Overview
SCADA(Supervisory Control and Data Acquisition:監視制御・データ収集)とは、電力、ガス、上下水道、鉄道、石油パイプラインなどの広域に分散した産業設備をリアルタイムに遠隔監視・制御するためのシステムです。中央の監視制御センターから、数百キロメートル離れた設備の状態を把握し、必要に応じて制御コマンドを送信することで、インフラの安定稼働を支えています。
SCADAシステムは、MTU(Master Terminal Unit:マスターターミナルユニット)を中核に、RTU(Remote Terminal Unit:遠隔端末装置)やPLCが現場の計測・制御を担い、HMI(Human Machine Interface)がオペレータにグラフィカルな監視画面を提供するという構成で成り立っています。通信には従来、専用回線やシリアル通信が使われていましたが、現在ではTCP/IPベースのネットワークへの移行が進んでいます。
SCADAは社会インフラの根幹を支える重要システムであるため、そのセキュリティは国家安全保障の問題として位置づけられています。しかし、多くのSCADAシステムはセキュリティが考慮されていない時代に設計・導入されたものであり、認証機能の欠如や通信の暗号化なし、長期間パッチ未適用のOSなど、多くのセキュリティ課題を抱えているのが現状です。
Details
SCADAアーキテクチャ(MTU/RTU/HMI)
MTU(マスターターミナルユニット)は、SCADAシステムの中枢であり、すべてのRTU/PLCからのデータを集約し、オペレータの指示に基づいて制御コマンドを配信します。高可用性が求められるため、冗長化構成が一般的です。
RTU(遠隔端末装置)は、フィールドに設置された堅牢なデバイスで、センサーからのアナログ/デジタル信号を収集し、MTUに送信します。また、MTUからの制御コマンドを受信して、バルブの開閉やポンプの起動・停止などの制御を実行します。現在ではPLCがRTUの機能を兼ねるケースも増えています。
HMI(ヒューマンマシンインタフェース)は、オペレータがシステムの状態を視覚的に把握し、操作を行うためのインタフェースです。プロセスフローダイアグラム、トレンドグラフ、アラーム管理画面などを提供し、異常の早期発見と迅速な対応を可能にします。
通信プロトコル(Modbus・DNP3)
Modbusは1979年にModicon社が開発した、SCADA/ICSで最も広く使われている通信プロトコルです。Modbus RTU(シリアル通信)とModbus TCP(イーサネット通信)の2種類があります。シンプルで実装が容易な反面、認証や暗号化の機能が一切なく、通信を傍受・改ざんされるリスクがあります。
DNP3(Distributed Network Protocol 3)は、電力系統のSCADA通信に広く使用されるプロトコルです。Modbusより高機能で、タイムスタンプ付きデータ、イベント駆動型レポート、データの完全性チェックなどをサポートしています。DNP3 Secure Authenticationにより認証機能が追加されましたが、普及率はまだ十分とは言えません。
SCADAの遠隔監視と通信経路
SCADAシステムの大きな特徴は、広域に分散した設備の遠隔監視・制御を行う点です。従来は専用のシリアル回線や無線通信を使用していましたが、コスト削減と利便性向上のために、インターネットVPNや携帯電話網を利用するケースが増加しています。
この通信経路の変化により、SCADAシステムがインターネットから到達可能になるリスクが高まっています。ShodanやCensysなどの検索エンジンでインターネットに露出したSCADAシステムを発見できることが報告されており、適切なアクセス制御とVPN設定の重要性が指摘されています。
第4世代SCADA(クラウド統合型)
最新のSCADAシステムは、クラウドプラットフォームやIoTとの統合が進んでいます。第4世代SCADAは、エッジコンピューティング、ビッグデータ分析、AI/機械学習による予知保全などの先端技術を活用し、運用効率を大幅に向上させています。
しかし、クラウド統合によりアタックサーフェス(攻撃対象面)は拡大するため、ゼロトラストアーキテクチャの適用やクラウドセキュリティの強化が不可欠です。また、規制要件によりクラウド移行が制限される業種もあるため、ハイブリッドアーキテクチャの設計が求められています。
SCADAセキュリティ評価の手法
