View
0
Download
0
Category
Preview:
Citation preview
事業者から見た制御システムセキュリティ(BAシステムを事例として)
2012年2月23日
森ビル株式会社
BA(Building Automation) System の現状
BAとは、オフィスビルのあらゆる機器を自動的に制御・監視するシステム
・空調・照明・動力(コンセント)・防災(火災警報・排煙等)・冷温水の供給(個別空調等)・EVの運行・セキュリティ(ドアの開閉、ICカード管理)
六本木ヒルズ森タワー防災センター
・セキュリティ(ドアの開閉、ICカード管理)・監視カメラ
(Building and Energy Management System)BEMS
省エネルギー室内環境の監視自動制御の性能検証
(最適化運転・制御についてはこれから)
六本木ヒルズ森タワー防災センター
六本木ヒルズ森タワー防災センター
六本木ヒルズ森タワー防災センター
(参考) 火災発生時の制御の流れ・・・標準的な場合
火災発生
火災報知機発報(スプリンクラー作動)
2. 館内放送
当該フロアー・直上フロアーからの避難開始
1. スプリンクラー作動
警備員・係員現場確認
(スプリンクラー作動)
防災センターで発報
実際の火災と確認
消防への通報
3. 当該フロアーの空調停止
4. 〃 排煙開始
5. 非常階段の加圧
6.エレベーターの制御(消防優先)
からの避難開始
※ 停電時 電気錠は全て開放
BAシステム詳細
G/W G/W G/W
DBサーバー 中央監視装置(SCADA)
TCP/IP ,OPC,BACnet
メインバス
空調系
センサー
熱源機器
PCU
VAV
空調自動制御系
キュービクル
キュービクル
蓄電池設備
発電機設備
受変電設備系
動力盤
動力盤
電灯盤
電灯盤
動力・照明系
電灯盤
LonWorks
フィールドバス
BAシステム詳細
G/W G/W G/W
DBサーバー 中央監視装置(SCADA)
TCP/IP ,OPC,BACnet
メインバス
空調自動制御系 受変電設備系 動力・照明系フィールドバス
電灯盤
電灯盤
フロア単位で完結
1. ハード面での問題
2) ビルの機器は全てスケジュール運行。
1) インターネットの出口は何重にもセキュリティをかけているが、USBの登場により、裏口は無施錠状態。
BAシステムが抱えるセキュリティの問題点
CPUの稼働率が一時的に高まるウィルスチェックソフトが導入できない。
3) ビルの機器は、原則、年に一度の定期点検時以外は止めることができない。
比較的危険度の低いウィルスに感染した場合でも、駆除するのは定期点検を待つ以外にない。
BAシステムが抱えるセキュリティの問題点
2. 運用上の問題点
現場係員のITに関する知識レベルがまだまだ低く、セキュリティに対する意識が低い。
cf. ビルの現場係員に要求される法的資格 (15種類)
・一級管工事施工管理技士 ・技術士・技術士補
・建築物環境衛生管理技術者
・電気主任技術者(第1種・第2種・第3種) ・電気通信主任技術者
・電気工事士(1種・2種) ・一級電気工事施工管理技士
・ボイラ―技士(特級・1級・2級) ・危険物取扱者(甲種・乙種1~6類)
・高圧ガス製造保安責任者(冷凍機1種・冷凍機2種・冷凍機3種)
・消防設備士(甲種1~5類・乙種1~7類) ・自衛消防技術士
・公害防止管理者(大気3種)
・エネルギ―管理士(熱管理士) ・衛生管理者
BAシステム詳細
G/W G/W G/W
DBサーバー 中央監視装置(SCADA)
TCP/IP ,OPC,BACnet
メインバス
・一級管工事施工管理技士 ・技術士・技術士補
・建築物環境衛生管理技術者
・電気主任技術者(第1種・第2種・第3種) ・電気通信主任技術者
・電気工事士(1種・2種) ・一級電気工事施工管理技士
・ボイラ―技士(特級・1級・2級) ・危険物取扱者(甲種・乙種1~6類)
