Embed Size (px)
Citation preview
橋本芳宏 (名古屋工業大学)
制御システムセキュリティとSTAMP法によるリスクアセスメント
安全計装ワークショップ20162016年2月26日 大阪府立労働センター
話のながれ1. 現在のプラント計装における安全の問題
(オペレータの不安)
2. 安全計装とSILとその貢献
(リレーが作動しないことが不安ではない)
3. リスクアセスメント・ガイドライン(平成27年3月)
(非定常でのリスク解析)
4. STAMP/STAPA(電気仕掛けというより、ソフトでうごく)[Systems Theoretic Accident Model and Processes)/System Theoretic Process Analysis]
(STAPA-sec[STAPA for Security]も研究が進められている)
5. SafetyとSecurity
6. サイバー攻撃は悪意の誤動作、悪意の誤操作
(同時多点での異常発生を考慮したフェールセーフ、フールプルーフ)
7. BCP/BCMの観点でのセキュリティ対策
(やられないだけでなく、やられる前提での対策準備)
(Safety2に対応する組織的な対応のための組織構築と演習)
自動化とオペレータ (1)
化学工学会プラントオペレーション分科会主催
現場監督者セミナー(2015年で33回「毎年1回」)での話題
(話題1) 昔、直7名で管理していたエリア(20プラント)が統合され、現在ボード1名フィールド1名という体制。(フィールドのパトロールには2時間以上かかる広範囲)
監督者自身、経験が浅いプラントも責任の範囲内になり、異常時に適切な対応ができるか不安を感じている。
統合計器室には他にもオペレータは存在するが、それぞれ広い担当エリアを持っており、他のプラントはどこにどんな弁があるかを認識できていない。
ボード、フィールドの1名は入社後2年目の新人であることも。トラブル時に助けを求めるとしても、漏えいを防ぐテープを巻くのを手伝ってもらうくらい。
自動化とオペレータ (2)化学工学会プラントオペレーション分科会現場監督者セミナー
(話題2) 夜間はプラントに一人しかいないので、腰に発信機をつけ、他の工場に定期連絡をする体制で、安否を確認している。
(話題3)ミスオペでプラントを停止させた先輩は大きなペナルティを与えられた。上からは、何かあったら停止させればよいと言われているが、なんで止めたのかと怒られそう。停止ボタンを押すことは難しい。
(話題4)マニュアルを作成するときはいいが、たくさんできすぎて、いざというときには、参照できないし、考えようとすることを阻害するかも。さらに、チェックリストが増えすぎて、考えずにチェックすることが常態になりそう。
想定しきれない状況は、人間が対応?
• 自動化が少人化を推進した。
• 安定操業時の作業量は確かに減少している。
• しかし、非常時に人間が関与せずに対応しきれるであろうか。
• 想定できる事態しかシステムは対応できないし想定できるすべてにシステムでの対応を準備するかも疑問
• 緊急シャットダウン(ESD)が働けば、安全が確実に確保できるのであれば、人間は、ESDが作動するよりは、経営的な被害が軽減することに創意工夫をこらせばよいことになるはずである。
• 頑張りが効果として評価されれば、やりがいもあるし、たとえうまくいかなくてもシステムが守ってくれると思えるのであれば、オペレータが不安を訴えることはないのではなかろうか。
過度な少人化で、教育も体験も不可能
• プラント全体の最適化で、多くの制御系の設定値が同時に変更されるので、オペレータは監視しているが、把握しきれない状況になっているプラントもある。
• 操作する機会もなく、失敗体験を通じて学ぶことなどできない。そして、チームで取り組もうとしてもチーム自体構築できず、新人が一緒に勤務しながら学ぶという機会もない。
• このような環境で、システムに異常が発生したら、オペレータに対応しろと言っても難しいのは間違いない。
• 大事故の調査でも、現場力の低下が指摘されているが、このような体制では、現場力は回復しうるのだろうか。
• トップが安全文化を推進するといっても、このような体制のもとで、安全文化は形成できるのか
オペレータを支援するシステム
•自動化は、収益性の向上に貢献してきているが、
安全の面では副作用が発生しているのではないだろうか。
• オペレータが、プラントの異常やシステムの異常に、適切に
対応することをサポートするシステムは不十分。
• これまでの安全の議論では、悪意に基づくトラブルは対象
とされてなかったが、サイバー攻撃など、悪意による事故
発生にも対応する必要性が高まってきている。
• オペレータが、悪意による異常発生時にも適切に対応でき
ることをサポートするシステムの開発は、計装制御技術者
の検討対象であろう。
安全計装とSILとその貢献•安全計装というと、SILの話がついてくる。
•確実に動作すべきシステムだから当然ではあろう。
• SILの話が受けないのは、確実な動作だけが安全に対する不安の対象ではない。
•最近の重大事故は、ベテランが大勢いる状況で、起こっている。
•非定常時のリスクアナリシスが事前にしっかり行われていないので、適切に状況判断ができるか不安なのでは?
