われている）ので回避したい
この点を解決したい、というのが、本ガイド策定の背景となっています。

とかく、ガイドラインというものは、抽象的に記載されているものが多く、その分野を勉強してきた専門家が読めば、非常によいことが書かれていると感じるが、一般の方が読んだからといって、すぐ行動に移せるというものでは無いと思う。この状況を解決しようという意思が随所に感じられる内容と感じる。

実践的なアプローチ

上記を学ぶことが第一歩とは思うが、それだけで納得いくリスクアセスメントができるという訳ではないと思う。

田中は、20年以上、重要インフラの制御システムの開発、設計者の立場で守る観点で、その後5年、攻撃側の観点で制御システムセキュリティに取り組んできた。そのバックボーンを元に思うことは、「やはり机上学習だけではなく、攻撃者の手法を一定程度理解しなければ、実施するリスク分析に対し納得感を得るのは難しい。」ということである。リスクアセスメントについて語り出すと止まらなくなるのでヒントだけを記載すると、現実的かつ効果的なリスク分析を行いたいのであれば、以下のアプローチが良いのではないかと思っている。

ガイドに従ったとしても、分析者の主観による判断が随所に含まれざるを得ないため、兎にも角にも、判定した根拠は記録に残す方針とする。
サイバー攻撃手法に関する一定の知識があるという前提の上、「制御システムのセキュリティリスク分析ガイド　第２版」の中の「事業被害ベースのリスク分析」を行い、何があっても守りたい資産（物or情報）については、「資産ベースのリスク分析」を行う。

リスクアセスメントの本質として、「システムを保持・運用する事業者　本人　でなければできない判断を下す事。」、「判断根拠を記録に残す事。」が大切だと考える。

サイバーセキュリティ対策は、　自分ごと　にした時、初めて本当のスタートだと思う。