はじめに
前回に掲載した「OT環境や工場セキュリティについて気軽に質問できるAIチャット窓口を活用されてみてはいかがでしょうか」の記事を掲載後多くのアクセスがあり、今回は、OTセキュリティ無料 AIチャット相談窓口で問い合わせが多い質問のTOP3をご紹介します。
「TOP1」 OTセキュリティは、何から始めればいいの?
問い合わせ一位は「OTセキュリティは、何から始めればいいのか?」といった基本的な質問です。
OT(Operational Technology)セキュリティとは、工場やプラントなどの制御システムをサイバー攻撃から保護するための取り組みです。
初めて取り組む際には、「アセットの見える化(資産の可視化)」を初期ステップとして実施することを推奨します。その理由はいくつかありますが、特に重要なのは以下の2点です。
「アセットの見える化(資産の可視化)」ソリューション
OT Network Asset Discovery 資産台帳作成支援の資料はこちらからダウンロードできます」
① 何を守るべきかを明確にするため
工場内に存在する資産が「何で構成されているか」「どこにあるか」を把握することで、保護対象を明確にします。
② リスク評価の基礎を築くため
工場内の各資産の重要度や脆弱性を評価し、リスクに応じた対策の優先順位を決定します。
この「アセットの見える化(資産の可視化)」は、経済産業省が策定した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」(28頁)でも、「セキュリティ対策を強化すべき業務に対して、当該業務を支援・実施する工場システムの構成要素を洗い出し、システム構成図の模式図を整理すること」が求められています。
また、NIST CSFやIEC 62443などの国際的なセキュリティフレームワークにおいても、資産管理は初期ステップとして位置づけられており、セキュリティ対策の出発点として非常に重要です。
なお、「アセット」とは、工場内で稼働しているすべての制御機器やネットワーク機器、ソフトウェアを指します。
(抜粋)工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン ver1.1 28頁
参照URL:https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.1.pdf
「TOP2」 工場のセキュリティ対策とは?
2番目に多い質問は「工場のセキュリティ対策」に関する質問です。例えば「PLCを守るには?」「IDSやIT/OT分離は十分か?」といった具体的な対策に関する質問が寄せられています。
「PLCを守るには?」という質問には、「インターネットや社内ITネットワークから物理的・論理的に分離する」ことを推奨します。
また、「IDSやIT/OT分離だけでセキュリティ対策として十分か?」という質問には、「システム構成面だけでなく、物理面での対策なども含めたセキュリティへの多面的な取り組みが必要」と案内します。
実際、経済産業省が策定した『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』(21頁)でも、物理的な対策を含む複数の観点からの対策が記載されています。
もう少し対話形式で確認したい場合は、ぜひAIチャットをご活用ください。具体的な状況に応じたアドバイスを得ることができます。
(抜粋)工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン ver1.1 21頁
参照URL
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.1.pdf
「TOP3」資産台帳の作り方は?
3番目に多い質問は「工場の資産台帳の作成方法は?」「資産台帳に含める資産情報は?」といった、資産台帳の作成に関する質問です。
このような質問が寄せられる背景には、「資産台帳を作成する際に、どのような資産情報を含めればよいのか」と悩むご担当者が多いことが挙げられます。記載する資産情報については、IPAが公開している『制御システムのセキュリティリスク分析ガイド 第2版』(54頁)に、17項目が記載されています。
その中から一部を抜粋すると、「資産名」「設置場所」「OSの種類」などが挙げられます。これらの例以外にも、下記に抜粋した「資産種別」などの情報が必要かどうかを悩む方もいらっしゃるかもしれません。「資産種別」は、リスク分析を行う際に、攻撃の性質や脅威を考慮する上で重要な情報となるため、資産台帳の項目として追加することが望ましいです。
なお、当社のセキュリティナレッジブログでは、「OTセキュリティ対策に必要な資産台帳を作成する方法〜工場の資産、管理できていますか?」という記事も公開していますので、ぜひご参考ください。
NTTセキュリティ・ジャパンではお客様の「アセットの見える化(資産の可視化)」を支援する
OT Network Asset Discovery 資産台帳作成支援のサービスがございます
(抜粋)制御システムのセキュリティリスク分析ガイド第2版 54頁
参照URL1:https://www.ipa.go.jp/security/controlsystem/ug65p90000019bkg-att/begoj9000000hpm8.pdf
参照URL2(IPAによる説明):https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
このコラムでは、OTセキュリティAIチャットでお客様からの問い合わせが多かった質問TOP3をご紹介いたしました。
当社ではAIチャット相談の他に、OTセキュリティについて無料で診断できる
「OTセキュリティ簡易診断」、無料でコンサルタントに相談できる「無料相談」をご用意しています。
OTセキュリティAIチャット相談窓口へのアクセス方法と使い方
① OTセキュリティ無料 AIチャット相談窓口は「OTセキュリティ」ページから
② 右下にAIチャットの画面が出てきます。
③ ご質問内容や確認されたい内容を入力ください。例えば、「OTセキュリティは、まずどこから始めれば良いですか?」などを入力いただくと、AIが回答いたします。
最後に
限られたリソースで迅速な対応が求められる企業様にとって、セキュリティについてのOTセキュリティ 無料AIチャット相談窓口での相談は大きな支援となります。
NTTセキュリティ・ジャパンは、社会全体でセキュリティ意識を高め、健全なビジネス環境を維持することが重要と考えています。
今後も、企業様の安全で持続的な成長を支援するため、相談いただける環境を強化してまいります。
本コラムで紹介した「アセットの見える化(資産の可視化)」
OT Network Asset Discovery 資産台帳作成支援の資料はこちらからダウンロードできます」
