無償ツールで制御システムのリスクを可視化しよう！：場面で学ぶ制御システムセキュリティ講座（7）（2/4 ページ）

制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。最終回の今回は、セキュリティアセスメントについて解説するとともに、無償でチェックが行える3つのソフトを紹介する。

[原聖樹／トレンドマイクロ，MONoist]

セキュリティ対策の自己評価ができる「J-CLICS」

　最初に紹介するのが、セキュリティ自己評価ツール「J-CLICS」だ。J-CLICSは、セキュリティの対策支援や情報啓蒙などを行うJPCERTコーディネーションセンター（JPCERT/CC）の、制御システムセキュリティ対策グループが公開している制御システム向けセキュリティ自己評価ツールである（関連記事：工場システムがネットで丸見え!? ――JPCERT/CCが訴える制御システムの危機）。その特徴は、質問に対して○×を付けていくだけで、制御システムのリスクを可視化できるという簡便さだ（図1）。

図1：JPCERTコーディネーションセンターのJ-CLICS紹介ページ。必要事項を申込フォームに記入しメールで申し込むことで活用可能となる（クリックでサイトへ）

　J-CLICSは、○×形式のチェックリストと、その概要を説明した補足ガイドから構成されている。チェックリストは制御システム部門全体で取り組む「STEP1」と、各担当で取り組む「STEP2」に分かれている。STEP1は物理セキュリティやパスワードなど基礎的な項目が中心であり、6分野11項目ある。STEP2は、システムの監視、ウイルス対策などより技術的な項目となり、10分野10項目となっている。

　例えば、STEP1の物理セキュリティに対する設問として以下のようなものである。

• 制御室への入退室は、許可された関係者だけに限られていますか？

　こうした設問に現状対応できているか否かを○×で答えながら、ガイドを参照して進めていく。設問項目ガイドでは、これらの設問に対する「概要」「背景・目的」「想定されるリスク」「内容解説・施策例」などが解説されている。

　例えば、上記の設問に関してガイドでは、「制御室は非常に重要な機器があり、制御室に許可のない人が入ることがないようにルールを策定する」といったことや、「入退室の記録をとった上で定期的に確認する」、といったことが解説されている。

　J-CLICSは設問数も少なく、チェックリストも時間を掛けずに埋められる。チェックシートを埋めた後はガイドを参照して、どういった施策が必要かといった点も確認していただきたい。