「状況認識」を実現するSIEMの活用（前編）――スリーマイル島事故の教訓：制御システム技術者のためのセキュリティ基礎講座（7）（1/2 ページ）

　「制御システム技術者」に対しセキュリティにおける、情報提供と注意喚起を目的としている本連載。前回の『制御システムのネットワーク監視「侵入検知システム（IDS）」をどう使うか』では、制御システムセキュリティにおける具体的な防御策として、効果的な対策となり得る「侵入検知システム（IDS）」について解説した。

　今回と次回とで、「状況認識」（Situational Awareness）という考え方について掘り下げ、それを実現するSIEM（Security Information and Event Management）というソリューションについて解説する。

「状況認識」とは？

　もともと「状況認識」という概念の起こりは、第一次世界大戦時の米国空軍までさかのぼる。現在では、人間工学やセキュリティなどさまざまな分野で、「状況認識」という言葉が使われているが、広く知られている一般的な定義^※1）は以下の通りである。

1. 現状における構成要素を知覚する
2. 現状を把握する
3. 将来の状態を予測する

※1）Endsleyのヒューマンファクターの論文（1995b）の中で用いられている定義

　「状況認識」の大切な点は、単に情報を集めるだけではなく、その結果を利用して現状を把握し、次に何が起こるかを予測するというところにある。では、なぜ「状況認識」が重要なのだろうか。「状況認識」ができていなかった例として、人間工学の観点から良く論じられているスリーマイル島の原子力発電所の事故を取り上げてみよう。

スリーマイル島事故の教訓

　1979年、米国スリーマイル島の原子力発電所にて冷却剤喪失事故が発生した^※2）。この事故は、発生時の現場対応のまずさにより、事前の想定を超えた被害となったことで知られている。原発のように瞬時の判断が求められるプラントでは、人間の能力だけでは処理しきれないため、運転や制御は大幅に自動化されており、オペレータは表示ランプなどの情報から状況を判断して次の操作を行うようになっている。もちろんスリーマイル島の原発も例外ではなかった。では、なぜ事前の想定を超えるような被害が生まれたのだろうか。

※2）国際原子力事象尺度レベル5の事故。事業所外へリスクを伴う事故で、放射性の希ガスやヨウ素などが事業所外に放出された

　この事故の発端となったのは、ポンプの故障であり、それが原因で原子炉が緊急停止した。本来、ここで適切な処置が行われていれば、被害の拡大は防げたはずである。しかし実際は、事故発生時の30秒間で100を超えるおびただしい数の警報灯が点灯し^※3）、警報が鳴り響いたため、現場のオペレータに混乱が発生してしまった。最終的には、判断ミスによる誤操作により、緊急冷却水の注入を止めてしまい、原子炉内が過熱した結果、燃料棒の崩壊を招いてしまったのである。

※3）クリスマスツリー現象ともいわれる

　事故の調査を見ると、事故の原因は、警報灯や警報が適切でなかったことだけではなく、さまざまな装置の故障や判断ミス、日頃の運用におけるルール違反などが重なったことであるが、もし、「状況認識」が実現できていれば、被害の拡大が抑えられた可能性があるだろう。

「状況認識」を実現するソリューションSIEMとは？

　では、セキュリティにおける「状況認識」を実現するにはどうしたら良いのだろうか？ 第4回でも少し触れたが、セキュリティにおける「状況認識」とは、システム全体のログやイベント情報を集めて相関分析を行い、早期に異常を察知することだといわれている。現在では、「状況認識」は、SIEMというソリューションを用いることで実現されている。では、SIEMがどうやって「状況認識」を実現しているかの仕組みとその特徴を紹介しよう。

　図1にSIEMの仕組みの概要を示した。「デバイス」とはシステムを構成する要素である。例えば、ある情報システム内のデバイスをあげると、ネットワーク内にあるPCやサーバに限らず、ルータ、スイッチなどのネットワーク機器、ファイアウォールや前回紹介したようなIDSのようなセキュリティ機器も含まれる。これらの「デバイス」からログが発生するが、これらのログのフォーマットは同じではなく通常はバラバラである。SIEMはこれらのログを取り込む際に「正規化」という処理を行って、共通の枠組みで扱えるような形に変えてデータベースに格納する。そのデータベースに対して、相関分析ルールを適用し、「相関分析」を行うことで、大量のログデータから現状を把握するのに必要な情報を「可視化」するのである。

図1：SIEMの仕組みの概要（出典：マカフィー）