連載
» 2015年04月16日 10時00分 公開

無償ツールで制御システムのリスクを可視化しよう!場面で学ぶ制御システムセキュリティ講座(7)(2/4 ページ)

[原聖樹/トレンドマイクロ,MONoist]

セキュリティ対策の自己評価ができる「J-CLICS」

 最初に紹介するのが、セキュリティ自己評価ツール「J-CLICS」だ。J-CLICSは、セキュリティの対策支援や情報啓蒙などを行うJPCERTコーディネーションセンター(JPCERT/CC)の、制御システムセキュリティ対策グループが公開している制御システム向けセキュリティ自己評価ツールである(関連記事:工場システムがネットで丸見え!? ――JPCERT/CCが訴える制御システムの危機)。その特徴は、質問に対して○×を付けていくだけで、制御システムのリスクを可視化できるという簡便さだ(図1)。

photo 図1:JPCERTコーディネーションセンターのJ-CLICS紹介ページ。必要事項を申込フォームに記入しメールで申し込むことで活用可能となる(クリックでサイトへ)

 J-CLICSは、○×形式のチェックリストと、その概要を説明した補足ガイドから構成されている。チェックリストは制御システム部門全体で取り組む「STEP1」と、各担当で取り組む「STEP2」に分かれている。STEP1は物理セキュリティやパスワードなど基礎的な項目が中心であり、6分野11項目ある。STEP2は、システムの監視、ウイルス対策などより技術的な項目となり、10分野10項目となっている。

 例えば、STEP1の物理セキュリティに対する設問として以下のようなものである。

  • 制御室への入退室は、許可された関係者だけに限られていますか?

 こうした設問に現状対応できているか否かを○×で答えながら、ガイドを参照して進めていく。設問項目ガイドでは、これらの設問に対する「概要」「背景・目的」「想定されるリスク」「内容解説・施策例」などが解説されている。

 例えば、上記の設問に関してガイドでは、「制御室は非常に重要な機器があり、制御室に許可のない人が入ることがないようにルールを策定する」といったことや、「入退室の記録をとった上で定期的に確認する」、といったことが解説されている。

 J-CLICSは設問数も少なく、チェックリストも時間を掛けずに埋められる。チェックシートを埋めた後はガイドを参照して、どういった施策が必要かといった点も確認していただきたい。

Copyright © ITmedia, Inc. All Rights Reserved.