【FORESCOUT】サイバーセキュリティ対策ガイド〜ビルシステムに関わる全ての人のために〜

ビルシステムに関わる全ての人のための サイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ 現在、ビルシステムに対するサイバー攻撃の危険性が非常に注目されている。ビルシステムへサイバー攻撃は、空調や電気、 照明などの各システムを不正操作または使用不可能な状態にしてしまうため、その影響は計り知れない。しかし、サイバーセキュ リティ対策がビルシステムの利便性を奪ってしまうようでは本末転倒である。そこで、現状のシステムの利便性を失わずにビル システムサイバーセキュリティ対策を実施するための道筋を示していく。 Copyright © 2019 Macnica Networks Corp. All rights reserved.

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ もくじ ビルシステムにおける脅威 Google オフィスビルハッキング事例 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 2 ビルシステム向けセキュリティ対策 ネットワーク監視の必要性 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 3 異常検知 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 3 被害デバイスの特定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 4 ネットワーク監視の自動化・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 4 DPIとは・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5 ベースライン設定・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6 脅威インテリジェンス・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6 ネットワークマッピング・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7 アセット管理 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7 ダッシュボード ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7 DPI の実践的活用例 標準的なビルシステムのモデル・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 9 監視ポイント・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 10 ネットワークマッピング実例 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 11 アセット管理実例・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 11 ベースライン設定および異常検知の実例 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 12 脅威インテリジェンス実例・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 15 最後に・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 15 提供ソリューション Silent Defenseソリューション ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 16 追加オプション：Macnica Physical Finder・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 19

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ ビルシステムにおける脅威 近年、日本国内のビルシステムに対するサイバーセキュリティ に認知されてきた。ビルシステムにおけるサイバー・フィジカ の必要性に注目が集まっている。インターネットから切り離さ ル・セキュリティ対策ガイドライン※1 にもビルを対象とした れておりビル独自の通信プロトコルを利用しているという理由 サイバー攻撃事例が記載されているが、本書においても 1 つ によりサイバー攻撃の対象にはならないという従来の常識は、 事例を挙げたいと思う。 既に通用しない時代となってしまったことが日本国内でも徐々 Googleオフィスビルのハッキング事例 本事例は、悪意を持った攻撃者による事件ではないが、サイ バー攻撃によりビルの設計図を流出させることやシステムの制 Google本社ビルでは水処理システムを持っていたがリリース 御を奪うことが可能であることを示した事例の１つである。ビ されたセキュリティパッチを当てていなかった。Cylance社 ルシステムの制御が奪われるということは、電気、ガス、水道、 の研究者は脆弱性を突いて水処理システムの管理者パスワード 空調、照明などを攻撃者によって不正操作または破壊されてし を入手し、システムにアクセスした。建物のいたるところに蛇 まうことを意味しており、その影響は計り知れないものがあ 行している水道管の明確な図と、管内の水温と台所の漏れの場 る。 所を示す表示があるだけでなく、床と屋根の設計図を示すコン 　ビルシステムのサイバーセキュリティリスクが騒がれるよう トロールパネルが見つかった。 になったのは、下記の要因が挙げられる。 コントロールパネル上には警報やスケジュール等の設定を行う ● ビルシステムの IP化 為のボタンが用意されていた。 ● データ利活用等を目的としたビルシステムのインターネッ 研究者は、水処理システムにマルウェアをインストールし同じ ト接続 ネットワーク内の別の制御システムにも攻撃対象を広げる事が ● 自動攻撃ツールの進化 /普及 可能であったことを示した。 ※1 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン https://www.meti.go.jp/press/2018/03/20190311001/20190311001.html 2

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ ビルシステム向けセキュリティ対策 　ビルシステムにおけるサイバーセキュリティ対策について、ソリューションごとにその概要および対応可能な脅威を以下の表 1 に記載する。 表1 ビルシステムセキュリティ対策ソリューション 対策ソリューション 概　要 対応可能な脅威 日々更新されるウイルス定義ファイルを元に照合を行い 既知の不正プログラムの PCやサーバ等への感染を防ぐこと アンチウイルス Windows機に感染する不正ウイルスを検知する。制御シス ができるが、未知の不正プログラムや不正通信の受信の検知 テム内の PCやサーバ等へのインストールが必要。 /防御ができない。 PCやサーバ等に対する不正プログラムの感染を防ぐことが アプリケーション 事前に許可したファイル以外の実行を防ぐ。制御システム内 できるが、別のデバイスからの不正通信の検知 /防御はでき コントロール の PCやサーバ等へのインストールが必要。 ない。 セキュリティ 既知の脆弱性を持つ端末を把握する事ができるが、未知の脆 パッチ管理 システム内に存在する脆弱性を持つ端末を把握する。 弱性 (ゼロデイ )を把握する事は出来ない。 USBメモリ内部をスキャンする事により、USBメモリを介 USBメモリを介在して PCやサーバ等に不正プログラムが感 外部USBメモリ対策 在する不正プログラム感染を防ぐ。制御システム内の PCや 染することを防ぐことは出来るが、PCやサーバ等へエージェ サーバ等へのインストールまたは、敷地内へのスキャン専用 ントをインストールしない限り未スキャンの USBメモリ持 装置の設置が必要。 ち込みを防ぐことが出来ない。 エリアをまたがる通信の許可 /拒否の設定により不正通信を 各エリアをまたがる通信の内、不要な通信をブロックする為 ネットワーク分離 防御できるが、利便性や運用上の観点から全ての不正通信を に利用される。導入時にネットワーク構成の変更が必要。 拒否する事が難しい。 ビルシステム内の正常通信を学習することにより、システム 不正プログラム感染や外部端末の侵入により変化する通信を ネットワーク監視 の可視化や異常通信の検知を行う。導入時にネットワークス 異常として検知することが出来るが、監視対象となる通信を イッチの変更が必要な場合がある。 取得する物理媒介が Ethernetケーブルに限られる。 ネットワーク監視の必要性 システム内には多くのデバイスがネットワーク上で連携するこ とによりシステムの監視 / 制御が行われている。そのため、ビ ビル内部の制御通信はそのほとんど全てが暗号化や認証を利用 ルシステムに対する不正外部デバイスの接続や、システム内の しておらず、正常な機能を利用するだけで簡単にビルシステム PC やサーバ等に対する不正プログラムの感染、さらにはシス に物理的な影響を及ぼす事が可能である。また攻撃に気付く手 テム内のデバイスの物理的な故障等、システムで異常が発生し 段に乏しく、多くの場合実際の物理的被害が出て初めて攻撃に た際にはほとんどの場合ビルシステム内の通信に何かしら変化 気付くことになる。攻撃に気づいた場合でも、攻撃の経路や が生じる。つまり、ビルシステムへのあらゆるサイバー攻撃の ターゲットを完全に特定することは難しく、そのため物理被害 対策となるのがネットワーク監視なのである。ビル業界では への根本対処を行うためにどのデバイスを復旧させる必要があ IP 化※2 が進展しており、ビルシステムの重要な幹線ともいえ るかを調べることも困難である。 る中央監視およびコントローラ間の通信や、中央監視およびサ ブシステム※3 の間の通信は多くのビルで利便性や保守性の高 さから Ethernet が採用されている。中央監視やコントローラ 異常検知 等の重要デバイスが IPネットワークで接続されたシステムは、 そこでビルシステム内のネットワーク監視が必要となる。ビル ITシステムと同様、サイバー攻撃の対象にもなってしまうた 3

