IoTの進展や業界の標準規格で構築されるオープンシステムへの移行に伴い、自動車や産業機器など、ネットワークを介してつながるさまざまな産業用IoT機器を標的としたサイバー攻撃が増加している。また、関連企業や取引先など、サプライチェーンを経由して標的企業を狙う攻撃も増加しており、インシデントが発生した際の影響が広範囲にわたる。
そのため、自社製品のインシデント対応を実施する専門組織「PSIRT」による製品開発プロセス、ならびにインシデント対応プロセスの策定が重要である。
PSIRTの構築・運用には、インシデント発生時の対応や影響を最小化するため、社内外のさまざまなステークホルダーと連携した組織体制の構築や対応プロセスの明確化が求められる。
また、インシデントの発生を防止するためには、製品の設計・開発において脆弱性を残存させない仕組みを既存のプロセスに適用する必要がある。すでに製品開発プロセスが確立されている中で、新たなプロセスを策定し、定着させることは手間や労力がかかることが問題となっている。
さらに、PSIRTでは、最新の脅威や脆弱性など膨大なセキュリティ情報を収集し、製品への影響を調査・分析する必要があるが、作業負荷が高いため、有効に機能しない場合がある。
株式会社日立ソリューションズは、産業用IoT機器のセキュリティ対策を目的とした社内組織の構築および運用を支援する「PSIRT構築コンサルティング」の提供を開始した。
同ソリューションでは、日立ソリューションズのこれまでの国際標準規格IEC62443(※1)への対応、制御システムを対象としたリスクアセスメント、自動車サイバーセキュリティ法規UN-R155(※2)/R156(WP.29)への対応、ISO27001(ISMS)認証取得、CSIRT構築など情報セキュリティコンサルティングの実績やノウハウを基に、企業の実情を考慮してPSIRT構築を支援する。
対応手順書(ひな型)を活用することで、インシデント・脆弱性への対応を実施する部署や関係部署、社外組織との連携などを明確化したプロセスを短期間で策定できる。
また、企画から廃棄に至る製品開発のライフサイクルにおいて、既存の開発規準や手順を考慮して、セキュリティを確保するために必要な製品開発プロセスの策定と定着を支援する。これまでの実績をもとにして、セキュリティ診断やペネトレーションテストを実施する。
さらに、日々膨大な件数が報告される多様なデータソースの脅威・脆弱性情報から、企業に関係する情報を多角的に分析し、独自の見解をまとめたレポートとして提供する。製品への影響の有無を判断する材料として活用することで、PSIRT運用の効率化につながる。
※1 IEC62443:産業用オートメーションと制御システムのセキュリティ開発ライフサイクルに関する国際標準規格。
※2 UN-R155:「自動車基準調和世界フォーラム(WP.29)」で制定されたサイバーセキュリティの規則。欧州・日本・米国等向けに車両を販売する完成車メーカーが準拠を求められている。
無料メルマガ会員に登録しませんか?

IoTに関する様々な情報を取材し、皆様にお届けいたします。