近年、サイバー攻撃の対象領域拡大にともない、電力、ビル、製造業などにおけるセキュリティガイドラインが経済産業省により策定され、その基本方針として制御システムに対するリスクアセスメントの実施が推奨されている。
しかし、リスクアセスメント手順の理解や評価には専門的な知識が求められ、また人手で詳細な分析を行うには多くの時間を必要とするため、アセスメントの実施が浸透していない要因になっている。
そこでNECは、社会インフラや製造業を支える制御システムのセキュリティリスクアセスメントとリスク分析シート作成を自動化する技術を開発したことを発表した。これにより、リスク分析および報告書作成にかかる時間を、従来の手作業で行う場合と比較して約1/4に削減するとともに、攻撃内容を具体的に把握可能となる。
NECは2018年に、実システムの構成情報や様々なデータをもとに構築した仮想モデル上で攻撃のシミュレーションを行い、攻撃グラフを作成する「サイバー攻撃リスク自動診断技術」を開発している。
そして今回、「サイバー攻撃リスク自動診断技術」によって作成された攻撃グラフから、「××で不正コード実行」などの攻撃パターンを自動で抽出し、IPA(独立行政法人情報処理推進機構)の「制御システムのセキュリティリスク分析ガイド」に記載されているリスク分析シートの形式で自動的に報告書を作成する技術を開発した。
これによりシステム運用者は、従来は人手で1~2か月間要していた制御システム(機器40~50台規模)のリスク分析と報告書作成を1~2週間で実現できるようになる。また、悪用される可能性のある脆弱性やプロトコルなどを明確にし、攻撃の根拠や要因を理解しやすい形で客観的に把握できるため、対策の検討や立案が容易になる。
NECは今後、この技術の事業化に向けて開発を強化し、2021年6月までにリスク診断のサービスとして提供することを目指すとしている。
無料メルマガ会員に登録しませんか?
IoTNEWSは、毎日10-20本の新着ニュースを公開しております。 また、デジタル社会に必要な視点を養う、DIGITIDEという特集コンテンツも毎日投稿しております。
そこで、週一回配信される、無料のメールマガジン会員になっていただくと、記事一覧やオリジナルコンテンツの情報が取得可能となります。
- DXに関する最新ニュース
- 曜日代わりのデジタル社会の潮流を知る『DIGITIDE』
- 実践を重要視する方に聞く、インタビュー記事
- 業務改革に必要なDX手法などDXノウハウ
など、多岐にわたるテーマが配信されております。
また、無料メルマガ会員になると、会員限定のコンテンツも読むことができます。
無料メールから、気になるテーマの記事だけをピックアップして読んでいただけます。 ぜひ、無料のメールマガジンを購読して、貴社の取り組みに役立ててください。
無料メルマガ会員登録
IoTに関する様々な情報を取材し、皆様にお届けいたします。
