米欧を中心に、これまでプロセス制御の中核となってきたDCS(分散制御システム)の刷新を図り、標準をベースとしたオープンでセキュアで相互運用が可能な次世代プロセス制御アーキテクチャの開発が進んでいる。O-PAS (オープン・プロセス・オートメーション・システム)と呼ばれるこのアーキテクチャの標準化の作業を進めるOPAF(オープン・プロセス・オートメーション・フォーラム)には現在、世界のプロセスOT/IT業界から88社が参画し、2019年1月にはO-PAS 標準V1.0 予備的標準版(プレリミナリ・スタンダード)を公表した。この標準V1.0の中には、業界が開発を目指す基本的なO-PAS技術アーキテクチャ(設計基盤)とともに、サイバーセキュリティに関わる開発の基本方針が含まれている。これによって、世界のプロセス・ユーザ企業が追求する近未来のICS(産業制御システム)サイバーセキュリティ対策の要件と開発の方向性が初めて具体的に明らかにされた、といえるだろう。
ARCフォーラム2019での発表
この標準V1.0の概要は、OPAFの標準化活動を推進中の会員企業によって、2月初旬に開催されたARCインダストリ・フォーラム2019で発表された。オープングループ(The Open Group)の予備的標準の位置づけとなるO-PAS 標準は、複数のベンダから供給されるコンポーネントから構成されるシステムの開発を、カスタム統合なしに実現することを目指している。
構成は、第1部が技術アーキテクチャ概要、第2部がセキュリティで、第3部から第5部は規範的インターフェース仕様を規定しており、これには、それぞれプロファイル、接続性フレームワーク(OCF)、システム管理、が含まれる。その中から、このブログでは話題をサイバーセキュリティの標準化に絞り、その概要を以下に紹介したい。
O-PAS の3要件
標準V1.0セキュリティの概要は、OPAF 技術WG、セキュリティ分科会共同委員長のカミロ・ゴメス(Camilo Gomez)氏から発表された。ゴメス氏は、ヨコガワ・コーポレーション、US技術センタのグローバル・サイバーセキュリティ・ストラテジストである。同氏は、O-PAS開発が産業システムサイバーセキュリティを高度化する機会ととらえ、数あるOPASの要件の中から3件を主要な課題として提起する。すなわち
(1)(石油・ガス業界のみならず)複数のプロセス業界にわたって適用可能な制御アーキテクチャであること
(2)(後からの追加対応策でなく)本性的にデバイス設計段階から組込み適合が可能なセキュリティであること
(3)(既存設備に対してもセキュリティ層を実現すべく)既設・新設を問わず各種設備に適用可能であること、である。
O-PAS 参照モデル
O-PASが採用する参照モデルの中枢となるのは、デジタル通信ハブとしての接続性フレームワーク(OCF)であり、これは、セキュアで相互運用可能なハード/ソフトウエア通信である。この層は、確定的通信で、プロセス制御に要求されるサービス品質をシステム上に展開することを可能にする役割を担う。
他方、これに接続する分散型ロジックシステムがあり、従来はDCSワンボックスがこの役割を果たしていた。これに対してO-PASでは、機能の分散処理を多数のインターコネクト機能で置き換える。実際の制御環境では、コンポーネントの議論となるが、コンポーネントは物理的デバイスに限らない。O-PAS 参照モデルではこれをDCN(distributed control nodes: 分散制御ノード)と呼んでいる。
.jpg)
このノードは、DCP(分散制御プラットフォーム)とDCF(分散制御フレームワーク)の2要素から構成される。この構成を採用することによって、システムは相互運用が可能となり、アプリケーションをほとんどのベンダーシステムのユーザ間で移植可能に融通できるようになる。すなわち、この構成によりソフトウエアのポータビリティを確保し、異なるハードウエア・プラットフォームへの移行を容易にする。
また、DCNノードは物理的デバイスである必要はなく、ソフトウエア開発環境で普及しているコンテナ技術による仮想マシンであっても構わない。DCN は、既設のシステムを含むI/O と接続連携する。その仕組みを通じて、DCN は、セキュリティの共通セットを既設、新設を問わずシステムに提供するよう設計される。
O-PAS と既存の制御システムとの相違点
