無償ツールで制御システムのリスクを可視化しよう!:場面で学ぶ制御システムセキュリティ講座(7)(2/4 ページ)
制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。最終回の今回は、セキュリティアセスメントについて解説するとともに、無償でチェックが行える3つのソフトを紹介する。
セキュリティ対策の自己評価ができる「J-CLICS」
最初に紹介するのが、セキュリティ自己評価ツール「J-CLICS」だ。J-CLICSは、セキュリティの対策支援や情報啓蒙などを行うJPCERTコーディネーションセンター(JPCERT/CC)の、制御システムセキュリティ対策グループが公開している制御システム向けセキュリティ自己評価ツールである(関連記事:工場システムがネットで丸見え!? ――JPCERT/CCが訴える制御システムの危機)。その特徴は、質問に対して○×を付けていくだけで、制御システムのリスクを可視化できるという簡便さだ(図1)。
J-CLICSは、○×形式のチェックリストと、その概要を説明した補足ガイドから構成されている。チェックリストは制御システム部門全体で取り組む「STEP1」と、各担当で取り組む「STEP2」に分かれている。STEP1は物理セキュリティやパスワードなど基礎的な項目が中心であり、6分野11項目ある。STEP2は、システムの監視、ウイルス対策などより技術的な項目となり、10分野10項目となっている。
例えば、STEP1の物理セキュリティに対する設問として以下のようなものである。
- 制御室への入退室は、許可された関係者だけに限られていますか?
こうした設問に現状対応できているか否かを○×で答えながら、ガイドを参照して進めていく。設問項目ガイドでは、これらの設問に対する「概要」「背景・目的」「想定されるリスク」「内容解説・施策例」などが解説されている。
例えば、上記の設問に関してガイドでは、「制御室は非常に重要な機器があり、制御室に許可のない人が入ることがないようにルールを策定する」といったことや、「入退室の記録をとった上で定期的に確認する」、といったことが解説されている。
J-CLICSは設問数も少なく、チェックリストも時間を掛けずに埋められる。チェックシートを埋めた後はガイドを参照して、どういった施策が必要かといった点も確認していただきたい。
Copyright © ITmedia, Inc. All Rights Reserved.