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ め IPの物理媒体である Ethernet上の通信を監視する必要があ ネットワーク構成図を作成しておくことが必須となる。多くの る。 ビルでは複数の構築ベンダがそれぞれ別のシステムを構築して なお Ethernet以外の通信、例えば EIA-485等のシリアル接続 いる為、ビルシステム全体を把握できるネットワーク構成図が を物理媒体として攻撃を行う事は不可能ではないが、その場 存在しないことが多い。被害発生時にネットワーク構成図があ 合、攻撃者は現地で物理的にデバイス 1 つ 1 つにシリアル接 れば、各デバイスの関係性や通信経路を確認して影響範囲や被 続して偵察 / 攻撃を実施する必要がある。そのため Ethernet 害デバイスの絞り込みを行う事ができる。ネットワーク構成図 以外の通信でビルシステムに攻撃を行うことは難しいといえ が無い場合、ビルシステム構築後に各ベンダが納品した設計書 る。 をかき集めて同様のことを行う必要があるが、多くの場合、設 計書は IP ネットワークを意識した作りにはなっておらず困難 もちろん表 1 で取り上げた他の対策もサイバーセキュリティ を伴う。 向上に有効ではあるが、ネットワーク監視以外の対策はどれも それ 1 つでは十分な対策とは成り得ないものである。例えば、 補足：ビルシステム全体を俯瞰できるネットワーク構成図はサ アンチウイルスの場合、ビルシステム内部ではインターネット イバーセキュリティ対策だけでなくデバイスやネットワークの 非接続デバイスやアンチウイルス未対応の非汎用 OS を搭載 整備 / 保守の面でも有用となる。ビルシステムのネットワーク したベンダ独自デバイスが多数存在するため日々定義ファイル はメンテナンス等のタイミングで一部変更が加わっている可能 更新の必要なアンチウイルスをデバイス 1つ 1つにインストー 性もあるため、ネットワーク構成図の作成時には実際の通信を ルして運用することが難しい。アプリケーションコントロール 確認して最新の正しい構成図を書き上げる必要がある。 を中央監視 PCに導入して実行可能ファイルを制限する事も効 果的な対策の１つではあるが、別の感染済みデバイスや持ち込 ネットワーク監視の自動化 みノート PC からの不正通信による攻撃を検知 / 防御すること は出来ない。セキュリティパッチ管理も ITシステムのサイバー 　ネットワーク監視を行う方法としては、定期的にビルシステ セキュリティでは当たり前の重要事項であるが、一方ビルシス ム内の通信パケットをキャプチャし、オペレータが手動で、通 テムにはインターネット非接続デバイスが多く、パッチ適用に 信量等のメタデータを抽出し今までの抽出時の値の比較を行う よる動作影響を検証するテスト環境を持っていないビルがほと ことで異常を検知する方法が挙げられる。キャプチャした通信 んどである為に脆弱性が公表されるたびにパッチを適用すると パケットを元にオペレータの手動でネットワーク構成図を描く いう運用はあまり現実的ではない。また、ファイヤーウォール 事も不可能ではない。しかし、何を以てシステムにサイバー攻 等によるネットワーク分離は非常に効果的であるが、USB メ 撃等の異常が発生したと判断するかという高度なセキュリティ モリや持ち込みノート PCを経由する等して、分離されたネッ 知識をビルシステムのオペレータに求めることになってしま トワークを飛び越えて重要デバイスを攻撃するという方法が存 う。 在しており、それだけで攻撃を完全に検知 / 防御できるもので 　そこで、ネットワーク監視から異常検知やネットワーク構成 はない。 図作成、アセット管理までを自動で行ってくれる DPI 製品※4 ※2 IP 化とは、デバイスが Ethernet を物理媒体とした IP (Internet の利用が非常に効果的となる。ここから DPI 製品の持つ機能 Protocol)ネットワークで接続された状態を指す。 について触れていく。 ※3 サブシステムとは別のベンダによって構築された入退室管理や空調等の ※4 DPI (Deep Packet Inspection) システムを意味する。 被害デバイスの特定 　サイバー攻撃の対策を行うには、被害が発生してしまう前に 4

