BRIDG-ICS: AI-Grounded Knowledge Graphs for Intelligent Threat Analytics in Industry~5.0 Cyber-Physical Systems

本論文は、産業制御システム（ICS）のサイバー耐性を強化するため、大規模言語モデル（LLM）を活用して異種データを統合し、確率的リスク指標に基づく攻撃経路シミュレーションや因果関係に配慮した脅威推論を可能にする AI 駆動型の知識グラフフレームワーク「BRIDG-ICS」を提案するものである。

要約

この論文は、**「BRIDG-ICS（ブリッジ・アイシーエス）」**という、新しいタイプの「防犯システム」の設計図について書かれています。

これを、一般の方にもわかりやすく、日常の言葉と面白い例え話を使って説明しましょう。

🏭 工場は「巨大な家」に変わっている

昔の工場（OT：運用技術）は、まるで**「城」**のようでした。外の世界（IT：情報技術）とは完全に遮断されており、外から侵入される心配はほとんどありませんでした。

しかし、**「Industry 5.0（第 5 次産業革命）」**という新しい時代では、この城の門が開け放たれています。

• 工場の機械がインターネットに繋がったり、
• 遠く離れたオフィスからロボットを操作したり、
• AI が生産ラインを管理したりするようになりました。

これは便利ですが、**「城の壁に無数の穴が開いてしまった」**ようなものです。ハッカーは、普通のパソコン（IT）から入り込んで、工場の機械（OT）を乗っ取り、物理的な破壊を引き起こすことができるようになってしまいました。

🕵️‍♂️ 従来の防犯は「バラバラのメモ」

今の工場を守る人たちは、ハッカーの動きを把握しようとしていますが、情報がバラバラで困っています。

• 「この機械に弱点がある」というメモ。
• 「あのハッカーはこういう手口を使う」というメモ。
• 「工場の配線図」というメモ。

これらが別々の棚に置かれていて、**「A の弱点と B の手口を組み合わせると、C の機械が壊れる！」という全体像がすぐに浮かび上がってきません。まるで、「パズルのピースがバラバラで、完成図が見えない」**状態です。

🧩 BRIDG-ICS の正体：「魔法の知恵の地図」

そこで登場するのが、この論文で紹介されている**「BRIDG-ICS」**です。

これは、**「AI が描く、工場全体の『知恵の地図（知識グラフ）』」**です。

1. すべてのピースを繋ぐ（知識グラフ）
   BRIDG-ICS は、先ほどのバラバラなメモ（弱点情報、ハッカーの手口、工場の仕組み）をすべて集め、**「巨大なパズル」**として繋ぎ合わせます。

   • 「この機械（A）」は「この弱点（B）」を持っている。
   • 「この弱点（B）」は「ハッカーの手口（C）」で突かれる。
   • 「ハッカーの手口（C）」は「工場の停止（D）」につながる。
     このように、**「A → B → C → D」**という連鎖を、地図上で一目でわかるように描き出します。

2. AI が「見えない道」を見つける（LLM による強化）
   ここがすごいところです。従来の地図には「見えない道（隠れた関係性）」が描かれていませんでした。
   このシステムは、**「AI（大規模言語モデル）」**という天才的な探偵を使います。

   • AI は、膨大な技術文書やハッカーの報告書を読み込み、**「人間が気づかない隠れたつながり」**を推測します。
   • 例えば、「この古い機械」と「あの新しいセンサー」は、文書には書かれていませんが、実は**「同じハッカーの攻撃経路」として繋がっている、と AI が発見します。
     これにより、地図はより詳細で、「ハッカーが実際に使うかもしれない裏道」**まで描かれるようになります。

3. シミュレーションで「もしも」を予測
   地図ができたら、**「もしハッカーがここから入ったらどうなるか？」**をシミュレーションします。

   • 「A 地点から侵入すると、3 歩で重要な機械に到達できる！」
   • 「でも、ここに『防火壁（セキュリティ対策）』を置けば、ハッカーは 10 歩以上かかるし、途中で止まってしまう！」
     このように、**「どこにセキュリティを強化すれば、最も効果的か」**を数字で示してくれます。