• リスクアナリシスを徹底して、安全計装を構築できれば、オペレータは不安を感じなくてもいいはず?
リスクアセスメント・ガイドライン平成27年3月高圧ガス保安協会
•平成23年以降続発した重大事故では、非定常運転または作業におけるリスクアセスメントの実施が不十分であったと指摘されている。
• リスクマネジメント、リスクアセスメントの意義と重要性の理解及び普及を目的として、リスクアセスメント・ガイドライン(概要版)を策定した。
• 「非定常リスクアセスメント」の手法、実施手順等を紹介
•手順HAZOP
•緊急シャットダウン(ESD)HAZOP
非定常HAZOP
HAZOP
連続プロセスHAZOP
手順HAZOP
バッチ反応HAZOP
ESD HAZOP
定常HAZOP
非定常HAZOP
定常HAZOP:FTPLC(Flow,Temp,Press,Level,Comp)に注目してガイドワードを適用し、その「ずれ」の原因を洗い出し、プラントへの影響を分析し、潜在的な危険事象を特定。現状の安全対策の妥当性と追加対策の必要性を検討。
非定常HAZOP:FTPLCの「ずれ」に加えて、オペレータのアクションやプロセス変化の時間の「ずれ」を想定して、影響分析。
HAZOPのガイドワード
ガイドワード 内容
NO or NOT 設計で意図したことがまったく起こらない。 (流量なし)
MORE 設計で意図した最大値を超える。 (温度高)
LESS 設計で意図した最小値を下回る。 (圧力低)
REVERSE 設計意図と逆の事象が発生する。 (逆流、逆反応)
AS WELL AS 設計で意図したことは達成されるが余分なことが起きる。(不純物混入)
PART OF 設計で意図したことの一部しか達成されない。 (一部の成分の不足)
OTHER THAN 設計意図は全く達成されず、全く異なったことが起こる。
定常HAZOPでのガイドワード
ガイドワード 内容
Sooner than 意図した時期、タイミングより早い
Later than 意図した時期、タイミングより遅い
Longer than 意図した時間よりも長時間かかる
Shorter than 意図した時間よりも短時間で終える
非定常HAZOP固有のガイドワード(定常HAZOPに追加)
希硫酸をつくるときに、濃硫酸を先に入れたら?
