OTセキュリティサービス

OTセキュリティサービスは、コンサルティングから教育・訓練・情報セキュリティ製品の導入など、工場をサイバー攻撃から防ぐために必要な対策を一貫して支援するサービスです。制御システムセキュリティ基準であるIEC62443やNISTをベースにしたGSX独自のOTセキュリティフレームワークを基に、技術的な対策、人への訓練・教育を実施して、人と機械双方におけるセキュリティ強化を支援します。

OTセキュリティサービスは、コンサルティングから教育・訓練・情報セキュリティ製品の導入など、工場をサイバー攻撃から防ぐために必要な対策を一貫して支援するサービスです。制御システムセキュリティ基準であるIEC62443やNISTをベースにしたGSX独自のOTセキュリティフレームワークを基に、技術的な対策、人への訓練・教育を実施して、人と機械双方におけるセキュリティ強化を支援します。

工場のハードウェアを制御・運用するための産業用制御システム(OTシステム/ Operational Technologyシステム)は、これまで、クローズドなネットワーク環境であるため安全と言われてきました。しかし、DX・IoTなどのデジタル化により、ITシステムとOTシステムが接続されるようになったことで、ITシステムや無線通信を経由したサイバー攻撃に晒される可能性が高まっています。

製造業へのサイバー攻撃の増加

クローズドを前提としていたOTシステムはサイバーセキュリティ対策を想定して構築されていないことから、サイバー攻撃の格好の標的となっています。
事実、2020年に最もサイバー攻撃を受けた業界で製造業は2位と前年度の8位から大きく順位を上げており※1、深刻なセキュリティ対策不足が露呈する結果となりました。
※1) IBM X-Force脅威インテリジェンス・インデックス2021

安全安心なOT環境実現に向けて

情報漏洩や生産ラインの停止など深刻な被害を及ぼすケースも多発しており、OT環境の安全神話はもはや成り立ちません。デジタルトランスフォーメーションを実現する観点、中核事業の生産を止めないBCP観点においても、企業は産業用制御システムの情報セキュリティ対策を早急に行い、サイバー攻撃に対応する必要があります。
GSXのOTセキュリティサービスは、多様な業種・業態へのセキュリティコンサルティング経験とセキュリティ教育事業、セキュリティ製品の導入支援などを組み合わせて、工場で働く人と機器、ネットワークに対して包括的なセキュリティ対策を行います。
  • 海外工場でも対応可能

    海外工場でも対応可能

    GSXは外資系企業、日系グローバル企業への豊富な実績があるため、海外工場であっても問題なくサービスの実施が可能です。

  • 制御システムセキュリティ基準に準拠

    制御システムセキュリティ基準に準拠

    GSXのOTセキュリティサービスは、IEC62443やNISTをベースした、独自のOTセキュリティフレームワークを保有しており、当フレームワークをもとにお客様のOTセキュリティ向上を支援します。

  • OTセキュリティ向上に必要なサービスを網羅

    OTセキュリティ向上に必要なサービスを網羅

    OTセキュリティを向上させるためには、サイバー攻撃を識別・防御・検知・対応・復旧の5つの視点から対策を行う必要があります。GSXのOTセキュリティサービスは、5つの視点全てにおいてサービスを有しており、お客様の状態に合わせて適切なソリューションをワンストップで導入することができます。

