株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティコンサルティング

産業制御システム向けリスクアセスメント

Inspection & Consulting

重要インフラ設備や工場設備などの産業制御システム(OT)に対する
リスクの可視化と追加対策を提言

産業制御システム(OT)のネットワーク化、IoT化が進み、ITシステム同様の脅威やリスクが高まっています。本サービスは、ファクトリーオートメーション(FA)、プロセスオートメーション(PA)環境などのOTシステム特有のリスクや潜在リスクをラック独自のノウハウでアセスメント。

サービスの強み

産業制御システム(OT)のサイバーセキュリティ上のリスクを可視化する
リスクアセスメント

重要インフラや工場などの施設内にある制御情報ネットワークとフィールド機器・装置を「評価対象範囲」として、リスクの調査や評価を行います。独自フレームワークの「LAC-ICSSS」に基づく調査に加え、特に重要な箇所(クリティカルポイント)は、実際の機器の調査も併用して評価します。サイバー攻撃や情報漏えいなどのサイバーリスク対策に精通したラックによるリスクアセスメントは、産業制御システムのFA環境、PA環境においても、的確なセキュリティ対策を導き出すことが可能です。

産業制御システムのインシデント例:USBメモリなど、インターネット、無線、情報ネットワークに侵入されてしまう
産業制御システムのインシデント例
LAC ICSSS サイバー・セキュリティ・フレームワーク、NISC重要インフラ指針、LAC独自の知見ノウハウ、グッドプラクティスガイド、IPAチェックリスト
LAC-ICSSSの特徴

ラック独自に開発した産業システム用セキュリティ対策フレームワークで
リスクを炙り出す

  1. 独自のフレームワーク
    「LAC-ICSSS」で
    最適な対策案を割り出す
    最適化されたセキュリティ対策案を割り出すため、独自フレームワークLAC-ICSSS(Industrial Control System Security Standard)による対策分析やリスク検討を行います。ラックの知見を集約し、米国標準(NIST SP 800シリーズ等)、国内の重要インフラにおける安全基準等策定指針も参考にして開発した独自のフレームワークです。
  2. クリティカルポイントにおける
    実機調査が可能
    情報システムネットワーク(IT)と産業制御システムネットワーク(OT)の接続点における通信制御は重要なクリティカルポイントです。本サービスでは接続点におけるACL(Access Control List)の一行一行を調査し、実際の機器設定にセキュリティ調査を行うことで、潜在的なリスクを把握します。
  3. ビジネスリスクの深刻度評価を重視した
    リスクアセスメント
    具体的な脅威シナリオを複数想定し、脅威の深刻性や現在の対策の強度を調査し、ビジネスへの影響度を評価します。アセスメント結果を元に優先順位を考慮した対策の強化や代替案の検討ができます。

サービスの流れ

  1. システム・業務把握
    アセスメント対象となるシステムの設計書等をご用意いただき、関連する業務についてヒアリングを行いながら、システム環境や業務状況を把握します。
  2. 脅威シナリオ検討
    対象システムで想定される脅威が発生するシナリオを検討します。
  3. 対策調査
    独自フレームワークLAC-ICSSS(Industrial Control System Security Standard)を用いて、想定した脅威シナリオを踏まえセキュリティ対策状況を調査します。
  4. リスク分析と評価
    どのようなリスクが存在しているか、そのリスクの大きさや対策すべき優先順位について分析し、評価します。
  5. 対策検討
    検出されたリスクに対して、分析結果に基づき対策を検討します。
  6. 結果報告と対策のご提案
    評価した結果のご報告とともに、推奨するセキュリティ対策をご提案します。

※ 2~4か月程度で結果のご報告とセキュリティ対策のご提案までを行いますが、評価を行う対象の規模により、この期間は変動します。

産業制御システムに対するアセスメントの例

重要インフラや工場などの施設内にある制御情報ネットワークとフィールド機器・装置を「評価対象範囲」として、リスクの調査や評価(リスクアセスメント)を行います。評価は独自フレームワークに基づくインタビューや資料調査が中心になりますが、産業制御システムの防御のために、決定的に重要な箇所(クリティカルポイント)については、実際の機器の調査も併用します。

産業制御システムに対するアセスメントのイメージ

産業制御システムに対するアセスメントのエリアと調査範囲

情報ネットワークエリア 情報システム等があるネットワーク内は、完璧な防御は難しくウイルス等に感染される場合があり、制御情報ネットワークと直結されるFW(ファイアーウォール)等をクリティカルポイントとして調査します。
制御情報ネットワークエリア PLC(制御装置)やHMI(マシンインタフェース)などの制御情報ネットワークの境界セキュリティおよびエンドポイントに着目した網羅的分析を実施します。
フィールド機器・装置エリア 外部と接する境界セキュリティに着目した分析を実施します。
外部接続点 遠隔保守・データ送信等のGW(回線)がある場合、フィールド機器・装置エリアに直結されることもあり、クリティカルポイントとして調査します。

よくあるご質問

対策立案以降のタスクは自分たちでもできるので、リスクアセスメントの部分だけをピックアップして実施することはできますか。
可能です。ご要望に合わせて実施内容をカスタマイズできます。
網羅的に確認するのではなく、自分たちが気になっているリスクシナリオだけをピンポイントで確認してもらえませんか。
はい。事前に確認したいポイントをお伝えいただければ、それに合わせて確認内容をカスタマイズします。
色々なところに問題がありすぎて、リスクアセスメントをするにもどこから手をつけたらよいか分かりません。
まずはご相談ください。全体の状況をお伺いしたうえで、優先順位の考え方や予算枠の中で効果的に実施する方法についてアドバイスいたします。
経営層がセキュリティにかかるコストを中々捻出してくれません。経営層に向けたレポートや報告会をやってもらえませんか。
はい。レポート先に合わせて報告内容をカスタマイズすることが可能です。経営層向けであれば、リスク概要やその根本原因、ビジネスに与える影響などを、ポイントを押さえたサマリレポートとして作成のうえ、経営層の方にもわかりやすくご報告します。

価格

平均サービス価格 700万円(税抜)

※ お客様の環境により異なりますので、個別にお見積りいたします。お気軽にお問合せ下さい。

「産業制御システム向けリスクアセスメント」に関するお問い合わせ