手順HAZOPの実施手順1. 操作手順書の準備2. 検討対象作業に関連する周辺設備・環境状況の確認3. 「ずれ」を想定する操作・アクションを選定
選定された操作・アクションの例弁V2を徐々に開放、PG-1の圧力確認、配管パージ
4. ガイドワードと結び付け、「ずれ」を想定「ずれ」の例弁V2を急速に開放、PG-1の圧力確認せず
5. 「ずれ」の原因を特定「ずれ」の原因の例不作為/勘違い、要領書の不備、機器/計器故障
6. 影響分析7. 現状の対策確認と必要に応じた改善策提言8. FTPLCの「ずれ」を想定し、抜け落ちがないか検討
リスクアセスメント・ガイドライン最終部 11.その他
• プラントにおいては、自然災害を起因としたリスクを検討想定し、対策を講じておくことも重要である。
•自然災害として地震、津波、台風、落雷、渇水等を想定し、それぞれの自然災害がどのようなリスクに繋がるかを検討し、リスクレベルを低減させる策を検討する。
•他にも、考慮すべき事項としては、不適切なメンテナンスや経年劣化が原因となる機器破損や、不適切な機器の使用、不適切なプロセス設計、サイトセキュリティ不備等が原因の人為的妨害(テロ)等が挙げられる。
STAMP/STPA (System-Theroretic Accident Model and Procedures/STAMP based Process Analysis) by Nancy Leveson (MIT) Engineering a Safer World(2011)
http://psas.scripts.mit.edu/home/2013-workshop-presentations/Integrating_State_Machine_Analysis_STPA.pdf
Relaibility Theory
Systems thinking to Safety
複雑なシステムではソフトウェアの不備で危険な状態になることもある
各コンポーネントに不具合がなくても相互作用によってシステムに不具合が発生
状況に適しない挙動がありうる
ソフトウェアの安全の議論からSTAMPは生まれた
安全は信頼性の問題ではなく、動的制御問題として取り扱うべき
STAMP/STPAの特徴
• SafetyとSecurityに対するより広範で強力なアプローチ
• 因果関係の連鎖ではなく、内部の相互関係を解析
• 現在考慮されているコンポーネント故障だけでなく、さらにシステム設計のエラーや設計要求の不備なども考慮
• トップダウンのシステムエンジニアリングアプローチ• 安全は、システムの挙動上での制約の集合を満足すること
• 事故は、システム構成要素の相互作用がその制約を犯して発生
• リスクアナリシスでは、システムや構成要素の安全制約を特定する
• システムでの安全制約を強化するためのコントローラ構造を設計する
Physical design Operations, Management, Social interactions and culture
• 従来の安全解析よりも、はるかに大規模で複雑なシステムを解析対象とする
• 事故の予防ではなく、システムの安全制約を強化することをめざす• システム設計上の不備や安全制約違反に導くシナリオを特定する
STAMP/STPAの手順0. 潜在的事故/損失を特定
1. ハザード(事故にいたる現象)を特定
2. Functional Control Structureの作成複雑に連携するコンポーネント間の相互作用を表現する
3. Unsafe Control Action(UCA)の特定4つのガイドワードを利用して、UCAを識別する
4. システムとコンポーネントの安全要求事項を生成UCA毎に関係するControllerとControlled Processを特定しControl Diagramを作成し、詳細なハザード要因を分析
5. UCAを引き起こしてしまうシナリオを特定する
6. システムとコンポーネントの安全要求事項の実現を検討シナリオ毎に、それを制御/除去するための安全策を検討する
2. Functional Control Structure
ComponentA
ComponentB
ComponentC
Control Action
Control Action Feedback
FeedbackControl Action
コンポーネント間の関係をControl ActionとFeedbackで整理
システム開発 システムオペレーション
製造
計装と保険
保全と革新
設計図書
プロジェクト・マネジメント
生産管理
オペレーティングプロセス
運転管理
企業経営
規制(企業、業界団体)
法律
企業経営
広い視野での複雑に絡み合った関連の解析
Nancy Leveson (MIT)Engineering a Safer World(2011)
VWのディーゼル制御は重大なセキュリティ問題
企業の存続問題に!
