PR

 三菱重工とNTTグループは2018年5月、発電所や化学プラント、新交通システムといった社会インフラへのサイバー攻撃を防ぐシステム製品「InteRSePT(インターセプト)」の発売を開始した。社会インフラで使う制御系システムはこれまで設備が古いなどの理由でサイバーセキュリティ対策が手薄だったが、2020年の東京オリンピック・パラリンピックに向けて攻撃が増えるとみて、各社の知見を持ち寄った対策製品の提供に踏み切った。日本を代表する大手2社のタッグは守りの切り札になるか。

InteRSePTの概念図
InteRSePTの概念図
(出所:三菱重工業、NTT、NTTデータ、NTTコミュニケーションズ)
[画像のクリックで拡大表示]

 InteRSePTの特徴は3つ。1つ目は工場などにある個々の装置の挙動と、それらを含む制御系システム全体の挙動の両方を監視する点だ。前者はNTTグループが持つ情報セキュリティの知見を生かし、工場などインフラの処理性能に影響を与えないよう、コマンドの検査やその後の解析を高速処理する仕組みとした。後者は三菱重工が自社工場に設置している装置類への監視などで培った異常検知の知見を生かし、個々の装置の監視だけでは発見できない異常について全体を俯瞰して検知する。

 2つ目は通常と異なる動作を異常と検知する、いわゆる「ふるまい検知」のアルゴリズムで複数の角度から、装置を誤作動させる不正な命令(不正コマンド)を見つけ出す点だ。このアルゴリズムは3種類に大別できる。具体的には、(1)制御対象の装置が現在動作している状態と、コマンドにより設定しようとしている状態を比較して、急激に極端な状態変更を起こそうとしていないかを調べる「連続性検査」、(2)コマンドの発生頻度が通常時と乖離していないかを調べる「頻度検査」、(3)「後工程の装置の処理性能が100なのに前工程の装置の出力を120に上げようとしている」といった、系統内の複数の装置間でコマンドに矛盾がないかを調べる「StateMachine検査」――である。

 3つ目は監視対象の装置ごとに、通常の操作で起こり得る状態変化のパターンをまとめた「ルールエンジン」を複数用意しておき、例えば停止時、起動直後、フル稼働時、50%稼働時といった運転状態に応じて、どのルールを適用するかをきめ細かく設定できる点だ。その時々で参照すべきルールを絞り込んで監視処理を高速化できるだけでなく、対象の装置が既に起動しているのに、さらに起動コマンドを送って挙動を狂わせるといったサイバー攻撃を防げる。