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ DPIとは DPI (Deep Packet Inspection) の略で、ネットワーク監視により通信パケットを検査することを意味しており、制御システムの世 界では異常検知やネットワーク構成図作成、アセット管理までを自動で行うために利用されている。 表 2 DPI製品の代表的機能一覧 機　能 概　要 利用用途 ベースライン設定 システム内の正常通信をベースラインとして学習し、そ ビルシステムにおける異常をネットワークレベルで網羅的に こから外れる通信を異常として検知する機能。 検知する為に用いられる。 ビルシステムに対して脅威となり得る攻撃や、攻撃を受 ベーライン設定と組み合わせて利用する事で、検知した異常 脅威インテリジェンス ける可能性のある危険な状態を検知する為にメーカに の内容をより詳細にユーザに通知する為に用いられる。 よって用意されたシグネチャ。 ネットワークマッピング 各デバイスをネットワーク構成図にマッピングし、通信 異常発生時の被害デバイスの特定およびその復旧や、ネット 方向や各機器の役割と合わせて表示する機能。 ワーク構成上リスク判定を行う為に用いられる。 各デバイスの持つ IPアドレスやMACアドレスに加え アセット管理 サイバー攻撃被害発生時や保守 /整備の際に各デバイスの情て、ベンダ名、通信プロトコル、ファームウェアバージョ 報を確認するためのアセット台帳とする為に用いられる。 ン等の詳細情報のリストを作成する機能。 検知したアラート内容や通信量等、DPI製品で取得した ビルシステムの現在の状況や過去からの推移状況を表やグラ ダッシュボード 情報を表やグラフで表示する機能。 フで可視化する為の機能。 5

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ ベースライン設定 ベースラインを作成する上で元となる情報としては、IP アド 　DPI 製品はシステム内の通信を正常通信として学習しベース レスやポート番号はもちろん、読み込み / 書き込み / 停止 / 再 ラインを作成する事により、ベースラインから外れる通信を異 起動等の制御コマンドや各種値をやりとりする L7 プロトコル 常として検知する事が可能な機能を持っている。IT システム ※5 の情報が欠かせない。しかし、各 DPI 製品における L7 プ では無数のデバイスが増えては消えてを繰り返し、その通信内 ロトコル対応状況にはバラつきが存在している。特に日本では 容も無限のパターンを持っているが、一方ビルシステムを含む ビルシステムベンダが L7 プロトコルの仕様を開示していない 制御システムの通信は通信元および通信先の組み合わせや通信 ことも多いため、各ベンダ独自のプロトコルは DPI 製品未対 内容が一定の周期性を持ち繰り返される事が多い。その為、正 応の場合が多い。 常通信をベースラインとして学習する事が異常検知に非常に有 上記内容を踏まえ、DPI 製品選定時には確認すべきポイントを 効である。 以下の表 3に記載する。 表 3 ベースライン設定の確認ポイント 確認ポイント 詳　細 ● 自分のビルシステム内で使用する L7プロトコルに対応しているか。 ● 独自プロトコルに対応する為の SDK(ソフトウェア開発キット )が用意されているか。 対応 L7プロトコルの種類 ビルシステムベンダが L7プロトコル仕様を公開しない場合、DPI製品をそのプロトコルへ対応させることは難しい。 しかし、その場合でも SDKが用意されていれば DPI製品提供ベンダの手によってプロトコル対応を実現させることも 可能である。 ● ベースラインに設定するプロトコル認識レベルを選択できるか。 一口に対応済みと言っても、そのレベルはさまざまであるが、実は認識レベルが高ければ高いほど良いというわけでは ない。レベルが高い場合には、正常通信の認定条件が厳しくなり、それだけ誤検知発生率が上昇する。重要なデバイス (データセンターの空調等 )のみを高いレベルで認識させるといったレベル選択の柔軟性があることが望ましい。 L7 プロトコルの認識レベル 認識レベルの例） －読み込み /書き込み等のコマンド認識まで対応 －読み書きされる値の認識まで対応 －L7プロトコル内の各フィールド全てに対応 ● ベースラインを簡単に修正する方法が用意されているか。 チューニング性 検知した通信が実際は正常通信であった場合や、実際には異常と判断されるべき通信がベースラインとして学習されて しまった場合に、誤り部分のみを簡単に修正できる方法があることが望ましい。 ※5 BACnet, LonTalk, Fox等のアプリケーションプロトコル 脅威インテリジェンス ビルシステムの脅威となる通信 異常の検知に関しては前述ベースライン設定が非常に有効な働 正常通信の条件でビルシステムの脅威となる通信 きをするが、脅威インテリジェンスを組み合わせて利用すると 検知した異常の内容をより詳細に知ることが可能となる。 ITシ ステムで利用される脅威インテリジェンスの中でも、ビルシス 正常通信 テムに対する攻撃検知で有効となるものは多いが、ITシステ ベースライン設定 脅威インテリジェンス ムでは脅威とならない通信がビルシステムで大きな脅威を振る 以正 うことがある。その例としては BACnetデバイス初期化や 外常の通 通信 LonTalk認証鍵更新等の危険な通信が挙げられる。つまり、 信 DPI製品選定時にはビルシステムに対する脅威インテリジェン 図1 異常検知ベン図 ( 有色部が検知対象 ) スの保有数も 1つのポイントとなっている。 6