・高圧ガス製造保安責任者(冷凍機1種・冷凍機2種・冷凍機3種)
・消防設備士(甲種1~5類・乙種1~7類) ・自衛消防技術士
・公害防止管理者(大気3種)
・エネルギ―管理士(熱管理士) ・衛生管理者
BAシステムが抱えるセキュリティの問題点
3. 構造上の問題
1. 導入決定時から利用開始までの期間が長い。
2. 一つのシステムの利用期間が長い。
OSのサポートが切れ、PCのリプレース、Patchの適用すらできない。
ビル建設の計画 設計 建築工事 稼動
1~2年 2~3年
1. 導入決定時から利用開始までの期間
BAシステムが抱える問題点
耐用年数60年~
こなれたOSがいい。
この時点でOSの発売開始から3~5年程度経過
使用開始時に最悪5年+3年=8年
(サポート切れ間近・・・)
システム仕様の決定
(OSの決定)
使用開始
発注
BA
Windows NT 4.0 Server
Windows 2000 Server
1996 2000 2005 2010 2015
各ビルBAシステムの基本OS
(図中矢印は各OSの販売開始からサポート終了までを示す)
Windows 2000 Server
Windows Server 2003
Windows Server 2008
サポート切れ OS の Patch は?
BAシステムが抱えるセキュリティの問題点
弊社での対策
1. USBのポートを物理的にブロック。
2. 検疫用PCの設置
3. USBの利用制限・検疫用PC使用の徹底。
4. サーバー・PC・ゲートウェイの状態遠隔監視(開始したばかり)
1. あまりにも高額なセキュリティ対策はとれない。(プログラムでポートを制御するものも、動作確認が高額となる。)
2. 本気で狙われたら、防御はできない。
まずは、現場の運用方法の徹底で、不注意から起こるセキュリティ事故を防ぐ。
BAシステムが抱えるセキュリティの問題点
USBポートブロックも万全ではない・・・
1283
777
617
1. ポート総数 3,028ポートのうちブロック完了は1,283ポート(42.3%)
2. 既存デバイス接続のポート(351ポート)はどうするか。
3. 対応不可能なポートをどうするか。
351
777
BAシステムが抱えるセキュリティの問題点
今後、国に対する希望
1. 現場のIT教育支援
2. 経営者のIT教育支援(セキュリティに対する投資の判断)
3. コントロール機器・計測機器のセキュリティ認証(国内のみならず、海外への技術輸出に必須)
4. システム全体のセキュリティ認証
5. 制御系セキュリティに関するなんらかの資格の設定
技術的(プログラム)対応も重要だが、現場オペーレーターの教育が最も重要である。
BAのセキュリティが狙われたら・・・
BAシステムが狙われても、ビル内で人が死ぬことはない。しかし、公共インフラ施設と違い、社会全体に与える影響が少ないとの考えは間違い。大規模な社会的混乱を引き起こす可能性がある。
1. BAを導入しているビルは都内で数万棟ある。
2 セキュリティレベルは、大半のビルでおそらく最低レベル。2. セキュリティレベルは、大半のビルでおそらく最低レベル。
3. 現状では、容易に侵入可能。
4. 使用されているプロトコルはプラント系と同じ。
SIerを通じて、オフィスビル→プラント→公共インフラ という感染ラインがある。
世の中の重要IT設備は、全て”建物”の中にある。
スマートシティにむけて
ITの専門家がいるオフィスビル業界でうまくいかないものが、一般家庭に導入できるはずがない。
エコタウン・スマートシティを真に実現するために必要な機器機能
1. ユーザー(一般消費者)が簡単に扱える。
2. 高価格な機器なら耐用年数が長いこと。
3. メンテナンスコストが安いもの。
一般家庭にスマートシティとして必要な様々な制御機器が導入されるようになるための実験場が、BAの世界である。
ご清聴ありがとうございました。
Recommended