日立のサイバー防衛訓練サービスがリモートワークに対応「オンラインNxSeTa」へ:産業制御システムのセキュリティ
日立製作所は、同社の大みか事業所(茨城県日立市)や顧客の拠点などで実施してきたサイバー防衛訓練サービス「NxSeTA(Nx Security Training Arena)」について、リモート環境からの参加が可能な「オンラインNxSeTA」を2021年6月1日から提供すると発表した。
日立製作所(以下、日立)は2021年5月24日、オンラインで会見を開き、同社の大みか事業所(茨城県日立市)や顧客の拠点などで実施してきたサイバー防衛訓練サービス「NxSeTA(Nx Security Training Arena)」について、リモート環境からの参加が可能な「オンラインNxSeTA」を同年6月1日から提供すると発表した。2017年に立ち上げたNxSeTAは、発電所や鉄道システムなどの重要インフラ向けを中心に展開しており、2020年度は30社/1000人が参加する規模になっている。今回のオンラインNxSeTAの投入により、NxSeTAサービス全体として2021年度は50社/1500人、2022年度は70社/2000人の参加を目指す。
NxSeTaは、重要な社会インフラへのサイバー攻撃に対応するための総合訓練・検証施設として2017年に大みか事業所内に開設された。新型コロナウイルス感染症(COVID-19)の感染拡大が国内でも社会問題となり始めた2020年3月からは、可搬式の環境を持ち込んで顧客の現地拠点で訓練を実施できる「ポータブルNxSeTa」を追加しており、NxSeTaの位置付けは大みか事業所内の訓練施設から訓練サービスに変化している。
今回発表したオンラインNxSeTaは、コロナ禍で採用が拡大しているリモート業務に対応した点が最大の特徴となる。訓練参加者は、自宅やサテライトオフィスなど、場所を限定せず、効率的かつ柔軟に遠隔から受講できる。大みか事業所のNxSeTaや、顧客拠点で行うポータブルNxSeTaと異なり、参加者が1カ所に集まって訓練に参加できないオンラインNxSeTaは参加者間での連携やコミュニケーションの取り方が大きな課題になる。そこで、訓練に必要な実制御システムやセキュリティツールについては日立がWebブラウザ経由で提供し、参加者間での連携やコミュニケーションについては参加企業が通常業務で用いているコミュニケーションツールや電話を使用して訓練を行えるようになっている。「これにより、リモート化が進むであろう今後の新たなワークスタイルに対応可能なインシデント対応体制や運用の整備、組織間の連携強化が可能になる」(日立 サービス&プラットフォームビジネスユニット 制御プラットフォーム統括本部 サービス・制御プラットフォームシステム本部 制御セキュリティ設計部 グループリーダー主任技師の小林英二氏)という。
「オンラインNxSeTA」で使用する実制御システムの画面の一例(左)。火力発電所の制御システムを想定したものだ。訓練では日頃の通常業務で用いている電話やコミュニケーションツールを使用する(右)(クリックで拡大) 出典:日立訓練シナリオは、これまでに国内外で起こった重大インシデントを題材として重要インフラ向けを中心にさまざまな内容を用意している。2021年5月に発生した米国のコロニアル・パイプラインの被害であらためて注目を集めているランサムウェアによるサイバー攻撃も模擬できるとしている。
また、個人および組織におけるセキュリティスキル向上に向けて、コミュニケーション力やレジリエンスなど多様な評価軸としてレジリエンスエンジニアリングでシステムを維持する安全概念である「Safety-II」などを用いた訓練評価を行い、段階的なスキルアップが図れるように、継続的な効果教育、訓練計画も提案する。訓練による人財強化の他、セキュリティ関連の業務や運用体制に適したツールの活用方法の提案や、インシデント対応アセスメントなどのコンサルティングサービスも提供し、現場力とレジリエンス強化のためのトータルサポートを行う。
オンラインNxSeTaの価格は案件ごとの個別見積もりとなっており非公開だが「一般的には数百万円のオーダーになる」(日立 サービス&プラットフォームビジネスユニット サービスプラットフォーム事業本部 セキュリティイノベーション本部 制御セキュリティ戦略部 部長の石場光朗氏)という。また、これまでは重要インフラ向けが中心だったが、製造業や物流、小売りなどの産業分野、上下水道分野などにも展開を広げていく方針だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
医療機器のセキュリティを守るために、インシデント訓練から何が見えたのか
医療機器メーカーや医療機関、セキュリティベンダーなどが参加する医療機器サイバーセキュリティ協議会が、医療機器メーカー向けセキュリティインシデント訓練を実施。トレンドマイクロのインシデント対応ボードゲームをベースに医療機器メーカー向けにカスタマイズしたものを用いて、オンラインで行われた。
IoT時代の安心・安全に組織面の対応が重要となる理由
製造業がIoT(モノのインターネット)を活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第1回は、技術面以上に、なぜ組織面での対応が重要となるのかについて説明する。
発電所や工場をサイバー攻撃から守れ、必要なのはOTとITの融和、経営陣の理解
MONOistとスマートジャパンが「IoT/制御システムセキュリテイセミナー」を開催。ネットワーク接続が当たり前になりIoTの利活用が進む中で、発電所などの重要インフラや工場などの産業制御システムセキュリティにどのような課題があるか、どのような対策が取り得るかについて、講演やセッションを通じて紹介した。
オリンパスの新たなセキュリティ組織はなぜ“顧客中心”を掲げているのか
日立製作所が、2020年11月8〜6日に開催したオンラインイベント「Hitachi Social Innovation Forum 2020 TOKYO ONLINE」に、医療機器大手のオリンパスが登壇。同社 執行役員 CISO(最高情報セキュリティ責任者)の北村正仁氏が、2019年4月に発足した新たなセキュリティ組織の体制やPSIRT構築などについて説明した。
日立の工場IoTセキュリティサービスはBCPから、「WannaCry」の経験が生きる
日立製作所は、東京都内で開催した「日立セキュリティフォーラム2019」の展示コーナーで、工場IoTセキュリティに関する提案を行った。
日立は「WannaCry」被害から何を学んだのか、IoTセキュリティサービスに昇華
日立製作所が開催した「日立セキュリティソリューションセミナー」の基調講演に、同社 サービスプラットフォーム事業本部 セキュリティ事業統括本部 副統括本部長の宮尾健氏が登壇。2017年5月に発生したランサムウェア「WannaCry」による被害から得られた気付きと、それに基づいて開発した同社のIoTセキュリティサービスを紹介した。