OTセキュリティサービス
OTセキュリティサービスは、コンサルティングから教育・訓練・情報セキュリティ製品の導入など、工場をサイバー攻撃から防ぐために必要な対策を一貫して支援するサービスです。制御システムセキュリティ基準であるIEC62443やNISTをベースにしたGSX独自のOTセキュリティフレームワークを基に、技術的な対策、人への訓練・教育を実施して、人と機械双方におけるセキュリティ強化を支援します。
OTセキュリティサービスは、コンサルティングから教育・訓練・情報セキュリティ製品の導入など、工場をサイバー攻撃から防ぐために必要な対策を一貫して支援するサービスです。制御システムセキュリティ基準であるIEC62443やNISTをベースにしたGSX独自のOTセキュリティフレームワークを基に、技術的な対策、人への訓練・教育を実施して、人と機械双方におけるセキュリティ強化を支援します。
製造業へのサイバー攻撃の増加
事実、2020年に最もサイバー攻撃を受けた業界で製造業は2位と前年度の8位から大きく順位を上げており※1、深刻なセキュリティ対策不足が露呈する結果となりました。
※1) IBM X-Force脅威インテリジェンス・インデックス2021
安全安心なOT環境実現に向けて
-
海外工場でも対応可能
GSXは外資系企業、日系グローバル企業への豊富な実績があるため、海外工場であっても問題なくサービスの実施が可能です。
-
制御システムセキュリティ基準に準拠
GSXのOTセキュリティサービスは、IEC62443やNISTをベースした、独自のOTセキュリティフレームワークを保有しており、当フレームワークをもとにお客様のOTセキュリティ向上を支援します。
-
OTセキュリティ向上に必要なサービスを網羅
OTセキュリティを向上させるためには、サイバー攻撃を識別・防御・検知・対応・復旧の5つの視点から対策を行う必要があります。GSXのOTセキュリティサービスは、5つの視点全てにおいてサービスを有しており、お客様の状態に合わせて適切なソリューションをワンストップで導入することができます。
| 要件を実現 すべき対象 |
区分 | 規格番号 (IEC) |
標題 | 備考 |
|---|---|---|---|---|
| 全体 | 用語定義と原則 | 62443-1-1 | Terminology, concepts and models | |
| 62443-1-2 | Master glossary of terms and abbreviations | |||
| 62443-1-3 | System security compliance metrics | |||
| 62443-1-4 | IACS security lifecycle and use-case | |||
| 制御システム 運用者 |
セキュリティ 管理のポリシー と手順 |
62443-2-1 | Requirements for IACS security management system | CSMS |
| 62443-2-2 | Implementation guidance for an IACS security management system | |||
| 62443-2-3 | Patch management in the IACS environment | |||
| 62443-2-4 | Requirements for IACS solution suppliers | |||
| システム インテグレータ |
システム構成 | 62443-3-1 | Security technologies for IACS | |
| 62443-3-2 | Security levels for zones and conduits | SSA | ||
| 62443-3-3 | System security requirements and security levels | EDSA/SDLA | ||
| 製品ベンダ | コンポーネント | 62443-4-1 | Product development requirements | EDSA |
| 62443-4-2 | Technical security requirements for IACS components |
| コンサルティング・ 教育 |
訓練 |
|
|
| コンサルティング・ 教育 |
現状の調査
