昨今、ITシステムやインターネットとの接続が増えた結果、IT機器だけでなく、工場・ビルで稼働する制御機器がサイバー攻撃の新たな対象として危険視されている。
このような状況の中で、国際的な標準化の動きとして、ISA(国際自動制御学会)およびIEC(国際電気標準会議)が、産業制御システムのセキュリティ対策の国際標準を発行しており、国内においてもセキュリティ対策ガイドラインが発表されている。
しかし、ガイドラインのどこまでセキュリティ対策を実施すればよいかは当事者の判断であり、セキュリティリスクの把握や、効果・コストなどへの考慮も必要なため、自力でセキュリティ対策を考えるのは難しいというのが実情だ。
こうした中、NTTアドバンステクノロジ株式会社(以下、NTT-AT)は、産業分野向けの「OTセキュリティアセスメントサービス」を、2023年12月13日から提供開始する。
「OTセキュリティアセスメントサービス」は、工場・ビルなどのセキュリティリスクを把握し、それらに応じたセキュリティ対策の実現を伴走型で支援するサービスだ。
「OTセキュリティアセスメントサービス」の利用にあたっては、事前にNTT-ATのOTセキュリティパートナーであるフォーティネットジャパン社が提供するサイトにて、無償のWeb簡易診断を実施し、自社のセキュリティ対策レベルの概要を把握する。
Web簡易診断結果を踏まえて「OTセキュリティアセスメントサービス」を活用することで、工場やビルごとのセキュリティリスクに合わせたセキュリティ対策を進めることができる。
なお、「OTセキュリティアセスメントサービス」では、経済産業省ガイドラインのチェックリストに従ってアセスメントを進める「OTセキュリティリスクアセスメント」と、工場やビルの内部ネットワークに流れる通信ログからアセスメントを進める「実環境アセスメント」が用意されている。各サービスメニューを個別に提供することも、合わせて提供することも可能だ。
「OTセキュリティリスクアセスメント」は、Web簡易診断に加え、IEC62443の要件を加えたヒアリングシートを使って、経済産業省ガイドラインチェックリスト32項目ごとの実状を把握する。
組織・運用・技術・サプライチェーンといった4つのカテゴリごとに現状のリスクを考察し、一連の工程は、CISSP・情報安全確保支援士・IEC62443関連資格などの有識者監督の元に、具体的なセキュリティ対策案を立てるための情報を提供する。
「実環境アセスメント」では、ネットワークに接続された機器を、NTT-ATで開発した未承認機器を検出するためのソフトウェア「Internal Network Inspector(INI)」を使って自動でリスト化する。
また、台帳と実態調査結果を照合し、台帳に載っていない機器のIPアドレスと通信期間を提示するほか、運用上、不要または異常の可能性のある通信を行っている機器や外部接続先の多い機器を特定し、ピックアップする。そして、実態調査結果からセキュリティ対策案を提示する。
なお、これらは、調査期間に対象のネットワークで通信が発生した機器に限るものだ。
産業制御ネットワークの可視化には、米国Fortinet社のネットワークセキュリティアプライアンス「FortiGate」を使用している。
NTT-AT今後は、「OTセキュリティアセスメントサービス」を提供していく中で、サービスラインナップのさらなる拡充の検討を進める予定だ。
無料メルマガ会員に登録しませんか?
IoTに関する様々な情報を取材し、皆様にお届けいたします。