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ ネットワークマッピング る。「被害デバイスの特定」で説明した通り、構成図はセキュ 　DPI製品には通信を監視する事で、ネットワーク構成図を作 リティだけでなく、デバイスやネットワークの整備 /保守にお 成する機能が備わっている。構成図に表示される各デバイスに いても有効である。ネットワークマッピング機能を試す場合に は、IPアドレスや通信プロトコル、ベンダ名、モデル名、ファー は、下記の観点を確認するべきである。 ムウェアバージョン等のデバイス詳細情報が合わせて記録され 表 4 ネットワークマッピングの確認ポイント 確認ポイント 詳　細 ● 自分のビルシステム内で使用する L7プロトコルに対応しているか。 デバイス詳細情報 デバイス詳細情報は通信プロトコル上でやりとりされる為、正しくプロトコルを認識できることは、モデル名やファー ムウェアバージョン等の情報の記録に必要な前提条件となっている。 ● モデル名やファームウェアバージョン等の詳細情報をどれだけ記録できるか。 ● 末端フィールドに近い部分まで自動で可視化できるか。 Ethernet通信の監視により、ネットワーク上層の中央監視から、コントローラ、Ethernet/シリアル変換ルーター、 物理デバイス (ファンコイルユニット、照明等 )までを可視化することが出来ると被害デバイスの特定やデバイスやネッ マッピング対象 トワークの整備 /保守の際に非常に有効なネットワーク構成図となる。 ビルシステム内の情報を DPI製品にインポートし、４階コントローラ -１は４階ファンコイルユニット -１の電源 ON/OFFと温度設定を制御している。等のビルシステム内固有の名称まで可視化できる事が最も望ましい。 アセット管理 出来る機能を持っている。表 4で示したデバイス詳細情報と 　DPI製品はネットワークマッピングで既に述べているデバイ マッピング対象の観点が全て一覧で出力される事で、強力なア ス詳細情報を含めてアセット一覧として表示 /出力することが セット管理ツールとなる。 ダッシュボード ダッシュボードを常に確認する必要が無いように、閾値を超え 　DPI製品はネットワーク監視で取得した情報（通信量やシス た場合にアラートを上げることが強力なセキュリティ対策とな テム内のデバイス種別、検知した異常の危険度等）を様々なグ る。この機能は、既存の中央監視の機能と重複していると考え ラフや表で表示する機能を持っている。 る人もいるかもしれないが、実はそれは間違っている。中央監 ビルシステム内で最も重要なデバイス（データセンタの空調 視による監視と DPI製品による監視では決定的な違いが存在 等）については、「４階サーバルーム空調の温度」といった末 する。 端フィールドの値をダッシュボードに記録し、オペレータが 7

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ 中央監視および DPI 製品における値の監視の違い 中央監視はコントローラが送信する通信を受信することによって”値”の監視を行う。 正常動作の例 ① コントローラはファンコイルユニット等の物理デバイスの値を周期等の特定条件で中央監視に送信している。 ② 中央監視から温度変更などのコマンドをコントローラ側へ送信することもある。 ③ 温度等の値が変更された場合、コントローラから中央監視には変更後の値が送信される。 中間者攻撃の例 　ビルシステムネットワーク内へ不正に物理接続した手のひらサイズの小型 PCにて中間者攻撃を行い、中央監視とコントローラ 間の通信に不正 PCが介在している状況で説明を行う。 ① 不正侵入した小型 PCからコントローラに対して”値”を異常値 (例 :温度設定 40℃)へ変更する命令を送信する。 ② コントローラから中央監視宛てに送信された物理デバイスの値 (例 : 温度 40℃)を、不正 PCが正常値 (例 : 温度 16℃)に改ざん して中央監視へ送信する。【中央監視上、温度は 16℃と表示される】 ③ 中央監視から温度変更コマンド (例 : 温度 14℃)をコントローラ側へ送信した場合、不正 PCがコントローラからの温度変更の 成功応答を偽造して中央監視へ返す。以降、②では温度を 14℃に改ざんする。 DPI製品を導入した場合には、(C)の様にネットワークスイッチを通過する通信全ての監視を行う為、上記中間者攻撃の例における ①～③の攻撃を異常検知する事ができる。さらに設定温度が閾値 (例 : 20℃)を超えたという具体的な検知内容を通知してくれる為、 被害からの復旧に向けて早急に対応する事が可能となる。 A） 中央監視 B） 中央監視 C） 中央監視 2 不正PC 3 DPI 製品 コピー 1 3 1 2 コントローラー コントローラー FCU-1 FCU-2 FCU-1 FCU-2 FCU-1 FCU-2 A) 正常通信、B) 不正PC侵入時、C)DPI 製品接続イメージ （FCU: ファンコイルユニット、SW: ネットワークスイッチ） 図 2 空調監視システムモデル 8

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ DPI の実践的活用例 ネットワーク監視の自動化に必要不可けるともいえる DPIの Defense」を用いて DPIソリューションの実践的活用例を紹 中で、本章では重要インフラも含めた制御システム内部に日本 介する。 国内で実際に導入 /運用されている実績を持つ「Silent 標準的なビルシステムのモデル 在している。中央監視と各サブシステム間の通信には BACnet と呼ばれる標準プロトコルが使われる事が多い。一方、末端 まず初めに標準的なビルシステムのモデルを以下に示す。この フィールド寄りのネットワークではほとんどの場合、各制御機 図では、空調、防犯などの各種サブシステムを制御するコント 器ベンダ固有の独自プロトコルが使われている。 ローラの上位に、各コントローラを統合監視する中央監視が存 監視端末 中央監視 遠隔監視 監視端末 中央監視サーバ 監視カメラ用ネットワーク(HTTP, RTSP etc) ネットワーク IPカメラ ビデオレコーダ Ｉ Ｐ ネ ッ 統合ネットワーク(BACnet、ベンダ独自制御プロトコル etc) ト ワ ー コントローラ コントローラ 保守点検 ク （空調システム） （入退室管理システム） ● 照明システム 業務端末 監視端末 監視端末 ● 水処理 / 衛生システム ● 変電 / 発電システム ● 防犯 / 防災システム etc 制御系ネットワーク 制御系ネットワーク 非 Ｉ Ｐ ネ 物理デバイス（Level0） ッ ト ワ ー ク 空調 セキュリティゲート 図 3　ビルシステムの標準的なモデル（全体像） 9