3. 4つのガイドワードでUCAを特定
Control AlgorithmやControl Actionの決定に利用するProcess Modelの不適切さが原因で事故が発生する可能性
事故要因を4つのタイプのUnsafe Control Actionsで整理
Controller
Controlled Process
ControlActions
Feedback
ControlAlgorithm
ProcessModel
1. Not Provided必要なコントロールアクションが供給されない
2. Incorrectly Provided誤った不安全なコントロールアクションが供給される
3. Provided Too Early, Too Late, or Out of Sequence意図しないタイミングで供給される
4. Stopped Too Soon途中で止まる(または必要以上に長びく)
4.Unsafe Control Actionの解析
http://psas.scripts.mit.edu/home/2013-workshop-presentations/Integrating_State_Machine_Analysis_STPA.pdf
HumanController
AutomatedController
SensorsActuators
Controlled Process
アンチ・ロックブレーキシステムの不安全な制御動作の解析
Unsafe Control Actionの解析例
http://psas.scripts.mit.edu/home/2013-workshop-presentations/Integrating_State_Machine_Analysis_STPA.pdf
UCAの例:ブレーキペダルを踏んだのに、アンチロック・ブレーキシステムに伝わらない
不安全な状況は、複数のコンポーネントの状態の組み合わせに依存
安全制約(Safety Constraints)の整理: ブレーキペダルが踏まれたとき、車輪はロックされておらず、バルブはとじていて、車速は定められた最大値を超えていない。
安全のための制約の表現
http://psas.scripts.mit.edu/home/2013-workshop-presentations/Integrating_State_Machine_Analysis_STPA.pdf
状況に応じて、危険がどうか変わる。
中華航空の墜落事故
ソフトウェア開発の標準モデルUML
Activity Diagram
Use Case Diagram
Sequence Diagram
建物の設計には、見取り図、間取り図、配線図など様々な設計図が作成されるように、ソフトウェアの設計図UML(Unified Modelling Language)にも様々な設計図がある。
オブジェクト指向プログラミングでは、オブジェクト間の通信で、システムのふるまいが進むSTAMPは、その通信を、コントロールという観点で整理したものとも考えられる。
STAMP/STPAで状態変化を扱う拡張
Use Finite State Machine (FSM) to model the dynamic behaviour of the system. Assess each control action with FSM based on all the possible system states .
http://psas.scripts.mit.edu/home/2013-workshop-presentations/Integrating_State_Machine_Analysis_STPA.pdf
Nancy IPAseminar_tokyo_20140121.pdf
善意の行動から不慮に起こされる損失を防御
悪意の行動から故意に起こされる損失を防御
どちらも損失の防御が目的
安全に対する新たなパラダイム(STAMP)はSafetyにもSecurityにも有効
SafetyとSecurity
• セーフティの議論では、悪意はほとんど考慮されてこなかった
• セキュリティも守るべき対象に基づいた検討はほとんどされていない
• 制御系サイバーセキュリティに対する議論も、プラントのどの部分が危険というより、コントローラを自由にされたら危険であるので、コントロールシステムを守るというかたちで、制御対象まで検討している例はほとんどない
• 上記のベン図の共通部分が、すっぽり抜けているのでは
セーフティ(保安)
セキュリティ(防犯)
悪意による安全破綻への防御
IEC TC65/AHG1の発足(2014年)
SAFETY:IEC61508,IEC61511 SECURITY:IEC62443
2014年にIEC TC65/AHG1が組織され(代表:出町氏),それを受けて現在,JEMIMA内に
対応分科会が設置され活動が進められた。(分科会メンバー:14名)
2015年には、報告書が提出されている。65_AHG1-08-04h Draft report V3.1
Industrial Process Measurement and ControlFRAMEWORK TOWARD COORDINATING
SAFETY AND SECURITY
Cyber-SecurityとSafety•サイバー攻撃は、プロセス制御系にとって、安全を破綻させる多くの要因の一つ
• セキュリティの対象をサイバー攻撃に限ると、制御系への影響は限定的に考慮できる。(インテリジェントのあるシステムにしか働けない)
•サイバー攻撃は「悪意の誤動作、悪意の誤操作」
• フェールセーフ、フールプルーフを徹底することが、サイバーセキュリティにも有効なはず。同時多点の異常発生の考慮が問題
•悪意の攻撃に対しては、同じ防御策を重ねても多重防御にならない
•未知の手口、脆弱性にも対応したい。イタチゴッコに安全は委ねられないゼロデイだから事故が起こっても仕方がないとはいえない
同時多発へのフェイル・セーフとフール・プルーフ
•今は大丈夫でも、未知の脆弱性が
鍵・錠や監視カメラやパトロールは?