🛡️ 具体的な効果：「見えない敵」を「見える化」する

実験の結果、このシステムを使うと以下のようなことがわかりました。

• 攻撃経路の発見: 従来の地図では見えていなかった「裏道」が見つかり、ハッカーが思わぬルートで侵入できることが判明しました（これにより、隠れていた弱点を事前に防げます）。
• 対策の効果測定: 「防火壁」を置くと、ハッカーの到達距離が短くなり、工場の重要な部分が守られることが数値で証明されました。
• 優先順位の明確化: 「どの機械を先に守れば、工場全体のリスクが最も下がるか」が一目でわかります。

🌟 まとめ

BRIDG-ICSは、工場のセキュリティ担当者にとって、**「未来を見通せる水晶玉」**のようなものです。

• バラバラな情報を**「一つの地図」**にまとめる。
• AIを使って、**「見えない敵の動き」**を予測する。
• 「もしも」の攻撃をシミュレーションし、**「最強の防衛策」**を見つける。

これにより、Industry 5.0 の時代において、工場がハッカーから守られ、安全に、そして賢く動き続けることを支える、画期的なツールなのです。

技術概要

BRIDG-ICS: 産業 5.0 におけるサイバー物理システムのための AI 基盤型知識グラフによるインテリジェント脅威分析

本論文は、産業 5.0（Industry 5.0）の環境下で、情報技術（IT）と運用技術（OT）の統合が進む中で拡大するサイバー物理攻撃対象領域に対処するため、BRIDG-ICS（BRIDge for Industrial Control Systems）という新しいフレームワークを提案しています。これは、AI を駆使して知識グラフ（KG）を構築・拡張し、文脈を考慮した脅威分析とサイバー耐性の定量的評価を実現するものです。

以下に、本論文の技術的概要を問題定義、手法、主要な貢献、結果、意義の観点から詳細にまとめます。

---

1. 問題定義 (Problem)

産業 5.0 の実現に伴い、従来の分離された OT 環境と IT 環境が密接に統合され、クラウドや IIoT（Industrial IoT）デバイスとの接続が一般化しています。これにより、以下のような課題が生じています。

• 攻撃対象領域の拡大: 従来の「エアギャップ」セキュリティモデルが崩壊し、IT 側の脆弱性が OT 制御システムへ波及するリスクが高まっています。
• 断片的な脅威インテリジェンス: 既存の脅威インテリジェンスは孤立したアラートに留まり、システム依存関係や物理プロセスとの関連性を示すことができません。
• 既存手法の限界: STRIDE や ATT&CK などの既存フレームワークは特定の側面を扱いますが、IT/OT の両レイヤーをまたぐ多段階攻撃経路の再構築や、物理的影響までの因果関係を統合的にモデル化する手法が不足しています。
• スケーラビリティと文脈の欠如: 複雑化する産業制御システム（ICS）において、従来のリスク評価手法は拡張性が低く、動的な攻撃シナリオを反映できていません。

2. 手法 (Methodology)

BRIDG-ICS は、多様なデータソースを統合し、大規模言語モデル（LLM）とグラフ分析技術を用いて知識グラフを構築・拡張する 4 段階のプロセスで構成されます。

A. オントロジー設計と知識グラフの構築

産業制御システム（ICS）の構造とサイバーセキュリティデータを統合するオントロジーを設計しました。

• 統合データソース: CVE, CWE, CAPEC, MITRE ATT&CK（ICS 版）などの公的データと、現地の産業テストベッド（Purdue 準拠）からの運用データ（PLC, SCADA, センサ等）を融合。
• 階層的構造: 低レベルの産業資産（Product）から、脆弱性（CVE/CWE）、攻撃パターン（CAPEC）、そして敵対的な戦術・技術（ATT&CK）へとつながる階層的なオントロジーを構築。
• 関係性の定義: COMMUNICATES WITH（通信）および CONTROLLED COMMUNICATES WITH（セキュリティ制御下での通信）という関係性を定義し、データフローに基づいてノード間の接続を表現。

B. リスクモデリングと攻撃経路の定量化

グラフ上のエッジ（関係性）に確率的なリスク属性を付与し、攻撃の伝播を数値化します。

• 制御強度（Control Strength）: 認証、設定管理、パッチ適用などの防御策に基づき、通信リンクの防御強度を算出。
• 悪用確率（pExploit）: EPSS（Exploit Prediction Scoring System）の値を制御強度で調整し、実際の悪用確率を計算。
• 攻撃コストとリスク重み: 攻撃者の努力度合い（Attack Cost）と資産の重要度に基づき、各リンクのリスク重み（Risk Weight）を定義。
• 攻撃経路シミュレーション: 複数のホップにわたる攻撃経路の確率を計算し、システム全体の露出度（Exposure）を評価。