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ 標準的なモデルを示しはしたが、実際はビルごとに異なるネッ る方法が有効である。ビル内のネットワークで可視化すべき対 トワーク構成を持っている。各ビルシステムのネットワーク構 象となるデバイスの代表例を以下の表に示す。 成を把握する為にはビル内に流れる通信を DPI製品に入力す 表 5 ビルシステム可視化対象デバイス デバイス 役　割 コントローラの状態を監視する。各サブシステム内のコントローラへ命令を出し、物理デバイスの運転 /休止の切替 中央監視 えや運転モード変更を行う事も可能な場合もある。中央監視用のサーバとHMIが一体型で導入されている場合もある。 コントローラ (PLC, Icont) 空調、入退室管理等の各サブシステムに存在し、コントローラの下位に存在する物理デバイスであるファンコイルユ ニット (FCU)や外調器 (OAC)を監視 /制御する。 保守点検業務端末 (EWS) 中央監視やコントローラ等のデバイスの再起動やプログラム書き換え等の操作を行うソフトウェアの入った端末。 監視端末 (HMI/HIM) コントローラや中央監視の状態を画面上等にて監視 /設定変更する為の端末。 IP カメラ IPネットワークに接続されており、Webサーバや FTPサーバ /クライアント等を内蔵するカメラ。 ネットワークビデオレコーダ IPカメラで録画した映像をネットワーク経由で取り出し保存するためのストレージ。 ファンコイルや外調機、照明、センサ等。ほとんどの場合、IPネットワークではなく接点接続によりコントローラに 物理デバイス 監視 /制御される。 物理デバイスを除く上記表中のデバイスは現在ではほとんどの ワークスイッチ装置である。 場合 IP アドレスを持っており、保守・点検作業での利便性が 各サブシステムの例を以下に示す。 高い反面、攻撃者にとってもビルネットワークを偵察 / 攻撃し ● 入退室管理システム やすい環境となっている。そこで、まずはビルシステム内の ● IPカメラ IP アドレスを持つデバイスの可視化としてネットワーク構成 ● 空調システム 図を作成していく必要がある。ネットワーク構成図は、制御機 ● 照明システム 器の設定ミスやネットワーク障害、サイバー攻撃の被害を受け ● エレベーター た際に、その原因箇所の特定や復旧方法を導き出すために有効 ● 水処理 /衛生システム となる。Silent Defense の場合、構成図と併せて各デバイス ● 変電 /発電システム の OS やモデル名、バージョン、脆弱性の有無等の情報を保 ネットワークスイッチ装置から通信を監視するためには、ス 有する事ができる。 イッチのポートミラーリング機能を利用することが出来る。こ の機能により、既存通信に影響を与えることなく通信内容のコ 監視ポイント ピーを外部装置へ入力しネットワーク監視を実施する事が可能 となる。ポートミラーリング機能の実装されていないネット 　ビルシステムの構成上、ネットワーク監視を実施すべき箇所 ワークスイッチ装置を利用している場合には、装置の置き換え は中央監視システムと各サブシステム間の通信の流れるネット が必要となる。 10