今は大丈夫でも、未知の脆弱性がどのように現れるかわからない。
• 攻撃手口を予想しても、カバーしきれないに違いない。
• 脆弱性に気づき対策を開発できても、すぐに適用できないかも
→ 一つの脆弱性で全滅しない多重の対策
安全をベースにしたセキュリティ対策ハザードは攻撃の手口で決まるのではなく、
制御対象の特性で決まる。手口に関わらない対策検討とは?
安全を守る通帳と印鑑は?
通帳と印鑑を穴の異なる壁で防御
名工大でのテストベッドでサイバー攻撃の手口を実演し、対策の有効性も確認
PM
PUMP W
FI
H
LG1
T2
T1
LI2
LI1
Tank2
Tank1
Valve1
Valve3
Valve4Valve2
LG1
LC1
FC
TC1
Zone1 [ LM1 T2 PI Valve2 Pump ]Zone2 [ LM2 T1 FI Valve1 Heater ]
Electric control valve
Ball valve
Safety valve
Transmitter
Field instrument
Pipe
Flange
Socket
2015年9月の時点で、のべ300名近くの来訪あり
計装ネットワークの構成と攻撃での攻略手順脆弱性テストツールArmitageを使用1. Nmapを使ってネットワーク内の
端末を探索2. 踏み台となるPCを乗っ取り、下
の階層のネットワークを見つけ出す
3. 再びネットワークの探索4. 目標の対象を見つけたら攻撃5. ファイル送信,VNC,ウイルス起
動など
生き残ったゾーンの画面では、
攻撃により発生した変化の波及状態が検知できる。
攻撃を受けたゾーンの画面では、攻撃により変化が発生しているが、隠蔽により変化が観測できない
攻撃デモでの挙動
正常時でのパネル計器 攻撃を受けたパネル計器
攻撃を受けたゾーンの監視画面攻撃を免れたゾーンの監視画面
攻撃を受けて、コントローラが操作され、
危険な状態に陥って、現場計器では、アラームが発生
写真を映させてその間に金庫を!
Fault Treeによる防御点の選択
タンクの過熱事故
上部事象に至るまでの時間を確保
上部事象に至る状態を作る
タンク1内の液位Low
タンク1内の温度High
タンク1とタンク2の液位が異常であると気が付かない
タンク1とタンク2の温度が異常であると気が付かない
タンク1の流出弁を全開
ヒータのコントローラ
Auto→Manual
ヒータ出力をある一定の値以上にする
インターロック解除
タンク2の温度を正常であるかのように隠蔽
タンク1の温度を正常であるかのように隠蔽
T1iのHighアラームを解除・監視画面を表示しない
タンク1の目標設定値を正常であるかのように隠蔽
タンク1の液位を正常であるかのように
隠蔽
タンク2の液位を正常であるかのように
隠蔽
L2iのHighアラームを解除・監視画面を表示しない
タンク1液位のLowアラームを解除・監視画面を表示
しない
タンク1水位コントロールを破綻
同時に攻撃されなければ発生確率は低下
隠蔽されていても事故に至るまでに異常に気づけば発生確率は低下
タンク1の流入弁を閉じる
タンク1水位の設定値を
低く
LC1 LI2
TC1TI2
LC1 TC1
守るべきコントローラを洗い出す
同時に陥落しないゾーンに分割
制御ネットワークを複数のゾーンに分割してゾーンごとに錠(ファイアーウォール等)を設定
・同時に陥落してはならないコントローラを異なるゾーンに配置することでリスクを分散
・隠蔽工作があっても、一部のゾーンが生き残れれば、異常の検出が可能になる
ゾーンをいくつに分割し、各ゾーンに、どのようにセンサ、アクチュエータ、コントローラを振り分けるかでリスクの低減、異常検知能力の向上が変わる。
ゾーンの設計手法が必要。
PLC
P
Pi
T
T2i
F
FiL
L2i
L
L1iW(Pump)H(Heater)
V2
V1
OPC Server1
PLC PLC
SCADA2
OPC Server2
SCADA3
OPC Server3
SCADA1
T
T1i
Zone1 Zone2 Zone3
TCLC TI
FTA 検知
LI
検知
コントローラネットワークのゾーン分割提案CAD
