制御システムセキュリティ対策

重要インフラにおける最適なサイバーセキュリティ対策

近年IT領域におけるサイバーセキュリティ対策は必至ですが、最近では工場などで機器や設備を制御するシステム(制御システム)がサイバー攻撃の標的となり既に被害も発生しています。

従来制御システムは独自のプロトコルやアプリケーション等が使用されていたためサイバー攻撃の被害を受けにくいと考えられてきましたが、汎用OSやTCP/IPプロトコルの採用による外部ネットワークへの接続、そしてIoT(Internet of Things)の普及など制御システムを取り巻く環境の変化によって直面するリスクが多様化し、講じるべき対策も変化しています。

特に重要インフラにおける制御システムが攻撃を受けると社会への影響が甚大なものとなるため、サイバーリスクが高まるとされる2020年東京オリンピック・パラリンピックを見据えサイバーセキュリティ対策が急務とされています。

制御システムを取り巻く環境の変化 制御システム(ICS)
しかしながら、セキュリティ対策は旧来のまま···
クローズド環境を前提としているため、セキュリティ対策を行っていない
システムを停止できないため、セキュリティパッチを適用できない
ITとOTの違い
制御システムの特徴は「24時間365日の安定稼働」、「人命優先」、「長期間の製品ライフサイクル」であり、稼働が停止すると社会的な影響·事業継続の影響が大きいことから、制御システムにおけるセキュリティ対策においてはITにおけるセキュリティ対策とは優先される項目や前提条件が異なるため、対策の推進にはITセキュリティだけでなく制御システムへの理解も不可欠です。
※ 横スクロールしてください
項目制御システム(OT)情報システム(IT)
セキュリティの優先順位 システムが継続して安全に稼働出来ることを重視 情報が適切に管理され、情報漏洩を防ぐことを重視
セキュリティの対象 モノ(設備、製品)
サービス(連続稼働)
情報
技術のサポート期間 10~20年 3~5年
求められる可用性 24時間365日の安定稼働(再起動は許容されないケースが多い) 再起動は許容範囲のケースが多い
運用管理 現場技術部門
外部委託業者
情報システム部門

政府による重要インフラ防護の推進

s_2_img

重要インフラ制御システムセキュリティ対策は、喫緊の課題として官民連携によりその対策が推進されています。

内閣サイバーセキュリティセンター(以下、NISC)では、国民生活と社会経済活動が大きく依存する重要インフラの情報セキュリティ対策を推進するため、「サイバーセキュリティ戦略」及び「重要インフラの情報セキュリティ対策に係る第4次行動計画」(第4次行動計画)に基づく施策を進めています。

  • 自然災害やサイバー攻撃等に起因する重要インフラサービス障害の発生を可能な限り減らし、発生時に迅速な復旧を図る
  • 重要インフラ防護能力の維持・向上を目的として、セキュリティ対策のPDCAにそって、「指針」「安全基準等」の継続的改善を推進

制御システムの脅威と脆弱性への対策

制御システムセキュリティにおけるサイバーリスク は主に下記4ケースに分類され、次のような対策・対応が必要となります。
※ 横スクロールしてください
 USBメモリ持ち込みPCリモートメンテナンス回線業務ネットワークからの侵入
リスク USBメモリからのウイルス感染 外部委託業者の保守用持ち込みPCからのウイルス感染 外部委託業者のリモートメンテナンス用回線の先の端末からの不正アクセス・ウィルス混入 社内業務用ネットワークのセキュリティインシデントから制御・操業ネットワークへの侵入
対策と対応 USBポートを無効化する スタンドアロンでのウィルスチェック 接続先の制限 制御ネットワークと業務用ネットワークの分離
USBメモリ挿入時に専用PCでウィルスチェックを行う 保守用端末等の機器の管理 認証方法の強化(二要素認証など) ウィルス対策ソフトウェアの導入
USBメモリ利用規則の策定   常時接続禁止 ウィルス感染リスク低減のための教育
原則 制御系ネットワークと業務系ネットワークが分離されていること
リモートメンテナンス回線・外部のインターネットと接続する場合には、常時開放を避ける
設計・開発・導入段階 では、制御システムの導入・調達担当者向けに下記のような対策・対応が必要となります。
調達時の要求仕様にセキュリティ要件を含める
  • リスク評価を実施の上、下記を考慮する
    1. ネットワークの分離(制御ネットワーク・業務ネットワーク・情報ネットワーク等)
    2. 開発時・運用時の脆弱性対策(定期的なセキュリティパッチの適用、ウィルス対策ソフトウェアの導入)
    3. セキュリティ強度の高い機器・ツールの採用
運用·保守契約内容にセキュリティに関する項目を含める
  • 外部委託業者の保守用持込みPCのウィルス対策
  • ウィルス感染及び不正侵入時の対応
  • 脆弱性対応(脆弱性対策情報の提供、パッチ適用等)

制御システムセキュリティ対策コンサルティングサービス

国際機関や国の機関によるガイドライン等に精通し制御システム特有のセキュリティ要件など専門的な知見を持つコンサルタントが、制御システムのセキュリティ対策をワンストップで支援します。

当社はこれまで企業のIT領域におけるサイバーセキュリティ対策をGRC(ガバナンス・リスク・コンプライアンス)の観点から経営に直結するリスク管理と紐付けて支援を重ねてきた実績と最新のセキュリティ動向への知見があります。

制御システムセキュリティにおいてもそのノウハウを活かし、継続性のある高度なセキュリティ対策の実現を可能とします。

制御システムセキュリティ対策コンサルティングサービス

本サービスでは、制御システムセキュリティ対策において重要な以下のポイントを抑え、ライフサイクルに沿ったサービスを提供します。

  • 制御システムは「可用性重視」であるため、システムの重要度を見極め、どのようなリスクがあるのかを把握し、想定対策を立てておく
  • 想定外(=新たな)脅威への対応を考える
  • リスク対策への対策進捗を図る=改善したかどうかを知る

サービス詳細

※ 横スクロールしてください
概 要特 長
制御システムセキュリティリスクアセスメント 海外拠点も含めたグローバルな対応が可能
制御システムセキュリティ戦略・対策ロードマップの策定  
制御システムセキュリティ規程類の整備  
セキュリティインシデント対応 リスク管理/インシデント管理ツール( Enterprise Risk MTCSIRT MT )等を活用した効率的かつ体系化された支援
制御システムセキュリティのトレーニング  
外部委託先管理 外部委託先管理ツール( Supplier Risk MT )を活用した効率的かつ体系化された支援
エンドポイントセキュリティ、クラウドセキュリティ対策・可視化 豊富なセキュリティ製品からお客様環境に最適な製品のご提案と導入・運用支援が可能
参考:取り扱い製品

制御システムセキュリティ対策にお困りの方

そのほか、製品に関しての詳しい内容やご質問などお待ちしております。
制御システムセキュリティ お問合せ・資料請求