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ ネットワークマッピング実例 バイスが通信しているということを可視化できることである。「表 1 ビルシステムセキュリティ対策ソリューション」の中ではネットワー ネットワークスイッチ装置を流れる Ethernet 通信をコピーして監視 ク監視の対象となる通信を取得する物理媒介は Ethernet ケーブルに できることは前述のとおりであるが、実は IPアドレスを持たないファ 限られると記載したが、実は BACnet のような制御プロトコルでは、 ンコイルユニット等の物理デバイス ( アクチュエーター ) を可視化し Ethernet 通信の内部に非 Ethernet のシリアル接続デバイスや接点接 てネットワーク構成図に加えることもセキュリティ対策で重要とな 続デバイス (物理デバイス )の情報がやりとりされている場合がある。 る。その理由の1つ目は、設定ミスやネットワーク障害、サイバー攻撃、 Silent Defense では、それらのデバイス情報を抽出しネットワーク コントローラの単純な故障等により問題が発生した際に、どこのコン マッピングを含め可視化や検知に利用することが可能である。 トローラがどこの物理デバイスと繋がっているかを構成図から確認で Silent Defense を利用して、IP デバイスから物理デバイスまで可視 きることである。2つ目は、IPデバイスだけでなく物理デバイスまで 化を行った際のイメージ図を以下に示す。 含めて、あるはずのデバイスが通信していないことや、無いはずのデ Selected nodes: 2 Building manag... fcu-2 10.0.0.1 Host fcu-2 1 Host details Address 10.0.0.3 / 4 / 01 / FCU-1 PLC BACnet router Host name fcu-1 Role FCU Labels analog_input=2（A会議室 温度設定） 10.0.0.2 10.0.0.3/4/01 10.0.0.3 analog_input=3（A会議室 温度計測） analog_output=2（A会議室 温度設定） binary_input=4（A会議室 運転） 0 binary_output=4（A会議室 運転） multi_state_input=1（A会議室 風量設定） FCU multi_state_input=2（A会議室 運転モード） multi_state_output=1（A会議室 風量設定） 2 multi_state_output=2（A会議室 運転モード） 2 devices ef-1 fcu-1 Purdue level 0-Process Criticality H 図 4　Silent Defense によるネットワークの可視化イメージ図 　ビルによっては、コントロールバスからフィールドバスまで バーターの詳細については後述する。 BACnet で管理を行う為に、BACnet/IP と BACnet/MSTP の変 換デバイス (BACnet ルーター ) を導入している場合がある。 アセット管理実例 BACnet/MSTP は RS-485 上で行われるシリアル通信であるが、 可視化したデバイスを一覧で確認したい場合には、CSV 形式で Silent Defense ではこの RS-485 で接続された BACnet/MSTP 出力することにより、アセット管理台帳として保管するというこ デバイスも可視化することが可能である。 とも可能である。ビルシステム内のデバイスを保管する事はセ 　物理デバイスに関する名称や設定内容は各ビルによって異なる キュリティ対策だけでなく、各デバイスの保守や資産管理の意味 ため、物理デバイスの名称等の情報を Silent Defenseにインポー でも重要であるため、ネットワーク監視を行うだけで台帳を作成 トする方法として弊社開発のコンバーターを提供している。コン できる機能はユーザにとって利点の多い機能となっている。 IP address Nested address MAC addresses MAC vendors Host name All host names Role Vendor/model Client protocol(s) Server protocol(s) Labels Purdue level 10.0.0.1 [00:25:5C:9D:65:CE] [Nec] [] bms ASHRAE [BACnet (UDP 47808)] [] [Device_ID=100] LEVEL2 10.0.0.2 [00:10:9C:3A:00:2F] [M-System] [] plc M-System [BACnet (UDP 47808)] [BACnet (UDP 47808)] [Device_ID=200] LEVEL1 10.0.0.3 [00:E0:5D:00:2B:0A] [Unitec] [] plc Unitec [BACnet (UDP 47808)] [BACnet (UDP 47808)] [Device_ID=210] LEVEL1 10.0.0.3 10.0.0.3 / 4 / 01 [] [] mstp-io [mstp-io] plc BTR Netcom (BMT-DIO4/2) [BACnet (MSTP)] [BACnet (MSTP)] [Application_Softwar... LEVEL1 10.0.0.3 / 4 / 01 / light-1 [] [] light-1 [light-1] light Panasonic LEVEL0 10.0.0.3 / 4 / 01 / light-2 [] [] light-2 [light-2] light Panasonic LEVEL0 10.0.0.3 / 4 / 01 / ef-1 [] [] ef-1 [ef-1] ef M-System LEVEL0 10.0.0.3 / 4 / 01 / fcu-1 [] [] fcu-1 [fcu-1] fcu M-System LEVEL0 図 5 アセット管理台帳 11 Supervisory control Process control Process

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ ベースライン設定および異常検知の実例 正常通信を定義し、そこから外れた通信の検知を行うベースラ イン設定による検知が非常に有効となる。これはタイミングに 　ここから異常検知に関しての説明を行う。ネットワーク監視 よって通信内容や通信相手が全く異なってしまう ITシステム については、通信の正常状態を定義しそこから外れる通信を検 とは大きく異なる点の一つである。Silent Defenseを学習モー 知する事で異常の検知が可能であることを説明してきた。ビル ドにすると、流れてきた通信内容をもとに、図 6のようなホ システム内では、システムの制御 /監視を目的とした通信が行 ワイトリストを自動で作成することができる。また、作成され われているため、通信相手や通信内容は限定的である。つまり たベースラインをホワイトリストの形で 1行ずつ確認するこ 図 6ホワイトリスト (ベースライン )学習後 とができるため、ユーザ側で検知条件を明確に把握することが トリストとして登録されている。2行目のルールを例に挙げて できる。ホワイトリストには、IPアドレスや通信方向、ポート、 説明すると、IPアドレス 10.0.0.1から 10.0.0.3宛の UDPの プロトコル等の単位で正常通信が定義されている。ホワイトリ 47808番ポートを利用する BACnetにて” ストを学習モードから検知モードへ切り替えると、ホワイトリ ConfirmedRequest EventNotification”を含む７つのコマン ストに存在しない通信が発生した際に、アラートを上げる事が ドが送信されていることを学習している。各ルールをクリック できる。本ホワイトリストは Silent Defenseの LAN CPとい する事で、学習されたコマンドの内容を確認する事も可能であ う機能を利用している。ホワイトリストの列に”L7 message る (図 7参照 )。 type”とあるが、ここには L7プロトコルのコマンドがホワイ 図 7 ホワイトリスト L7メッセージタイプ 12

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ 　ホワイトリスト外の不正通信が発生した場合には、アラート ラートの例を記載する。 を上げてユーザが異常の発生に気付くことが出来る。以下にア 図 8 アラート例 　上記アラートの Alert Detailsを読むと、ホワイトリスト外 クに接続された不正小型 PCを物理的に探し当て取り除くとい の端末からM-System製の PLCに対して BACnet通信が行 う作業になる。 われたために上がったアラートであることが記されている。ま また図 8アラート例の場合には、添付された PCAP(図 9)から、 た、送信元MACアドレスを確認すると、Raspberry Pi(手の 送信元 IPが 10.0.0.240、宛先 IPが 10.0.0.3、Object type ひらサイズの PC)であることを示している。この場合、ビル が Binary Ouput、Instance numberが 4の組み合わせである 内に小型 PCを持ち込まれ何らかの BACnetコマンドを送信 事が分かる。図 4のマップを確認すると、当該組み合わせが されたと推測できる。アラートにはパケットキャプチャ 物理デバイス "FCU-1"の”運転“つまり ON/OFF設定を変更 (PCAP)が添付されているため、PCAP内の BACnet Object する命令が不正小型 PC(10.0.0.240)から送信されたという事 typeおよび Instance Numberを確認し、Silent Defenseの が判明する。したがって、ビルシステム内の不正小型 PCが見 マップと照らし合わせる事でアラートの上がった不正通信の対 つかるまでは、”会議室ファンコイル“を手動操作に切り替え 象物理デバイスが判明する。次に行うべきは、ビルネットワー て動作させるという対処を取ることも可能となる。 図 9 PCAP( アラートに添付される不正通信 , Object type=’binary-output’, Instance number=4) 13

