無償ツールで制御システムのリスクを可視化しよう！：場面で学ぶ制御システムセキュリティ講座（7）（4/4 ページ）

制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。最終回の今回は、セキュリティアセスメントについて解説するとともに、無償でチェックが行える3つのソフトを紹介する。

[原聖樹／トレンドマイクロ，MONoist]

より詳細に評価するための「CSET」

　最後に紹介する「CSET（Cyber Security Evaluation Tool）」は、アメリカ合衆国国土安全保障省（DHS：United States Department of Homeland Security）とアイダホ国立研究所（INL：Idaho National Laboratory）が共同開発した制御・情報システムのサイバーセキュリティ自己評価ツールである。

　CSETはWindowsアプリケーションであり、例えば、NERC-CIPやNIST SP800-53、NIST SP800-82などの複数のセキュリティ基準をサポートしている。主にネットワーク構成図を基にした評価を行うものとなる。

　CSETは先述した2つのツールと比べて非常に詳細な結果が出るが、英語のツールであり、和訳された情報も多くはない。また設問数も非常に多いため、じっくりと時間を掛けて自己評価する場合に利用するとよいだろう。

セキュリティアセスメントで網羅的にリスクの可視化を

　J-CLICSなどのツールを使う場合と、使わない場合ではどう違いがあるのだろうか。例えば、パスワードポリシーがないということに気付いて、対応をしたとしよう。「パスワードポリシーがない」という部分に関しては、確かにセキュリティのレベルが向上するだろう。ただし、特定の問題に気付いてその場その場で対応をしていったとしても、他に問題がないと言い切ることは難しい。

　セキュリティへの対応とは、穴をなくしていく作業でもある。穴を網羅的に探しだし、継続的に見ていく必要がある。特に指標もなく網羅性を保つことは非常に難しい。

　アセスメントのためのツールやアセスメントサービスは、単独の企業や個人の知識だけでは確保しづらい網羅性を与えてくれることも1つのメリットといえる。もちろん、ツールで全てが解決するものではないが、セキュリティを考える上でのきっかけとしてもこれらのツールは非常に有用である。ぜひ一度使ってみていただきたい。

◇　　　　　◇　　　　　◇　　　　　◇

　本連載では、これまで制御システムセキュリティに関連するさまざまな話題を取り上げてきた。セキュリティを考える上で、まずは現状を知ることが非常に重要だ。また、常に状況は変わるということも意識し、継続的な見直しを続けることで、より安全な操業にもつながる。

　セキュリティインシデントは制御システムにおいて、もはや対岸の火事ではなくなってきている。これまでの連載が、読者の皆さまのセキュリティ対策における一助になれば幸いである。（連載終わり）

危機を迎える制御システムのセキュリティ対策とは？：「制御システムセキュリティ」コーナーへ

工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。