PR

 NECは、サイバー攻撃に対する工場や社会インフラにおける制御システムの弱点を自動で分析・整理する技術を開発した。実システムの代わりにデジタルツインを設定し、これに対する網羅的な攻撃シミュレーションでリスクを洗い出し、自動で分析する。リスク分析と報告書作成にかかる時間を手作業の約1/4に縮められるという。

* NECのニュースリリース:https://jpn.nec.com/press/202104/20210427_01.html

 新技術は、同社が2018年に開発した「サイバー攻撃リスク自動診断技術」を利用する。同診断技術は、実システムの構成情報などから構築したデジタルツイン(仮想モデル)で攻撃のシミュレーションを実施し、攻撃グラフを作成するもの。攻撃グラフは、攻撃行動によってシステムの状態が変化し、最終的に攻撃が完了するまでの過程を可視化したグラフだが、読み解きと分析には専門知識が必要だった。新技術では、この攻撃グラフから「××で不正コード実行」などの攻撃パターンを自動で抽出し、情報処理推進機構(IPA)の「制御システムのセキュリティリスク分析ガイド」に記載されているリスク分析シートの形式で報告書を作成する(図1)。

図1:新技術の概要(出所:NEC)
図1:新技術の概要(出所:NEC)
[画像のクリックで拡大表示]
* 18年11月5日付、NECのニュースリリース:https://jpn.nec.com/press/201811/20181105_04.html

 これらの業務では従来、システム運用者が仕様書や実機確認を通してシステム構成を把握し、存在する攻撃経路を経験に基づいて見つけた上で、それらへの対策案と効果を策定していた。この場合、攻撃経路を見逃す恐れがあり、見逃した経路については対策できない。リスクを分析して報告書を作成するまでに時間がかかるのも課題であり、機器40~50台で構成する制御システムの場合で1~2カ月間を要していた。

 新技術では、システム構成をデジタルツインで管理し、シミュレーションによって攻撃経路を把握。具体的な攻撃内容を基に対策を検討し、運用を改善する(図2)。これにより、悪用される恐れのある脆弱性やプロトコルなどを明確にし、攻撃の根拠や要因を客観的に把握できるため、対策の検討や立案が容易になる。さらにリスク分析と報告書作成の自動化により、機器40~50台で構成する制御システムの場合で報告書作成までの期間を1~2週間に短縮できるとする。

図2:従来(上)と新技術(下)によるリスクアセスメントの比較(出所:NEC)
図2:従来(上)と新技術(下)によるリスクアセスメントの比較(出所:NEC)
[画像のクリックで拡大表示]

 同社は今後、新技術の事業化に向けて開発を進める。21年6月までに、リスク診断のサービスとして提供を開始する目標だ。この研究の一部は、内閣府が進める戦略的イノベーション創造プログラム(SIP)「IoT社会に対応したサイバー・フィジカル・セキュリティ」によって実施した。