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ 　ビルシステム内で重要な設備に関しては、その設備の現在 を正常値に書き換えてしまう②ことが可能なのである。つま の”値”※2まで可視化して監視を行うべきである。中央監視を り、1つ例を挙げるとサーバルームの冷房を OFFにすると同 利用して同様の監視が行えると思うかもしれないが、中央監視 時に中央監視には冷房が正常に動作しているように見せかける による監視と Silent Defenseの様な DPI製品による監視では ことが出来るという意味である。これに対して、DPI製品によ 決定的な違いが存在する。中央監視はコントローラが送信する る”値”の監視では実際にビルシステム内部で流れている通信 通信を受信することによって”値”の監視を行う。しかし攻撃 自体を監視するため、先ほどの攻撃があった際に①②の攻撃通 者はコントローラに対して”値”を異常値へ変更する命令①を 信を検知することが出来るのである。 送信すると同時に、コントローラが中央監視へ送信する”値” ※2 ここでいう”値”とは空調の温度や、風量、風向、照明の ON/OFF等 の事を指す。 図10 重要設備の”値”監視グラフ( 空調運転状態監視の例 ) 　なお上記グラフで温度計測の値が 30℃を上回った場合には とが可能であるため、実際には監視画面の前に張り付いて値を アラート通知を行うといったように値に正常範囲を設定するこ 目視で監視する必要は無い。 14

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ 脅威インテリジェンス実例 時代がやってきている。ビルシステム内部では、空調や入退室 管理などの各サブシステムの制御のためにネットワークが利用 異常の検知までに関してはホワイトリストが非常に有効な働き されている。セキュリティ対策の追加を検討する為にも、サイ をするが、脅威インテリジェンス ( ブラックリスト ) を組み合 バー攻撃被害を受けた後の復旧を行う際にも、まず第一歩とし わせて利用する事により、検知した異常の内容をより詳細に知 てビルシステム全体のネットワーク構成を図として可視化する ることが可能となる。 ことが必要となる。IP アドレスを持つ各デバイスはもちろん は、ビルシステムに対する脅威インテリジェ であるが、末端に存在し IP アドレスを持たない物理デバイスSilent Defense ンスの保有数に優れている。以下に ( ファンコイルユニット、室外調機等 ) まで含めて可視化するSilent Defense が保有す るブラックリストの例を抜粋して記載する。下記は、ビルシス ことにより、サイバー攻撃被害時の影響範囲や復旧方法の特定 テム特有の脅威に加えて、ビルシステムへの攻撃に利用され得 が容易となる。複数ベンダによる構築やシステム改修等の影響 る システムと共通の脅威も含んでいる。 により、多くのビルシステムではシステム全体の最新のネットIT ワーク構成を把握することは難しい状況となっている。そこで ● BACnetデバイス /ルーターなりすまし攻撃 実際にシステム内に流れる通信をもとにネットワーク構成の可 ● BACnetデバイス初期化等の危険コマンド 視化を行う”ネットワーク監視”が必要となる。また、サイバー ● LonTalk認証鍵更新等の危険コマンド 攻撃や制御の設定ミス等の原因で各サブシステムに異常が発生 ● PLC/ネットワークスイッチ等のデフォルトパスワード利用 ● 等のアンセキュアなプロトコルの利用 した時には、ほとんどの場合、ビルシステム内の通信は正常時 Telnet ● WannaCry/NotPetya等のマルウェアの不正通信 とは異なる挙動を示している。ビルシステム内の正常時と異な る通信、つまり異常通信を検知する為にもビルシステム内の 最後に ネットワーク監視が必要となるのである。ネットワーク監視を 行う際のノウハウの習得や運用にかかるコスト軽減のための方 ビルシステムに対するサイバー攻撃はビル設備の物理破壊やビ 法として、DPI ソリューションを用いたネットワーク監視自動 ル内で行われる業務の妨害等の影響を生む為、 ビルシステムに 化が存在する。ビルシステムに関わる全ての人たちがサイバー 関わる全ての人にとって、システム自体の知識に加えてサイ セキュリティに対する知見を深め、対策導入を検討する際に本 バーセキュリティ対策に対しても一定水準の知識が求められる 誌を役立ててほしい。 15

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ 提供ソリューション Silent Defenseソリューション 導入し、産業システムをプロセスではなく、ネットワークレベ ルで解析し、ネットワーク可視化・セキュリティ検知が可能で ForeScout 社（旧 SecurityMatters 社）の Silent Defense ソ ある。 リューションは産業システムに影響を与えないパッシブ構成で 構　成 機能概要 ↑　IT ネットワーク コマンド ↓　OTネットワーク センター Deep Packet Inspection パケット解析 HMI SCADA ネットワーク可視化 情報収集 設定情報配信 ミラーポート セキュリティ検知監視センサー 制御機器 センサー 機　械 ロボット 図11 SilentDefense 概要 16

