SCADAツールユーザーの危機を未然に防いだテナブル、日本市場を重要視:IoTセキュリティ
クラウド型脆弱性管理プラットフォーム「Tenable.io」を提供する、Tenable Network Security(以下、テナブル)が、同社のパートナー企業であるSchneider Electricにおける最新事例を明かしている。
クラウド型脆弱性管理プラットフォーム「Tenable.io」を提供する、Tenable Network Security(以下、テナブル)が、同社のパートナー企業であるSchneider Electric(以下、シュナイダー)における最新事例を明かしている(関連記事:ランサムウェアを未然につぶす、つながらない古い機器を狙う脅威も可視化して分析「Tenable.io」)。
テナブルのデータサイエンスチームである「Tenable Research」は2018年4月、シュナイダーが提供するSCADAソフトウェアである「InduSoft Web Studio」とHMI(Human Machine Interface)開発ソフトウェアの「InTouch Machine Edition」における、リモートコード実行による脆弱性を発見して報告した。シュナイダーはこの報告を受け、両ソフトウェアの修正パッチを速やかに公開。2018年4月23日には全てのパッチ対応が完了していた。もし気が付かずに未対処であれば、このリモートアクセス時の脆弱性をついて、悪意ある第三者により任意コードを実行されてしまい、InduSoft Web StudioやInTouch Machine Editionのサーバが重大な危機にさらされる可能性があった。
IoT(モノのインターネット)の仕組みにまで及ばなくとも、現在、世界のメーカーにおける工場の機器はなんらかの形でインターネットにつながっていることが多い。その脆弱性を突いたサイバー攻撃による被害は世界で増加傾向である。また大手メーカーの組織形態は複雑であり、全ての部署に一気に共通のパッチを当てることは不可能だ。システムに潜んだ脆弱性を見落とす、あるいは発見した脆弱性に対して適切な対処が速やかに行われなければ、特にメーカーの場合は工場の生産に深刻な問題を及ぼす恐れがあって、ビジネスに大きく響いてくる。テナブルでは、シュナイダーの事例のようなサイバーエクスポージャ分析による速やかな対処が、今後より重要になってくると考える。
テナブルではシュナイダーの他にもTenable Researchによるサイバーエクスポージャ分析を世界のメーカーに対して提供している。現在、日本においてもサイバーエクスポージャ分析における協業先を検討中である。「日本には数多くのメーカーが存在しており、IoTや自動化技術もいたるところに導入されている。テナブルでは日本市場に重きをおく。サイバーエクスポージャ問題への意識を高め、製品を広めていきたい」とテナブルの日本法人、テナブル・ネットワーク・セキュリティ・ジャパン カントリーマネジャーであるダグ・ニューマン氏は述べている。
日本法人においてはデータサイエンティストを中心にスタッフ増強を図っている。パートナー候補企業ともコンタクトしながら、エンジニアのトレーニングも実施している。日本市場は新しい仕組みに対して保守的かつ独特(※)であることから、市場調査にあたるデータサイエンティストの力で確実にローカライズしていくことが肝要であるという。細やかで幅広い日本市場に対して、数で勝負の人海戦術の販売サポートで挑むのではなく、質の高いパートナー企業少数と契約し、着実な教育と啓蒙、拡販を目指すということだ。
テナブルが米国で2018年3月に発表した新プラットフォーム「Tenable.io Lumin」は、脆弱性管理、コンテナセキュリティ、Webアプリケーションスキャン、インダストリアルセキュリティに対応する、新しいサイバーエクスポージャプラットフォームであるという。これまでのTenable.ioをベースに、メーカーに対するサイバーエクスポージャに分析に特化して、視覚化、分析、測定などの機能を提供するという。企業に在籍するCISO(最高情報セキュリティ責任者)自身が操作でき、サイバーリスクを定量化したり理解したりが容易に可能だという。同製品は同年10月に全世界でリリース予定である。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ランサムウェアを未然につぶす、つながらない古い機器を狙う脅威も可視化して分析「Tenable.io」
脆弱性スキャナー「Nessus」を開発するテナブルは、クラウド型脆弱性管理プラットフォーム「Tenable.io」を国内で本格展開する。同製品は、社内ネットワークやインターネットにつながった機器やシステムだけではなく、クラウド上のアプリケーションや、コンテナ、インターネット接続されていない機器まで管理対象に含め、それぞれの脆弱性や対処すべき優先順位を分かりやすく可視化し、かつ経営判断で利用しやすくレポーティングする仕組みを備える。 - スマートファクトリーはエッジリッチが鮮明化、カギは「意味あるデータ」
2017年はスマートファクトリー化への取り組みが大きく加速し、実導入レベルでの動きが大きく広がった1年となった。現実的な運用と成果を考えた際にあらためて注目されたのが「エッジリッチ」「エッジヘビー」の重要性である。2018年はAIを含めたエッジ領域の強化がさらに進む見込みだ。 - 工場のネットワークセキュリティ対策とは?
インダストリー4.0や工場向けIoTなどに注目が集まっていますが、そもそも工場内のネットワーク環境は、どのように構築すべきなのでしょうか。本連載では、産業用イーサネットの導入に当たり、その基礎から設備設計の留意点などを含めて解説していきます。第5回では、工場のネットワークセキュリティ対策について解説します。 - スマート工場を守る、PLCの組み込みセキュリティでオムロンとシスコが提携
オムロンとシスコシステムズは製造現場のセキュリティを確保するために技術提携する。PLCにシスコのエッジセキュリティ向けソフトを搭載し製品化を進める。 - 事例から見る、製造現場でのセキュリティ導入の“ツボ”
増加する“制御システムを取り巻く脅威”に対し、制御システムセキュリティ対策が急務になっているが、そこには製造現場ならではの課題も多い。現場で実際に起こったセキュリティ事例から、製造現場でのセキュリティ導入の“ツボ”を考える。