無償ツールで制御システムのリスクを可視化しよう!:場面で学ぶ制御システムセキュリティ講座(7)(4/4 ページ)
制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。最終回の今回は、セキュリティアセスメントについて解説するとともに、無償でチェックが行える3つのソフトを紹介する。
より詳細に評価するための「CSET」
最後に紹介する「CSET(Cyber Security Evaluation Tool)」は、アメリカ合衆国国土安全保障省(DHS:United States Department of Homeland Security)とアイダホ国立研究所(INL:Idaho National Laboratory)が共同開発した制御・情報システムのサイバーセキュリティ自己評価ツールである。
CSETはWindowsアプリケーションであり、例えば、NERC-CIPやNIST SP800-53、NIST SP800-82などの複数のセキュリティ基準をサポートしている。主にネットワーク構成図を基にした評価を行うものとなる。
CSETは先述した2つのツールと比べて非常に詳細な結果が出るが、英語のツールであり、和訳された情報も多くはない。また設問数も非常に多いため、じっくりと時間を掛けて自己評価する場合に利用するとよいだろう。
セキュリティアセスメントで網羅的にリスクの可視化を
J-CLICSなどのツールを使う場合と、使わない場合ではどう違いがあるのだろうか。例えば、パスワードポリシーがないということに気付いて、対応をしたとしよう。「パスワードポリシーがない」という部分に関しては、確かにセキュリティのレベルが向上するだろう。ただし、特定の問題に気付いてその場その場で対応をしていったとしても、他に問題がないと言い切ることは難しい。
セキュリティへの対応とは、穴をなくしていく作業でもある。穴を網羅的に探しだし、継続的に見ていく必要がある。特に指標もなく網羅性を保つことは非常に難しい。
アセスメントのためのツールやアセスメントサービスは、単独の企業や個人の知識だけでは確保しづらい網羅性を与えてくれることも1つのメリットといえる。もちろん、ツールで全てが解決するものではないが、セキュリティを考える上でのきっかけとしてもこれらのツールは非常に有用である。ぜひ一度使ってみていただきたい。
◇ ◇ ◇ ◇
本連載では、これまで制御システムセキュリティに関連するさまざまな話題を取り上げてきた。セキュリティを考える上で、まずは現状を知ることが非常に重要だ。また、常に状況は変わるということも意識し、継続的な見直しを続けることで、より安全な操業にもつながる。
セキュリティインシデントは制御システムにおいて、もはや対岸の火事ではなくなってきている。これまでの連載が、読者の皆さまのセキュリティ対策における一助になれば幸いである。(連載終わり)
危機を迎える制御システムのセキュリティ対策とは?:「制御システムセキュリティ」コーナーへ
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 工場や制御システムを守る“無駄な動作をさせない”というやり方
制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。5回目となる今回は、制御システムセキュリティに有効だとされる「エンドポイント機器に対するロックダウン」の内容とその導入方法について解説する。 - Windows XPサポート終了問題、移行しないとなぜ駄目なの?
日本マイクロソフトは、2014年4月9日に迫ったWindows XPのサポート終了に対するセキュリティリスクについて、経済産業省やセキュリティベンダー各社と説明を行った。 - 工場システムがネットで丸見え!? ――JPCERT/CCが訴える制御システムの危機
制御システムセキュリティへの危機感が高まっているが、製造業はどういう対策を取り得るだろうか。セキュリティの対策支援や啓蒙を行うJPCERT/CCは2012年に制御システムセキュリティ専門の対策チームを設立した。現状までの取り組みと狙いについてJPCERT/CC 常務理事の有村浩一氏に聞いた。 - なぜ今、制御システムセキュリティがアツいのか?
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト(啓蒙することを使命とする人)である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。 - テーマサイト「制御システムセキュリティ」