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ ネットワーク可視化 テム間のプロトコルなど詳細なアセット情報をネットワーク経 ネットワークマップ機能では、スニフィングしたパケットによ 由で得ることができる。これにより制御システムにつながるシ り、モデル名、ファームウェアバージョン、脆弱性情報、シス ステムの洗い出しと管理が可能である。 図12 ネットワークおよびアセット可視化 セキュリティ検知 イロードを解析することにより L7レベルでホワイトリストを Silent Defeseのセキュリティ検知機能ではブラックリスト・ 自動生成することが可能である。つまり、ホワイトリストを作 ホワイトリストの両方の検知手法を活用している。実環境の 成する際に、ルールを 1行ずつ手動で登録するよう必要は無い。 ネットワーク通信をパッシブに監視し、パケットのヘッダやペ ブラックリスト ホワイトリスト 動作してはいけない通信・端末をリスト化 動作しても良い通信・端末をリスト化 ・インターネットへの接続環境が不要 ・ルール設計する必要がない（即時利用可能） メリット メリット ・決まった通信が繰り返し発生する制御システ・検知した際に原因が把握しやすい ムに対して特に有効である 　例：既知のマルウェア名／攻撃名 ・未知の攻撃でも「リストにない」ものとして検知可能 ・ブラックリストの更新のため、インター 　ネットへの接続環境 /ソフトウェアのアッ ・ホワイトリストのルール生成に時間 /工数がかかる デメリット 　プグレードが必要 デメリット ・機能や構成変更時に設定変更が必要 ・未知の攻撃が検知が困難 表 7 ブラックリストとホワイトリストの比較 17

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ Silent Defenseにおける具体的なセキュリティ検知機能は以下になっている。 機能名 概　要 検知内容 □ Man-In-The-Middle攻撃の検知 　・ARPスプーフィング ネットワークレベルのブラックリスト 　・ICMPリダイレクト● Built-in Module 　・DHCPスプーフィング● ForeScout 社で定義された不正な通信を低レイヤ（ネットワークレベル） □ プロトコル仕様に違反する異常パケットの検知 　で振る舞い検知により自動で外部脅威を検出 　・Malformed Packed □ 探索活動の検知 　・ポートスキャン □ 汎用的な産業システムにおける外部脅威 スレット ● シグネチャーベースのブラックリスト 　例：Stuxnet ライブラリ機能 ● ForeScout 社で定義された不正な通信をシグネチャーベースで自動で脅威を検出 □ 汎用的な操作ミス □ 汎用的なネットワーク機器の設計ミス ● LAN CP 通信方向および L7プロトコルメッセージ (読み込み /書き込み 等 )ベースのホワイトリスト □ 不正端末 ● 事前に学習した上記ベースを元に不正な /異常な通信を検知 □ 不正通信 □ 高度な攻撃者のネットワーク侵入 ● L7通信内容（制御値を含む各ビット全て )をベースとしてホワイトリスト □ 高度なマルウェアの侵入拡大 DPBI ● 事前に学習した上記ベースを元に不正な /異常な通信を検知 □ システム管理者の操作ミス □ ネットワーク設計者のコンフィグミス ● SD Script 独自ロジック（複数条件の同時発生 /不正なシーケンスの順番等）による検知 ● 独自プロトコルや独自の検知ロジックを柔軟に追加開発 表 8 Silent Defense 検知エンジン ビルシステムにおける導入イメージ 建　物 管理会社 ビルシステム制御室 サブシステム コマンド 保守 センター メンテナンス ・入退館システム サービス ・空調システム ・照明システム SCADA ・音響システム 警備会社 監視センサー セキュリティ サービス サーバルーム 部　屋 空　調 照　明 入退室 サーバ 空　調 照　明 入退室 入退館 図13 Silent Defense 導入イメージ 18

ビルシステムに関わる全ての人のためのサイバーセキュリティ対策ガイド ～脅威にさらされてからでは間に合わない～ 追加オプション：Macnica Physical Finder Macnica Physical Finder を利用して、Silent Defense にビル 内の情報をインポートする事により、図 16 のように詳細情報 BACnet による操作の対象となる物理デバイスを Silent としてアドレス (192.168.1.200 / FCU-1 等 ) やラベル ( 温度 Defense 上で可視化する為に、ビルシステム情報を物理デバ 設定 ) を付与してビル内に存在するファンコイルユニットなど イス可視化用 SD script へ変換する為のシステム（名称： の物理デバイスまで可視化を行う事が可能となる。 Macnica Physical Finder）を弊社で開発し提供している。 Macnica Physical Finder利用の流れ 1 フォーマットに従って CSVファイル内にビル情報を記載 ※CSVファイル作成には、ビルシステムを構築したベンダに作成を依頼するという方法が挙げられる。 2 コンバーター上に、①で作成した CSVをアップロード 3 物理デバイス可視化用 SD Scriptをダウンロード 4 Silent DefenseのWebインターフェースから③で取得した SD Scriptをアップロード SD script 置　換 インポート 172.21.141.5; 照明；4階；0；1；… SilentDefense 図14 Macnica Physical Finder 利用フロー BACnetポイント 現在値 出力値 状態 デバイス名 場　所 動　作 Dev. Object type Inst. Dev. Object type Inst. Present value ユニット フォルダ タグ ユニット フォルダ タグ 0 1 2 3 4 5 Light-1 3Fフロア 点灯 2 3 1 2 4 1 消灯 点灯 Light-2 4F事務室 点灯 2 30 2 2 4 2 点灯 点灯 EF-1 B1駐車場 運転 3 0 1 3 1 1 停止 運転 FUC-1 A会議室 温度設定 3 0 2 3 2 2 FUC-1 A会議室 温度計測 3 0 3 3 FUC-1 A会議室 運転 3 3 4 3 4 1 停止 運転 FUC-1 A会議室 風量設定 3 13 1 3 14 1 自動運転 弱運転 中運転 強運転 FUC-1 A会議室 運転モード 3 13 2 3 14 2 自動運転 弱運転 中運転 強運転 図15 ビスシステム情報フォーマット 19