GSX OTセキュリティ フレームワーク
要件を実現
すべき対象
区分 規格番号
(IEC)
標題 備考
全体 用語定義と原則 62443-1-1 Terminology, concepts and models
62443-1-2 Master glossary of terms and abbreviations
62443-1-3 System security compliance metrics
62443-1-4 IACS security lifecycle and use-case
制御システム
運用者
セキュリティ
管理のポリシー
と手順
62443-2-1 Requirements for IACS security management system CSMS
62443-2-2 Implementation guidance for an IACS security management system
62443-2-3 Patch management in the IACS environment
62443-2-4 Requirements for IACS solution suppliers
システム
インテグレータ
システム構成 62443-3-1 Security technologies for IACS
62443-3-2 Security levels for zones and conduits SSA
62443-3-3 System security requirements and security levels EDSA/SDLA
製品ベンダ コンポーネント 62443-4-1 Product development requirements EDSA
62443-4-2 Technical security requirements for IACS components
コンサルティング・
教育
訓練
  • NW改修
  • 製品導入
  • 運用支援
コンサルティング・
教育
OTセキュリティサービスは次の流れで実施します。お客様の状態に合わせて、必要な項目のみの実施も可能です。
Step1.

現状の調査

  • OTセキュリティ状態について、チェックリストを用いた診断を実施し課題を明らかにします。必要に応じて、より詳細な調査や無線LANへの調査なども行います。
Step2.

ガイドラインの作成

  • 弊社コンサルタントが、OTセキュリティにおける基本事項をガイドラインとして作成し、現場でのセキュリティ意識向上を推進します。
Step3.

技術的対策の実施

  • OTネットワークの改修や、OTセキュリティ製品の導入・運用支援を実施し、お客様の技術的対策レベル向上を支援します。
Step4.

社員教育の実施

  • 社員全体のOTセキュリティへの理解を深める教育コンテンツのほか、サイバー攻撃から工場を守る専門組織FSIRTの構築及び訓練についても支援します。

OTセキュリティ簡易現状調査

弊社のコンサルタントが、お客様のBCPを確認し、中核事業に関連する箇所のみ、チェックリストを用いて、組織面・運用面・物理面の対策状況を把握します。

また、OTセキュリティの専用機を用いて、対象となるネットワーク上にある資産・通信・脆弱性を可視化します。

工場内のすべてを調査するのではなく、事業を継続するため、生産を止めないための必要最低限の箇所を調査し、影響の大きいリスク、対応すべき優先順位、対策方法を、客観的に報告・提言します。
OTセキュリティ簡易現状調査
成果物イメージ
・OTセキュリティ評価結果
検出事項とリスク
検出事項とリスク
リスクと対策事項
リスクと対策事項
改善活動計画
改善活動計画
【オプション】IoTセキュリティ診断
無線通信(5G、Wi-Fi、LPWA、Wi-Sun、Bluetoothなど)には様々な脆弱性が知られており、アクセスポイントが適切に管理されていない場合、盗聴や侵入などの被害にあう可能性があります。GSXのIoTセキュリティ診断では、弊社のホワイトハッカーが、無線通信に内在する脆弱性を洗い出し、改善策を提示します。
IoTセキュリティ診断
IoTセキュリティ診断

IoTセキュリティ診断の詳細はこちら

OTセキュリティガイドライン作成

弊社コンサルタントが、OTセキュリティにおける基本事項をガイドラインとして作成します。
ガイドラインは、IEC62443、経産省やNISTのガイドラインの中から、必要となる要素および弊社の知見から構成したOTセキュリティフレームワークに基づいて、工場の現場で実現性のある内容にします。細かい手順ではなく、現場で意識すべきポイントに絞り、製品の製造工程において、セキュリティについても意識付けを行うことで、安心・安全なものづくりに繋げます。
成果物イメージ
・工場セキュリティガイドライン

