　最後に紹介する「CSET（Cyber Security Evaluation Tool）」は、アメリカ合衆国国土安全保障省（DHS：United States Department of Homeland Security）とアイダホ国立研究所（INL：Idaho National Laboratory）が共同開発した制御・情報システムのサイバーセキュリティ自己評価ツールである。

　CSETはWindowsアプリケーションであり、例えば、NERC-CIPやNIST SP800-53、NIST SP800-82などの複数のセキュリティ基準をサポートしている。主にネットワーク構成図を基にした評価を行うものとなる。

　CSETは先述した2つのツールと比べて非常に詳細な結果が出るが、英語のツールであり、和訳された情報も多くはない。また設問数も非常に多いため、じっくりと時間を掛けて自己評価する場合に利用するとよいだろう。

セキュリティアセスメントで網羅的にリスクの可視化を

　J-CLICSなどのツールを使う場合と、使わない場合ではどう違いがあるのだろうか。例えば、パスワードポリシーがないということに気付いて、対応をしたとしよう。「パスワードポリシーがない」という部分に関しては、確かにセキュリティのレベルが向上するだろう。ただし、特定の問題に気付いてその場その場で対応をしていったとしても、他に問題がないと言い切ることは難しい。

　セキュリティへの対応とは、穴をなくしていく作業でもある。穴を網羅的に探しだし、継続的に見ていく必要がある。特に指標もなく網羅性を保つことは非常に難しい。

　アセスメントのためのツールやアセスメントサービスは、単独の企業や個人の知識だけでは確保しづらい網羅性を与えてくれることも1つのメリットといえる。もちろん、ツールで全てが解決するものではないが、セキュリティを考える上でのきっかけとしてもこれらのツールは非常に有用である。ぜひ一度使ってみていただきたい。

◇　　　　　◇　　　　　◇　　　　　◇

　本連載では、これまで制御システムセキュリティに関連するさまざまな話題を取り上げてきた。セキュリティを考える上で、まずは現状を知ることが非常に重要だ。また、常に状況は変わるということも意識し、継続的な見直しを続けることで、より安全な操業にもつながる。

　セキュリティインシデントは制御システムにおいて、もはや対岸の火事ではなくなってきている。これまでの連載が、読者の皆さまのセキュリティ対策における一助になれば幸いである。（連載終わり）

「場面で学ぶ制御システムセキュリティ講座」バックナンバー