SCADAシステムのセキュリティ評価では、ITシステムとは異なるアプローチが必要です。ペネトレーションテストは運用中のシステムに影響を与える可能性があるため、テスト環境の構築やパッシブスキャンの活用が推奨されます。ICS-CERTが提供するCSET(Cyber Security Evaluation Tool)を用いた自己評価や、IEC 62443に基づく第三者認証も有効なセキュリティ評価手法です。
Security Measures
- 01SCADAネットワークの分離とアクセス制御:SCADAシステムをインターネットや企業ネットワークから物理的または論理的に分離し、産業DMZを介した通信のみを許可してください。リモートアクセスにはVPNと多要素認証を必須とし、接続元のIPアドレスやデバイスを制限しましょう。
- 02SCADA通信プロトコルの保護:Modbusなど認証・暗号化機能のないプロトコルを使用する場合は、TLSトンネリングやIPsec VPNで通信を暗号化してください。DNP3 Secure Authenticationの導入やOPC UAへの移行も検討し、プロトコルレベルでの安全性を確保しましょう。
- 03HMIとSCADAサーバーのハードニング:HMIやSCADAサーバーのOSを最新の状態に保ち、不要なサービスやポートを無効化してください。USBポートの物理的な制限、アプリケーションホワイトリストの導入、管理者権限の最小化を実施し、攻撃対象面を縮小しましょう。
- 04異常検知と継続的な監視体制:SCADAネットワーク内のトラフィックを常時監視し、通常の通信パターンとの差異を検知できるIDS/IPSを導入してください。プロセス値の急激な変動やコマンド頻度の異常もアラートの対象とし、サイバー攻撃と物理的な異常の両方を早期に発見しましょう。
- 05バックアップとディザスタリカバリ計画:SCADAシステムの設定、プログラム、ヒストリアンデータを定期的にバックアップし、オフラインの安全な場所に保管してください。サイバー攻撃によるシステム停止を想定したディザスタリカバリ計画を策定し、手動運転への切替手順も含めて訓練を実施しましょう。
- 06サプライチェーンセキュリティの確保:SCADAシステムのベンダーやインテグレータに対して、セキュリティ要件を契約に明記してください。ファームウェアやソフトウェアの更新チャネルの安全性を確認し、サードパーティ製コンポーネントの脆弱性情報を継続的に監視しましょう。
Incidents
📋 オーストラリア マルーチー下水道システム攻撃(2000年)
2000年、オーストラリア・クイーンズランド州のマルーチー・シャイア評議会の下水道システムが、元従業員によるサイバー攻撃を受けました。攻撃者は無線通信装置を使ってSCADAシステムに不正アクセスし、約3ヶ月間にわたり下水ポンプの制御コマンドを改ざんしました。
この攻撃により、約80万リットルの未処理下水が河川や公園、ホテルの敷地に放出され、深刻な環境汚染を引き起こしました。この事件はSCADAシステムに対する意図的な攻撃が現実の脅威であることを世界に初めて示した象徴的な事例として、多くのセキュリティガイドラインで参照されています。
📋 フロリダ州オールズマー水処理施設への侵入(2021年)
2021年2月、米フロリダ州オールズマーの水処理施設で、攻撃者がSCADAシステムのHMIにリモートアクセスし、水酸化ナトリウム(苛性ソーダ)の注入量を通常の約111倍に変更しました。オペレータが画面上でカーソルが勝手に動くことに気づき、即座に設定を元に戻したため、実被害は発生しませんでした。
調査の結果、施設ではTeamViewerによるリモートアクセスが全オペレータで同一パスワードを共有して使用されていたことが判明しました。この事件は、SCADAシステムの基本的なアクセス管理の欠如が重大インシデントに直結し得ることを示し、水処理施設のサイバーセキュリティ強化が全米で推進されるきっかけとなりました。
📋 ドイツ製鉄所へのサイバー攻撃(2014年)
2014年、ドイツ連邦情報セキュリティ局(BSI)は、国内の製鉄所がサイバー攻撃を受け、溶鉱炉の正常な停止が妨げられて物理的な損害が発生したことを報告しました。攻撃者はスピアフィッシングメールで企業ネットワークに侵入した後、制御ネットワークに到達してSCADAシステムを操作しました。
この事件は、Stuxnet以来2件目となるサイバー攻撃による物理的被害の確認事例です。ITネットワークからOTネットワークへの横展開(ラテラルムーブメント)の危険性と、IT/OT間の適切なセグメンテーションの重要性を改めて浮き彫りにしました。