- OTセキュリティ状態について、チェックリストを用いた診断を実施し課題を明らかにします。必要に応じて、より詳細な調査や無線LANへの調査なども行います。
ガイドラインの作成
- 弊社コンサルタントが、OTセキュリティにおける基本事項をガイドラインとして作成し、現場でのセキュリティ意識向上を推進します。
技術的対策の実施
- OTネットワークの改修や、OTセキュリティ製品の導入・運用支援を実施し、お客様の技術的対策レベル向上を支援します。
社員教育の実施
- 社員全体のOTセキュリティへの理解を深める教育コンテンツのほか、サイバー攻撃から工場を守る専門組織FSIRTの構築及び訓練についても支援します。
OTセキュリティ簡易現状調査
また、OTセキュリティの専用機を用いて、対象となるネットワーク上にある資産・通信・脆弱性を可視化します。
工場内のすべてを調査するのではなく、事業を継続するため、生産を止めないための必要最低限の箇所を調査し、影響の大きいリスク、対応すべき優先順位、対策方法を、客観的に報告・提言します。
検出事項とリスク
リスクと対策事項
改善活動計画
IoTセキュリティ診断の詳細はこちら
OTセキュリティガイドライン作成
ガイドラインは、IEC62443、経産省やNISTのガイドラインの中から、必要となる要素および弊社の知見から構成したOTセキュリティフレームワークに基づいて、工場の現場で実現性のある内容にします。細かい手順ではなく、現場で意識すべきポイントに絞り、製品の製造工程において、セキュリティについても意識付けを行うことで、安心・安全なものづくりに繋げます。
安全設計の確認 |
インテグレータやベンダーが作成した安全要求仕様書(SRS)等の確認 |
セキュリティ検討 |
設備、製品に求める/求められるセキュリティ要求(可用性、完全性、機密性)の検討 |
インテグレータのセキュリティ検討 |
H(健康)S(安全性)E(環境)の考慮 |
セキュリティ対策の立案・残存リスク評価 |
セキュリティ対策の立案、検証、残存リスクの評価 |
妥当性確認 |
セキュリティ対策による、対象のセキュリティ要件を満たしていることの確認 |
運用・保守 |
既存の安全に関わるドキュメントへの、セキュリティ運用に関連する内容反映 |
OTセキュリティ製品導入・運用支援
常に最新の資産と通信を可視化することが可能になり、インシデントが発生した場合に、事業継続を最優先にした判断を迅速に行うことができます。また、製品が検知したマルウェアの解析を支援する運用支援も提供しています。
| 提供する主な機能 |
|---|
資産可視化 |
通信可視化 |
脆弱性可視化 |
異常検知 |
OTプロセス異常検知 |
OTセキュリティ教育(工場従業員様向けMina Secure®)
コンテンツの基礎部分には、よく言われている「制御システムへの脅威や脆弱性」やIPAの「産業用制御システムのセキュリティ10大脅威2019年」を取り扱いつつ、カスタマイズ部分には、お客様が持つOTセキュリティガイドラインに沿ったルールを盛り込み、教育コンテンツを作成します。
OTセキュリティeラーニングサービス MinaSecureの詳細はこちら
訓練ではシナリオを作成し、パイロット工場に対して実際の攻撃が発生したことを想定した訓練を実施します。なお、パイロット工場での訓練後、課題を抽出し、訓練シナリオの修正を行いながら定期的な訓練を実施することも可能です。
お客様のデータの保全、原因分析などインシデントレスポンスを支援し、発生インシデントの早期把握と今後の対応計画の早期立案を可能にすることを目的としています。
また、追加調査や事後対策の必要性の検討材料もご提供します。
なお、本サービスでは調査・分析を行いますが、原則として最終的なインシデントの原因究明や解決を前提にしておりません。
サービスの流れ
1
2
3
4
の整理
リスク管理ルール策定
・貴社のサプライチェーンの種類を洗い出します。
・サプライチェーンの種類毎の要件を整理します。
・サプライチェーンリスク管理ルールを策定します。
・既存のIT/OTセキュリティ管理ルールに取り込みます。
・サプライチェーンリスク管理ガイドラインを策定(または改訂)します。
・運用のためのチェックシートも併せて作成します。
・サプライチェーンリスク管理ルールに則り、運用を開始します。
(例)
・サプライチェーンリスク管理のための従業員トレーニング
・脆弱性診断の実施 など
※STEP4の従業員トレーニング脆弱性診断は、STEP1~3の完了前に実施することが可能です。
