東武鉄道株式会社

"国内の交通インフラ関連企業・団体で構成される交通ISACの仮運用にもトレンドマイクロは積極的に参加しており、非常に心強い存在です"

東武鉄道株式会社
ICT推進部
課長
波田野 裕 氏

"問い合わせへの迅速な対応など、身近で丁寧なサポートを行ってくれるという点でトレンドマイクロソリューションならOTで利用しても安心感があります"

東武鉄道株式会社
ICT推進部
課長補佐
塩野 智之 氏

"システムへの影響を最小化できるSafe Lockという選択肢があったことで、運行管理システムのセキュリティ強化に成功しました"

東武鉄道株式会社
鉄道事業本部 施設部
信号保安課
課長補佐
菅野 献太郎 氏

"OT領域のセキュリティ強化はこれで終わりではありません。トレンドマイクロには各システムの特性に合った最適なソリューションの提案を期待しています"

東武鉄道株式会社
鉄道事業本部 施設部
信号保安課
中村 聡 氏

東京、埼玉、千葉、栃木、群馬の関東1都4県に、総営業キロ数463.3kmにもおよぶ鉄道路線を有する東武鉄道。運輸事業を中核に、沿線地域の価値向上を図るための商業施設の開発や運営など、幅広いビジネスを手がけている。

近年、製造業の工場やエネルギープラントなどで、制御システム、いわゆるOT（Operational Technology）領域のセキュリティ強化が大きな課題となっている。同社の運行管理システム（ダイヤ情報をもとに信号の自動制御を実施）も同様だ。鉄道運行の根幹を担うミッションクリティカルなシステムであることから、システムはクローズドなネットワーク環境で運用され、システム室への入室などについても厳格な管理を行っている。

しかし、2020年を控えて、社会インフラを狙うサイバー攻撃のリスクが高まる中、国は社会的な影響度の大きい鉄道事業者に対して、さらなるセキュリティの強化を求めている。このような背景のもと、同社経営陣はOTセキュリティの強化を重要な経営課題と判断し、新プロジェクトの立ち上げを指示した。

プロジェクトメンバーは、ITとOT双方の部門から選抜されることになった。適切なセキュリティを実装するには、双方の知見が必要との判断からだ。

「とはいえ、最初はOTの誰に声をかければよいのかもわからない状況。まずは相談できる相手を探すところから始めました」とIT部門からプロジェクトに参加し、リーダーを務めた同社の波田野 裕氏は手探りのスタートだったことを明かす。

メンバーが固まり、運行管理システムのリスクの洗い出しに着手した後も手探りは続いた。

例えば、運行管理システムに改正したダイヤ情報を反映する際などには、USBメモリを利用する。「もちろん、事前にウイルスチェックを行っていますが、Stuxnet^※の事例からも明らかなように、そこから脅威が侵入してしまうリスクを完全には否定できません」と波田野氏。一方、OT部門で運用を担当する同社の中村 聡氏は「クローズドな環境で運用しているから安全というのが、これまでの考え方。それでも危ないのだと頭を切り替えなければなりませんでした」と打ち明ける。

また、改めて明らかになったリスクもあった。

運行管理システムは、なによりも可用性重視。膨大な資金を投入して、性能や可用性に関する細かなチューニングを行っていることから、10年以上の長期にわたりそのまま利用することが前提で、可用性に影響を与えるOSアップデートやパッチ適用を行うことはできない。

「とはいえ、それが前提のシステムですから、OSの脆弱性が攻撃された場合などのサポートも保守に含まれているものと思い込んでいました。ところが、OT機器ベンダーに確認したところ、それは保証外という回答。その場にいた全員が一気に青ざめました」とOT部門でインフラ構築を担う同社の菅野 献太郎氏は話す。ITとOTのメンバーが協力しながら共有した、可用性重視、レガシーOSで稼働という運行管理システムならではの事情、洗い出したリスクにいかに対応するか。同社は、複数のソリューションを候補に挙げて比較を行った。