C. LLM による知識拡張（Knowledge Enrichment）

構造化データに不足している意味的つながりを、LLM と埋め込み技術で補完します。

• NER（固有表現抽出）: SecureBERT 等を用いて、脅威レポートからツール、ファイル、ネットワークパスなどのエンティティを抽出。
• RE（関係性抽出）: REBEL モデル等を用いて、脆弱性と攻撃手法、あるいは資産間の潜在的な関係を抽出。
• NL2KG（自然言語から KG へ）: 非構造化の脅威記述を構造化されたグラフのトリプルに変換し、欠落している CVE-CWE-ATT&CK のマッピングを推論。
• グラフ埋め込み: FastRP などのグラフ埋め込み技術を用いて、類似度に基づくリンク予測を行い、潜在的な通信経路を特定。

D. 分析とシミュレーション

拡張されたグラフに対して、グラフ分析アルゴリズム（PageRank, 介在性中心性, Louvain モジュラリティ等）を適用し、攻撃シナリオのシミュレーションと防御策の効果検証を行います。

3. 主要な貢献 (Key Contributions)

1. 産業 5.0 特化型知識グラフの構築: 産業データと多様なサイバーセキュリティデータセットを融合し、プロセスレベルの意味とデバイス間の依存関係をエンコードしたドメイン固有の KG を作成。
2. インテリジェントな KG 拡張: LLM（NER, RE, NL2KG）とグラフ埋め込みを組み合わせ、欠落したエンティティや関係性を推論し、脅威インテリジェンスの構造的・意味的パターンを深掘り。
3. 文脈を考慮した脅威分析: IT と OT のセキュリティ視点を統合し、敵対者の意図、影響の伝播、クロスドメイン攻撃チェーンを多層的に推論可能に。
4. データ駆動型の攻撃経路発見: グラフベースの学習を用いて攻撃シナリオをシミュレートし、確率的リスク属性に基づいて攻撃経路を予測。
5. 耐性と適応的防御: シナリオベースのシミュレーションを通じて、防御策の効果を定量的に評価し、自律的で持続可能な産業エコシステムの構築を支援。

4. 結果 (Results)

15 種類のスマート製造シナリオを用いた実験により、以下の結果が得られました。

• 攻撃経路の可視化と短縮: 知識拡張（Enrichment）を行うことで、攻撃者がターゲットに到達するための平均ホップ数が20〜40% 減少しました。これは、隠れていた潜在的な通信経路（Latent dependencies）が明らかになったためです。
• 防御策の効果検証: 適切なセキュリティ制御（NIST SP 800-53 や IEC 62443 に準拠）を適用した「Controlled」設定では、到達可能な資産数が大幅に減少し、攻撃経路の平均長が25〜50% 増加しました。これにより、防御策が横移動（Lateral Movement）を効果的に制限していることが示されました。
• 中心性分析による重要資産の特定: 拡張後のグラフでは、ゲートウェイやロボットセルの PLC などの「通信仲介ノード」の PageRank 値や介在性中心性が上昇し、これらが攻撃者の移動経路において重要な chokepoint となっていることが浮き彫りになりました。
• リスクの定量化: 特定の資産（例：MQTT ブローカーから PLC への経路）において、拡張前の状態では隠れていた経路が特定され、制御適用後にリスクが顕著に低減することが数値的に確認されました。

5. 意義と結論 (Significance)

BRIDG-ICS は、産業 5.0 の複雑なサイバー物理システムにおいて、以下の点で重要な意義を持ちます。

• 統合的な視点の提供: 従来の IT 中心または OT 中心の単一の視点を超え、両者の統合された意味モデルを提供することで、多段階攻撃の全貌を把握可能にしました。
• 説明可能性と意思決定支援: 単なるアラートではなく、攻撃経路、リスクの伝播、防御策の効果をグラフ上で可視化・定量化することで、セキュリティ担当者の意思決定をデータ駆動型に支援します。
• 将来の自律防御への基盤: 本フレームワークは、将来的に LLM を活用した推論や、自律的なエージェントによる脅威監視・防御策の自動調整（Agentic AI）への拡張を可能にする基盤となります。

結論として、BRIDG-ICS は、構造的な知識表現と定量的なサイバーリスクモデリングを単一のグラフフレームワークに統合し、産業制御システムの耐性を高めるためのスケーラブルで文脈を考慮したアプローチを確立しました。