サイバー脅威が存在しなかった時代に誕生した従来のDCSには、当然ながら、サイバーセキュリティに有効な機能が組み込まれるようには設計されていない。このため、近年のサイバー脅威の増大に対して、プラント運用側の対策は常に処方的に後付けで防御策を施すことになる。これが運用中のプロセスプラントでは容易ではない。
O-PAS が従来の制御システムセキュリティと最も異なる点は、O-PAS ではDCNアーキテクチャの内部・外部インターフェースに細部まで配慮して本性的適合型セキュリティを組込んだ設計を採用するところにある。
.jpg)
具体的には、DCN 内部接続ではアプリケーションからDCFサービスへの接続、DCPへの接続およびその他サービスをサポートするすべての要素ごとにセキュリティインターフェースを備える。これらはいずれも、セキュリティ特性を実現するための構成であるが、その中には機能要件として、認証管理やID 管理システムなど外部サービスとの接続を要求するものも含まれる。このため、これら外部のセキュリティ管理ツールとの接続用にもセキュリティインターフェースを持つ構造となっている。さらにまた、他の外部DCNとつながるための相互接続にもセキュリティインターフェースが標準で設けられる。
エンドユーザ企業のセキュリティ要件と標準規格との対応
O-PAFセキュリティ分科会は、ユーザ企業とOPA会員企業からセキュリティに関する要求を収集し、リスト化した。その要求をまとめると、
(1)O-PAS 標準の目標にかなう方向で既存の業界標準規格を活用すること
(2)O-PASコンポーネントは、システムオーナーの決定に従って、業界標準規格で定められているセキュリティレベル(SLs)を満たすかこの基準を超える(コンポーネントに加え、インターフェース相互運用可能なセキュリティレベルを満たす)ことが求められること
(3)O-PAS標準は、セキュアなプログラミングの実践と規制を用いることでO-PAS 仕様コンポーネント開発に役立つこと、に集約される。
セキュリティの機能性は、コンポーネントに組み入れられるだけでなく、プラントの実運用に即して継続的に実現される必要がある。これらの視点から、標準規格ベースのモデルとしては、デバイスやシステムに搭載されるセキュリティ機能の要件としてISA/IEC62443-4-2 標準が、またそのセキュアなコンポーネントを開発する手法ではISA/IEC62443-4-1 標準が適用可能であることを確認した。O-PASセキュリティの範囲としては、このV1.0ではDCNコンポーネントレベルの開発に焦点を絞っており、標準規格もISA 62443シリーズの全体ではなく、デバイス・ライフサイクル中のシステムとコンポーネント開発に関わるISA 62443-3-3、同62443-4-1、同 62443-4-2 の範囲に限定される。
このように、O-PAS標準V1.0 においては、セキュリティの要件としてISA/IEC 62443 標準の一部を取り入れたが、これとともに、セキュリティの機能性では、接続性フレームワーク(OCF)でOPC-UA を、またシステム管理でレッドフィッシュ(Redfish)を標準として採用しており、そのそれぞれとISA/IEC 62443 間のマッピングが図られている。
セキュリティは相互運用性のイネーブラー
ゴメス氏は、ARCフォーラムで「O-PAS標準のセキュリティを検討する過程で、セキュリティが相互運用性を実現するためのイネーブラーであることに気づかされた」と語った。O-PASにおいて、もしもセキュリティ管理対象となるレベルに関してコンポーネンツ間に齟齬があれば、相互運用性は実現できないことになるからである。
以上が、O-PAS標準V1.0予備的標準版におけるセキュリティの発表概要である。セキュリティを後付けにせず、本性的適合型のセキュリティのコンポーネント組込みを実現する仕組みが標準化される一方で、これを採用するパイロットユニットのプロトタイプ開発が現在、エクソンモービル(ExxonMobil)、ロッキード・マーティン(Lockheed Martin)、エンジニアリングのウッド・グループ(Wood Group)を中心にサプライヤ9社も参加して進行している。次世代オープン・プロセス・オートメーション・システム開発のなかで、ユーザ企業の強い要望をもとにスタートした次世代サイバーセキュリティ開発の今後の推移を見守りたい。