安全設計の確認

インテグレータやベンダーが作成した安全要求仕様書(SRS)等の確認

セキュリティ検討

設備、製品に求める/求められるセキュリティ要求(可用性、完全性、機密性)の検討

インテグレータのセキュリティ検討

H(健康)S(安全性)E(環境)の考慮

セキュリティ対策の立案・残存リスク評価

セキュリティ対策の立案、検証、残存リスクの評価

妥当性確認

セキュリティ対策による、対象のセキュリティ要件を満たしていることの確認

運用・保守

既存の安全に関わるドキュメントへの、セキュリティ運用に関連する内容反映

OTセキュリティ製品導入・運用支援

Nozomi Networks社のGuardianを始めとしたOTセキュリティ製品の導入を行います。これらOTセキュリティ製品は、多くの産業用制御プロトコルに対応しているため、ネットワーク上に存在するOT資産やその通信を把握することが可能です。
常に最新の資産と通信を可視化することが可能になり、インシデントが発生した場合に、事業継続を最優先にした判断を迅速に行うことができます。また、製品が検知したマルウェアの解析を支援する運用支援も提供しています。
OTセキュリティ製品導入・運用支援
製品の主な機能
提供する主な機能

資産可視化

通信可視化

脆弱性可視化

異常検知

OTプロセス異常検知

OTセキュリティ 機能イメージ
機能イメージ

OTセキュリティ教育(工場従業員様向けMina Secure®)

工場の従業員様向けに、OTセキュリティの理解を深める(現場への浸透を図る)ための教育コンテンツを提供します。出入する外部委託業者への教育とすることも可能です。
コンテンツの基礎部分には、よく言われている「制御システムへの脅威や脆弱性」やIPAの「産業用制御システムのセキュリティ10大脅威2019年」を取り扱いつつ、カスタマイズ部分には、お客様が持つOTセキュリティガイドラインに沿ったルールを盛り込み、教育コンテンツを作成します。
OTセキュリティ教育(工場従業員様向けMina Secure®)
MinaSecure

Mina Secure®の詳細はこちら

FSIRT構築・訓練支援
GSXのコンサルタントが、お客様のOTセキュリティ状態を把握させていただいた上で、FSIRTの設計(体制構築)・規定等整備、インシデント対応システムの設計・構築を行います。
訓練ではシナリオを作成し、パイロット工場に対して実際の攻撃が発生したことを想定した訓練を実施します。なお、パイロット工場での訓練後、課題を抽出し、訓練シナリオの修正を行いながら定期的な訓練を実施することも可能です。
FSIRT構築・訓練支援
OTセキュリティの緊急対応サービスは、マルウェア感染、データ改ざん、機密情報漏えい等お客様の事業継続を止める可能性のあるセキュリティインシデント発生時の初動対応を行います。
お客様のデータの保全、原因分析などインシデントレスポンスを支援し、発生インシデントの早期把握と今後の対応計画の早期立案を可能にすることを目的としています。
また、追加調査や事後対策の必要性の検討材料もご提供します。
なお、本サービスでは調査・分析を行いますが、原則として最終的なインシデントの原因究明や解決を前提にしておりません。
サプライチェーンリスク管理は、製品やサービスのライフサイクルを中心に、リスクを特定・評価し、リスクを軽減することを目的とします。
製品/サービスのライフサイクルにおけるセキュリティ管理

サービスの流れ

以下の流れでご支援いたします。
STEP

1

STEP

2

STEP

3

STEP

4

サプライチェーン
の整理
サプライチェーン
リスク管理ルール策定
ガイドライン策定
(運用)

貴社のサプライチェーンの種類を洗い出します。

サプライチェーンの種類毎の要件を整理します。

サプライチェーンリスク管理ルールを策定します。

既存のIT/OTセキュリティ管理ルールに取り込みます。

サプライチェーンリスク管理ガイドラインを策定(または改訂)します。

運用のためのチェックシートも併せて作成します。

サプライチェーンリスク管理ルールに則り、運用を開始します。

  (例)
  ・サプライチェーンリスク管理のための従業員トレーニング
  ・脆弱性診断の実施 など

※STEP4の従業員トレーニング脆弱性診断は、STEP1~3の完了前に実施することが可能です。

料金は個別にお見積もりいたします。下記の「お問い合わせはこちら」よりお問い合わせください。
OTセキュリティ簡易評価はこちらから 工場セキュリティ 住友ゴムが工場をサイバー攻撃から守るために取り組んだこと
お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。