有村氏　先述したとおり、予防、早期発見、事後対応への取り組みを基本として取り組みを進めている。JPCERT/CCとして制御システムセキュリティに向けて取り組んでいるサービスは、主に「製品に潜在する脆弱性を減らす」「インシデント対応体制を支援する」「セキュリティ対策への気付き支援」「情報提供・普及啓発」の4つだ（図1）。

図1：ICS防御態勢整備を支援するJPCERT/CCのサービス

　安全な製品を作るための「セキュアコーディングセミナー」や、「インシデント対応トレーニング」「月刊ニュースレターの発行」などを行っている。

　また、セキュリティ対策への気付き支援としては、機器ベンダーとの協力などにより、セキュリティなどの専門知識がなくてもチェックできるチェックリスト「J-CLICS（Check List for Industrial Control Systems of Japan）」を作成し、無料で提供を行っている。^※）

※）入手するには申し込みが必要。J-CLICS（https://www.jpcert.or.jp/ics/jclics.html）から申し込みできる。

「セキュリティは自社だけで解決するのが難しいもの。複合的に問題を解決できる窓口になっていきたい」と語る有村氏

　「制御ルームへの入退室は許可された関係者だけに限られていますか」や「制御システムのネットワークに接続する機器について、事前にそれらがウイルスに感染していないことを確認する手順を守っていますか」などの非常に簡単な設問で、現状の自社のセキュリティの状況について理解することができる。

　制御システムセキュリティ分野では「どこから取り組めばいいのか」や「上長の説得に苦労する」というような話をよく聞くが、その1つの材料として、まず「J-CLICS」でチェックし、自社のセキュリティ状況を理解するということから始めればいいと提案を進めているところだ。まずは現場の現状を示すことが重要ではないかと考えている。

　また、1つの手として社内のITシステム部門との連携を密にすることが有効な対策につながると考えている。情報システム部門でも過去さまざまな問題にぶつかりながらセキュリティ対策を進めてきた。制御システムを扱う製造現場などはITシステム部門と離れているケースも多いが、既にあるノウハウを提供してもらうだけでも多くの対策を取ることができる。

　セキュリティ対策は、内部だけでなく外部の知見なども活用して、セキュリティレベルを上げていくことが重要だ。その意味で、自社内のITシステム部門の力や、われわれのような外部団体の力などをうまく活用して、対策を進めてほしいと考えている。

「産業制御システムのセキュリティ」バックナンバー