MBSD® MBSD®

ICSセキュリティ・リスクアセスメント

お客様の産業制御システム(ICS)に対して国際基準等を用いたリスク評価を行い、課題を明確にして対処方法をアドバイスします。
生産工場や各種プラントのICSに加え、鉄道・物流・ビルやダム等のインフラを支えるICSを対象とし、GICSP(※1)資格保有者を中心としたICSセキュリティに精通する専門コンサルタントがサポートします。
(※1)GICSP:Global Industrial Cyber Security Professional

当社サービスの特徴・強み

GICSP資格保有者を中心としたリスクアセスメントの実施

ICS資産に対するサイバー攻撃の脅威から工場、各種プラントまたはインフラを守るには、OT(オペレーション技術)・IT(情報技術)・セキュリティの3分野に精通した人材が必要とされますが、国内ではその数が非常に少なく、育成が急務とされています。更にOTには業界毎の特殊性があるため、業界横断的に使えるOTセキュリティの共通言語にも精通している必要があります。海外では上述した知識と経験を持つ専門家としてGICSPが広く認知されており、ICSセキュリティのリスクアセスメントを実施する際の国際資格としてデファクト・スタンダードになっています。

当社では生産技術、工程管理、制御系組込みシステムやITセキュリティに実績のあるコンサルタントを含め、国内ではまだ数少ないGICSP資格保有者を中心にチームを編成し、リスクアセスメントを実施します。

実効性のあるICSセキュリティ対策の実現をサポート

業界によっては守るべきICS資産が数千を超える場合があります。また、同じ工場内でも工程毎に自動化のレベルや制御の目的・目標が異なるため、最適な制御システムセキュリティ対策が工程毎に異なる場合もあります。よって、実際の現場を良く知らずに教科書的な手法を使ってリスクアセスメントを実施した場合、膨大な時間とムダなコストがかかるばかりでなく、お客様にとって最適な制御システムセキュリティ対策に繋がらない可能性があります(ソリューションベンダーは儲かるかも知れません)。

当社ではICSセキュリティの経験を積んだコンサルタントが、ベンダー側に寄らない「第三者の立場」かつ「攻撃者の視点」に立ち、実際に現地で「現調」(現場調査)し、可能な限り運用手順等を作業者から「ヒアリング」することによって現場の実態に見合ったリスクアセスメントを実施します。結果として、お客様ができる限り無駄な対策コストをかけず、しかも守るべき部分については確実にセキュリティを担保できるようにサポートします。

サービス概要

お客様が保有する産業制御システムのうち、ICS資産の概数や自動化レベル等をヒアリングしながらどの部分を評価対象とするのが効率的であるか、及びどの評価基準を採用すれば効果的であるかをお客様と共に検討して決定し、見積りを作成します。

リスクアセスメントの実施にあたっては安全対策基準等の既存文書を提供いただき査読を実施した後、当社にて現地ヒアリングのための質問票を作成します。その後、お客様のICS環境において作業担当者へのヒアリング及び稼働状況の調査を行い、評価基準に照らして現状とのギャップを確認した上でリスクを明確にし、結果を報告します。当社のICSセキュリティ・リスクアセスメントサービスにはお客様のセキュリティ対策の実施レベルに応じ、現状把握サービスからペネトレーションテストまでのバリエーションがあります。

リスクアセスメントの後、評価結果に応じた対策ロードマップの策定支援やセキュリティポリシー見直し支援の他、各種セキュリティ課題の対策についてコンサルティングを行うサービスも用意しています。

ICSセキュリティ対策の実施レベルに応じた支援サービス

現状把握サービス

対象エリアや工程を絞った上で一般的に推奨されるICSセキュリティ管理策と比較し、お客様における現在の対策実施状況がどの程度であるかを把握するサービスです。これからICSセキュリティ対策を始めるにあたり、今後の実施の方向性が明確になることを目的としています。

リスク評価(簡易・詳細)

ICSセキュリティの対策を開始したばかりのお客様や、ある程度実施済みのお客様が、既存の外部基準(※2)に照らして対策が不足しているエリアを確認するサービスです。リスクを明確にし多層防御の考え方に立脚した対策を実施することで、今後のお客様のICS環境におけるセキュリティレベルの維持・向上を目的としています。少なくともセキュリティポリシーの見直し、及びICS資産の棚卸しを完了していることが前提です。

(※2)代表的な外部基準:
CSET(DHS)、Cybersecurity Framework Ver.1.1(NIST)、
IEC 62443-2-1(CSMS認証基準)、IEC 62443-3-3、
ISO/IEC 27001(ISMS認証基準)、J-CLICS(JPCERT/CC)など

ペネトレーションテスト

ICSセキュリティの対策がかなり進んだお客様のICS環境に対し、現地にて当社の専門チームが攻撃者の視点でテストを行い、技術的または運用上の脆弱性を検出するサービスです。少なくとも産業制御システム用IDS(侵入検知システム)を導入していることが前提です。管理者権限の取得がテストのゴールの一つですが、ICS環境においては管理者権限を取得せずとも比較的容易に実現可能な機械の暴走や設備破壊についてもテストのゴールとなり得ます。そこで、脆弱であることが明らかなICS資産に対しては、攻撃用アセットの接続を検知する仕組みの動作確認等により代替評価しています。

カスタマイズ可能な評価結果の出力

リスクアセスメント実施の結果、お客様のICSセキュリティの課題が明確となり、今後の対策の方向性を把握することができます。また、評価結果をさらに有効活用していただくため、実施したリスクアセスメントの目的や対象に応じて評価結果のアウトプットをカスタマイズできるよう、テンプレートのオプションを用意しています。一例としてICSセキュリティの確保に必要な各評価項目ごとのレーダーチャートに加え、重大リスクを明確に記述したり、工場別や工程別の評価結果比較にも対応します。

重大リスク記述の例:
○○システムの●●装置には△△の脆弱性があり、現状のオペレーションでは▲▲としているため、攻撃者によって◇◇された場合に◆◆するリスクがある。

モニター

評価結果のレーダーチャート

モニター

複数工場を対象とした場合の出力例