電流変動監視によるマルウェア検出方法
Abnormal operation detection a method for fusion plant control systems

概要

大規模プラントでは制御装置のセキュリティ確保は重要な研究課題である.この課題に対して従来の研究では,PCに対するマルウェアを想定した耐性を応用した範囲に留まり,マルウェアをソフトウェアで検知し,対処しようとするものである.本研究ではサーバー攻撃の検知を侵入したマルウェア自身が使用する電流変動の監視により行い,その有意差を持って早期発見を試みるものである.IoTや大規模プラントの制御など,近年,コンピュータ制御はその対象を多岐に広げており,核融合プラントもその中に含まれる.IoTのセキュリティ対策の重要性について言及している研究には,柏山[1],大野[2]などがある.江本[3]でその統合化が進むにつれてセキュリティ強化が必要となることが指摘されているが,従来技術の問題点として,プラント制御では,制御対象に適したOSが選定され,マルウェア検知ソフトはそのOS上で稼働する必要がある等,マルウェアと同一ハードウェアで動作共存しているソフトウェアで守れることには限界があり,セキュリティシステムの起動に問題が生じた場合,対策能力の低下を誘発する.したがってソフトウェアに依存しない検知手法を考える必要がある.核融合プラントなどの制御システムでは定周期でプログラムが稼働しており,正常動作時には制御周期と同期した電力変動が観測される性質がある.
この電流変動に着目すると,ソフトウェアの一種であるマルウェアも最初に兆候が現れるのは電力系統であると推察でき,定周期で稼働するプログラムとマルウェアの電流変動の有意差をモニタリングすることで異常動作を従来のセキュリティソフトウェアよりも初期の段階で検知し,制御を早期に安全側シーケンスに入れることが可能と考えられる.また,マルウェア毎の電流変動の特徴を把握することで,異常波形の再現時にその特徴からマルウェア種別を微分判定し,早期に的確な対策を講じることも可能になる.さらにマルウェアの活動を検出するため対象とする計算機システムとは物理的に分離したモニター系を用意することで,対象のOSに依存しないため,広範囲に適用可能となること,マルウェア検知の仕組みを入れたことがシステムの動作に悪影響を与える可能性がほぼないことが挙げられる.前項で提案した原理に基づいて,マルウェアの活動を検出するため,制御システムの構成に依存せず,セキュリティ対策がシステム全体の機能低下を誘発しないプロトタイプシステムの要件として,計算機システムのOSに包括されず,マルウェア攻撃そのものに対して影響を受けることがないハードウェアを用いることが挙げられる.対象とする計算機システムとは物理的に分離したモニター系を用意し,対象システムの電流変動を観測することで,挙動をモニターするシステムを考案した.

産業界への展開例・適用分野

セキュリティ対策の果実として、停止という対策が取れない大規模制御システムに対しての後付検知方法という側面、及び制御システムのOS、制御ソフトウェアの種別に拘束されないパワーラインへの監視というセキュリティデザインを持ち、現行の大規模制御システムを改装することなく、セキュリティ対策を講じることが可能になる。

研究者

氏名 専攻 研究室 役職/学年
田中卓 学術情報メディアセンター 岡部研究室 研究員
田中恵子 学術情報メディアセンター 岡部研究室(研究生) その他学生
細見令香 その他の専攻・大学 京都工芸繊維大学 知的構造システム学研究室 修士2回生
三浦啓輔 その他の専攻・大学 京都大学工学部(B4) その他学生
力石浩孝 その他の専攻・大学 核融合科学研究所 准教授