ラック、「産業制御システム向けリスクアセスメントサービス」を提供開始
~産業制御システム特有のセキュリティリスクを総合評価し、工場の安全に貢献~
2018年8月24日 | プレス
株式会社ラック(本社:東京都千代田区、代表取締役社長:西本 逸郎、以下ラック)は、工場におけるネットワーク化された制御系システムに対し、サイバーセキュリティリスクを総合評価する「産業制御システム向けリスクアセスメントサービス」を本日より提供開始します。
これにより、お客様は不正アクセスやウイルス感染等による機器の誤動作や工場の稼働停止など産業制御システム特有のセキュリティリスクに最適な対策を講じることができ、ネットワーク化された工場の安全に貢献します。
これまで、工場の生産ライン等で活用されている産業制御システムは、「インターネットに接続していないから安全」とされ、一般のネットワーク技術が幅広く利用されてきました。過去、オフィスも閉鎖された環境にありサイバー攻撃から無縁とされてきましたが、IT活用の深化にあわせて数々の事件も発生し、サイバーセキュリティ対策が必須となりました。
工場においても、IoTやIIoT(Industrial Internet of Things)などを活用した生産性や品質の向上がグローバル競争に勝ち残るため不可欠となっています。しかしながら過去のオフィスと同様に、完全閉鎖ネットワークであることを前提に設計・運用が行われた産業制御システム等のセキュリティ対策は十分ではありません。実際にラックの調査では、工場の管理部門が把握していない裏口や、必要な時だけ形成される経路の存在を確認しています。このような状況は「完全閉鎖ネットワーク」ではなくなっていることの証しであり、放置すると不正アクセスやウイルス感染等による機器の一時的な誤動作を引き起こすだけでなく、場合によっては工場が長期にわたり稼働停止することにもなりかねません。
ラックはこのような状況を踏まえ、従来個別に対応してきた産業制御システムに対するセキュリティサービスを「産業制御システム向けリスクアセスメントサービス」としてメニュー化し、存在する特有のリスクや潜在的に存在するリスクを独自に調査・評価します。
リスクアセスメントには、この分野で先行する米国の標準であるNIST Cyber Security Framework、国際標準 IEC62443等の考え方を踏まえつつも、日本の製造現場に適したラックで制定した独自フレームワーク「LAC-ICSSS(Industrial Control System Security Standard)」を用います。これには、ラックのセキュリティ監視サービス「JSOC®」やセキュリティ事故に即応する「サイバー救急センター®」などで長年にわたり培ってきた知見や、ラックの研究開発部門「サイバー・グリッド・ジャパン」で調査している動機・手口などの脅威情報(スレットインテリジェンス)を活かしています。
産業制御システムの防御に際しては、決定的に重要な箇所(クリティカルポイント)が何点か存在します。このような箇所に潜在するセキュリティリスクについては、実際の機器も調査して把握します。
また、ビジネスへの影響を脅威シナリオごとに評価・検討するため、お客様はビジネスリスクの深刻度にあわせ、優先順位を加味してどのような対策を行うべきかなどを判断することができます。
本サービスは、製造業における産業制御システムのみならず、その他のプラント、発電所、交通制御等の社会インフラを支える制御システムも対象にしています。
今後もラックは、時代の変化を俯瞰するとともに社会の課題を的確に捉え、お客様の効果的なセキュリティ対策が施されたデジタルトランスフォーメーションを支援してまいります。
| 情報ネットワークエリア | 情報システム等があるネットワーク内は、完璧な防御は難しくウイルス等に感染される場合があり、制御情報ネットワークと直結されるFW(ファイアウォール)等をクリティカルポイントとして調査します。 |
|---|---|
| 制御情報ネットワークエリア | PLC(制御装置)やHMI(マシンインタフェース)などの制御情報ネットワークの境界セキュリティおよびエンドポイントに着目した網羅的分析を実施します。 |
| フィールド機器・装置エリア | 外部と接する境界セキュリティに着目した分析を実施します。 |
| 外部接続点 | 遠隔保守・データ送信等のGW(回線)がある場合、フィールド機器・装置エリアに直結されることもあり、クリティカルポイントとして調査します。 |
サービスの特徴
サイバーセキュリティ最前線の知見を活用した独自のフレームワーク「LAC-ICSSS」
LAC-ICSSS(Industrial Control System Security Standard)は、セキュリティ監視サービス「JSOC」やセキュリティ事故に即応するサイバー救急センターなどで培ってきた知見(LACインテリジェンス)を集約し、NIST サイバーセキュリティフレームワーク(CSF)やNIST SP 800シリーズ(NIST SP 800-82 Guide to Industrial Control System Security)等の米国標準、重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針に代表される国内標準も参考にして開発したラック独自のフレームワークです。ラックの最前線のセキュリティサービスの知見を踏まえた、産業制御システムを含むOT(Operational Technology)システムに最適化された対策案を割り出すことができます。
実器によるクリティカルポイントに対するセキュリティ調査
産業制御システムのセキュリティを考える時、多くの場合、決定的に重要な箇所(クリティカルポイント)が存在します。例えば情報システムネットワーク(IT)と産業制御システムネットワーク(OT)の接続点における通信制御が挙げられます。これらの産業制御システムのクリティカルポイントは、本社情報システム部門でその実情を把握しきれていないことが殆どです。そのため本サービスでは接続点におけるACL(Access Control List)の一行一行を調査します。実際の機器のセキュリティ調査を加えることで、産業情報システムネットワークに潜むリスクを把握し、実際に事故を防止することができます。
ビジネスリスクの深刻度評価を前提としたリスクアセスメント
本サービスでは、リスクアセスメントの対象システムで考えられる脅威シナリオを具体的に想定し、必要な対策がどのような強度で取られているかを評価します。そのため、具体的な脅威シナリオに即して深刻性の評価や、代替案の検討が可能となり、ビジネスへの影響を脅威シナリオごとに評価・検討することができます。お客様はリスクの深刻度にあわせ、優先順位を加味して対策を行うかどうかを判断することができます。
提供価格
平均サービス価格 700万円(税抜)
※ お客様の産業制御システムの規模や状況により提供価格は異なります。
参考情報
お客様からのお問い合わせ先
株式会社 ラック(営業担当) E-mail: sales@lac.co.jp
株式会社ラックについて
ラックは、1986年にシステム開発事業で創業、多くの実績を誇る「金融系の基盤システム開発」「マーケティング・オートメーション支援」「ビッグデータ・アナリティクス」を始め、社会の基盤システムの開発を行っています。1995年にはいち早く情報セキュリティ事業を開始し、現在ではサイバーセキュリティ分野のリーディングカンパニーとして、官公庁・企業・団体等のお客様に業界屈指のセキュリティ技術を駆使した、先端のITトータルソリューションサービスを提供しています。
* ラック、LAC、JSOC、サイバー救急センターは、株式会社ラックの国内及びその他の国における登録商標または商標です。
* その他、記載されている会社名・団体名、製品名などは、各社の登録商標または商標です。