リスクを抱える運行管理システムを保護するには、どのような対策が最適か。

まず1つめは、USBメモリ型のウイルス対策ソリューションだ。

「この対策でハードルとなったのがレガシーOSへの対応です。今はソリューションがOSに対応していても、将来、パターンファイルの供給が終了してしまう可能性がある。長期間の継続性が担保できなければ採用できません」と同社の塩野 智之氏は説明する。

2つめは、ネットワーク上で脅威の侵入を検知するゲートウェイ型の対策だ。だが、この場合は通信の遅延リスクがあり、可用性の問題があった。

そこで、同社が最終的に採用したのがホワイトリスト型の対策であるトレンドマイクロの「Trend Micro Safe Lock™」（以下、Safe Lock）である。

「パターンファイルが不要でレガシーOSでも継続性を担保できる。また、システムの可用性への影響もない。我々にとっては唯一の選択肢といえるものでした」と波田野氏は語る。

また、トレンドマイクロに対する安心感も採用を後押しした。IT領域でトレンドマイクロソリューションの利用実績があっただけでなく、トレンドマイクロが運輸業界のセキュリティ向上を目的にした業種交流会を主催していたこともあり、鉄道事業の事情を踏まえたサポートを期待できると考えたのである。

制御システムを狙ったマルウェアの代表的なもの。USBメモリを介してWindowsの脆弱性を攻撃する。過去にイラン国内の核燃料施設に被害をもたらした。

Safe Lockは、あらかじめ許可リストに登録したアプリケーション（実行ファイル）のみの実行を許可。システムを特定用途化（ロックダウン）することで、脆弱性攻撃などによる不正侵入や不正実行を防止する。システムへの負荷が避けられないウイルススキャンが発生しないといった特徴から、高度な性能や可用性が求められるOT領域のセキュリティに最適なソリューションと評価され、幅広く利用されている。

同社はSafe Lockを導入するにあたり、運行管理システムの運用ポリシーも見直した。具体的には、USBメモリなどのリムーバブルメディアを利用できる端末を最小限に絞り込み、それらの端末で可用性に影響がないことを確認しつつ、Safe Lockの導入を路線ごとに段階的に進めている。

セキュリティ対策の追加という変更がシステムに加わることで、現在、サポートを受けているベンダーの保守が受けられなくなるという可能性もあったが、トレンドマイクロが保守ベンダーと調整し、継続してサポートを受けられる環境を整えた。「国内の広範なメーカーと協力関係にあるトレンドマイクロならではの対応だと感じています」と塩野氏は言う。

なお、東武鉄道がSafe Lockの採用を決めた後、内閣サイバーセキュリティセンター（NISC）が推奨する制御システム向けセキュリティ対策の1つにホワイトリスト型対策が加えられた。「我々の判断、進んでいる方向は間違っていなかったと改めて感じ、安心しました」（波田野氏）。

今後も東武鉄道では、OT領域のセキュリティ強化を経営課題と位置付けて積極的に取り組んでいく。例えば、次期運行管理システムの開発においては、企画、設計の段階からセキュリティを念頭に置く考えだ。

それを見据えた体制作りにも取り組んでおり、OTに携わっていたメンバーをIT部門に異動させ、双方の知見を持つ人材を育成するといった取り組みも進めている。実は塩野氏は、その先駆けとなる存在。「先日、CSIRTの運用を開始しましたが、ITとOTのメンバーが参加し、幅広くインシデント対応を行っていける体制としています」と塩野氏は紹介する。

同社は経営判断のもと、ITとOTメンバーの密接な連携を実現し、同時にトレンドマイクロのソリューションとサポートを有効活用することで、OTシステムのセキュリティ強化に向けた大きな一歩を踏み出している。

• 製品・サービスの導入効果は、ご利用企業・組織の方の声に基づくものであり、お客さまご利用状況により効果は異なります。
• 記載内容は2019年9月現在のものです。内容は予告なく変更される場合があります。