無償ツールで制御システムのリスクを可視化しよう！：場面で学ぶ制御システムセキュリティ講座（7）（3/4 ページ）

[原聖樹／トレンドマイクロ，MONoist]

セキュリティ対応状況をスコアで判断できる「SSAT」

　次にSCADA（Supervisory Control And Data Acquisition）に特化した自己評価ツール「SSAT^※」を紹介する。

※）SSAT（SCADA Self Assessment Tool）は英国のCPNI（Centre for the Protection of National Infrastructure）が開発したもので、JPCERT/CCが中心となり2011年に日本版が公開された。CPNIは、英国の政府機関である国家インフラストラクチャ保護センターにおいて、関連する組織に対してセキュリティに関するアドバイスの提供を担当している機関。

　SSATは、Microsoft Excelで作られている。約100の設問に対して「はい」「いいえ」「一部」の3つの選択肢から回答していく。例えばウイルス対策の項目では、「御社は業務用PCにアンチウイルスソフトを導入していますか？」といった設問がある（図2）。

図2：日本版SSAT 質問画面（クリックで拡大）出典：JPCERT/CC

　これらの設問に全て回答すると、グッド・プラクティス・ガイド（PDF）の準拠率をもとにしたスコアが出力される（図3）。

図2 日本版SSATのスコア画面（クリックで拡大）出典：JPCERT/CC

　詳細はグッド･プラクティス・ガイドも参考にしていただきたいが、SSATでスコアとして出される項目の概要は以下のようになる。

1. 事業リスクの理解……サイバーセキュリティの観点から、事業リスクが理解できているかどうか。事業リスクが理解できていることによって、適切なセキュリティレベルを確保するために必要なことが判断できるようになる
2. 継続した統制の確立……制御システムのセキュリティ管理を、組織全体として実施していくためには、適切な統制が必要となる
3. セキュア・アーキテクチャの実装……事業リスクにあわせ、制御システムの環境において、技術的な対策が実施できているかどうか
4. 意識とスキルの改善……人的要素はセキュリティ面で非常に重要であり、セキュリティ面での大きな脅威となる可能性もある。そのため、組織全体のセキュリティ意識、それに必要な知識やスキルの向上が必要となる。
5. 対応能力の確立……セキュリティインシデントの対応能力が確立できているか。例えば、責任の明確化、連絡経路が確立されているか、対応手順が策定され、トレーニングなどが実施されているか、といったインシデントの影響を低減させるための能力
6. サード・パーティ・リスクの管理……ベンダー、サポート組織、その他のサードパーティからの全てのセキュリティリスクを管理できているかどうか
7. プロジェクトへの参画……制御システムでは、常に幾つかのプロジェクトが実施されていることが多いが、それらがセキュリティへ影響を及ぼす可能性があるため、プロジェクトへの積極的な参加とリスク評価が必要となる
8. 調達……「コントロールシステムのサイバーセキュリティ調達基準」にのっとった調達をしているかどうか

　SSATでは上記のような項目に従って、現状どの程度のセキュリティ対策が実施できているかが判断できるようになる。J-CLICSに比べると設問項目は多いが、数時間程度で入力できるレベルの項目数である。また、準拠率が視覚的な結果として出てくるため、セキュリティ面において改善が必要な項目を簡単に判断でき、改善すべき点もより詳しく検討することができる。

　さらに、アセスメント後、改善した項目は、Excelの項目を「はい」に変えていくことで、どの程度改善したかも判断しやすい。