安全を確保するためにも、隠蔽工作を見破るためにも、同時に攻撃されないように、別々に防御されるべきコントローラの組み合わせを、自動的に洗い出す
ゾーン分割の提案例
{1}
{2}
LIC
LIC
FIC FIC
F(1)
F(7)
L1{1}
L1{2}
{3}
{4}
{5 }{5 }
{6}
{6}
(1) (7)
(2)
(4)
ゾーンを色で表現して提案を表示
デモプラントのゾーン分割例
PM
PUMP W
FI
H
LG1
T2
T1
LI2
LI1
Tank2
Tank1
Valve1
Valve3
Valve4Valve2
LG1
LC1
FC
TC1
Zone1 [ LM1 T2 PI Valve2 Pump ]Zone2 [ LM2 T1 FI Valve1 Heater ]
Electric control valve
Ball valve
Safety valve
Transmitter
Field instrument
Pipe
Flange
Socket
Zone1
Zone2
Zone1 Zone2
シングルループ・コントローラ3台ずつをゾーンに配分
各ゾーンにPLC1台
計装ネットワークのゾーン分割工事
(従来型計装)
・プラントからの配線はそのまま
・計器室内の配線切替工事で済む
日本の大半のプラントはこちら
(フィールドバス計装)・フィールドバスを複数設置・接続機器をフィールドバスに分配
[現地装置ごとの工事+計器室]
名工大制御系セキュリティWS• 2015年3月19,20日 13社18名参加
• 2015年8月26,27日 30社74名参加
• 2015年3月30日開催予定(開催日を変更しました!)
「やられない」だけではなく、「やられる前提」での対策
安全だけでなく事業継続(BCP/BCM)として、組織全体としての連携ができる体制の構築と演習での準備
生産現場、計装、設備、情報、営業、総務、経営、さらに社外との連動
第2回名工大制御系セキュリティWSの特徴
• セキュリティ対策を実装したプラントを利用
• 2つのデモプラントに、セキュリティ対策ツールを実装し、
その対策がない場合、有効にした場合を、
実際のプラントの挙動で比較でき、有効性を確認できる。
• セキュリティツールは、その設定によりその有効性も変化するが、
実装でそれを確認できる。
• プラントエンジニア、ITエンジニア、
セキュリティツール専門家、経営担当者での討論
• サイバーセキュリティ対策の適切な立案には、
社内の情報ネットワークエンジニアだけではなく、
ことの重要性を評価できる経営担当者、
守る対象を理解するプロセスエンジニア、
サイバー攻撃の手口を知る対策ツール開発者の知恵を結集する必要がある。
ワークショップではそのすべてがグループのメンバーに存在する形式で検討
第2回名工大制御系セキュリティWSの特徴
•対策立案者と予算認可者のペアでの参加
• 導入を検討する企業の規模やプラントの危険性、経済状況に応じた
柔軟な提案ができ、
予算を請求する方も許可する方も、
互いに納得できる案になるためのアプローチを考える。
•制御系の安全だけでなく、事業継続での観点での
サイバーセキュリティ対策の検討
• サイバー攻撃による甚大な事故の発生を回避することはもとより、
経済的な被害を考慮したBCP/BCMの観点での対策の必要性を、
グループディスカッションで話し合い、
セキュリティ対策の必然性をより納得できるものにする
• 組織として問題も、このディスカッションで洗い出せると考えている。
名工大制御系セキュリティWSSecurity2:組織としてのサイバーインシデント対応
第3回WS:BCP/BCMに関する復旧フェーズの検討
2015年3月30日(水)開催予定於:名古屋工業大学(JR鶴舞駅から徒歩8分)
JR名古屋駅からJR鶴舞まで7分
(今からでも申し込みいただけます)E-mail: [email protected]
Subject: WS参加申し込み
参加者氏名、所属をご連絡ください。
ご希望の方には、前日3月29日(火)に、
第1回WS、第2回WSの「守るべきものに基づいたセキュリティ対策立案」の解説を行います。
