デジタル化する工場のサイバーセキュリティ
本レポートでは、セキュリティ統括に該当する部門が、OT(Operational Technology:生産ラインやシステムの制御・運用技術)環境でのサイバーセキュリティインシデントをグローバルに展開していく際に、考えなければならないポイント、観点について解説します。
IoT化が進むICS環境
ドイツ政府が提唱した「インダストリー4.0」を機に、先進的なICT技術を取り込んだスマートファクトリーの概念が一気に浸透しました。重要なインフラを管理し、制御する産業用制御システム(ICS)が生産現場に導入され、IoTデバイスが集める情報を集積させたビッグデータをリアルタイムに分析し、フィードバックすることで業務改善を繰り返す運用モデルが確立されてきました。
日本では、内閣府が「Society5.0」のコンセプトを提唱したことからも分かるように、サイバー・フィジカル・システムの構築が進んでいます。 クラウドコンピューティングを活用したM2M(Machine to Machine)通信により、あらゆるモノがインターネットに接続する環境が当たり前のものになりつつあります。
増大するICS環境のセキュリティリスク
しかし、ICSで製造プロセスが高度化する一方で、セキュリティインシデントがグローバルで急増しているという負の側面にも目を向ける必要があります。これまで、生産インフラの多くはインターネットとは物理的に切り離されていたため、外部からネットワーク経由で攻撃を受けることはあまりありませんでした。しかしながら、昨今のオープン化に伴い、OA(Office Automation)環境の相互接続点(境界点)に発生するセキュリティホールからの脅威の侵入、またICS環境内の汎用OSやプロトコル間における内部感染拡大リスクが著しく高まっています。
ICSが制御する設備や製品は、故障すると非常に危険なものが多いなどの理由により、何よりも可用性が重視されます。悪意のある攻撃者は、そうした機器をターゲットにする傾向があります。パラメーターの改ざんによる機器の不正な操作、ランサムウェア感染によるシステムの利用制限やそれを解除するための身代金の要求被害、特定のICS製品の脆弱性を狙ったマルウェアの作り込みや攻撃など、手口は巧妙化しています。また、海外拠点やパートナー企業など、セキュリティ水準が比較的低くなりがちなポイントを突いて侵入し、目的の遂行を試みるといった方法も考えられます。
実際に、設備ベンダーをはじめとした外部事業者が持ち込んだ端末から、マルウェアがICS内部に侵入し、結果的に生産ラインの停止に追い込まれたというインシデントが起きています。重要なのは、工場設備という特性上、誤動作を起こせば人命にかかわるような危険につながる可能性があることです。ひとたび攻撃者に侵入を許せば、生産ラインの停止などによる事業への悪影響だけでは済まないような事態も考えられるのです。
PwCのICSセキュリティフレームワーク
このように、ICS環境は重大なリスクと隣り合わせであるという性質から、安定的に稼働し続けることを何よりも重視します。そのため通常の情報システム環境とは、運用管理方法が自ずと異なってくるのです。利用目的などの前提が異なる以上、従来の情報セキュリティ対策やリスクマネジメントの手法を、ICSに流用することには限界があります。ICS環境独自のアプローチが必要になってくるのです。
現状、多くの企業において、情報システム環境のセキュリティ対策は長年の取り組みによって成熟しています。一方で、近年ようやくインターネットにつながり始めた段階であるICS環境は、セキュリティ対策がまだまだ未成熟であると言わざるを得ません。
ICSセキュリティ対応における企業の課題の一例を紹介します。
- セキュリティガバナンスの未整備
- セキュリティポリシールールの未整備
- 技術的/物理的対策の不足(ネットワーク分離、侵入対策、ハードウェア)
- 不明瞭な資産管理状況(コントロールシステム、端末)
- セキュリティモニタリングの不備
- セキュリティインシデント対応体制の不備
PwCは、ICSセキュリティ対策におけるフレームワークを活用し、企業の課題の解決に寄与します。リスクを低減させるために、自社内の対策だけでなく、複数のステークホルダーで構成するサプライチェーン全体を俯瞰した上で、包括的かつ継続的なリスクマネジメントの実行を支援します。
デジタル化する工場のサイバーセキュリティ
デジタル化が進む昨今、サイバー攻撃は企業活動の根幹を成すOT(Operational Technology:生産ラインやシステムの制御・運用技術)環境に及んでいます。日本国内においても工場をはじめとするOT環境でのサイバーセキュリティインシデントが発生していることは周知のとおりです。
PwCは、企業の存在意義すらも脅かすOTセキュリティインシデントおよびその発生を防止するOT環境におけるサイバーセキュリティを重要な経営課題と捉えています。OT環境の類型化やOTセキュリティガバナンスの在り方、セキュリティ人材の獲得戦略などについて、シリーズでお伝えします。
デジタル化する工場のサイバーセキュリティ
8 results
Loading...
重要インフラプラント業界におけるOTセキュリティ最前線(JGC)
大規模プラントの建設プロジェクトをグローバルで展開する日揮グローバル株式会社(JGC)のプリンシパルエンジニアである武藤 恒司氏と竹内 陽祐氏をお迎えし、プラントのエンジニアリング事業におけるOTサイバーセキュリティの「今」について伺いました。
医薬品の生産と研究を守るOTセキュリティ(アステラス製薬株式会社)
セキュリティ脅威が急速に高まる製薬業界。製造設備や研究・開発設備のセキュリティをどのように強化していくべきなのか。アステラス製薬株式会社の上杉 麗子氏に、同社がOTセキュリティに注力する背景から目指す未来像までを伺いました。
「デジタル化する工場のサイバーセキュリティ」工場(OT)領域におけるセキュリティ人材
OT環境のセキュリティ確保を行う上で、セキュリティ管理の推進や実行を担う人材の確保は重要な論点です。OT環境のセキュリティ確保に必要な人材要件と、そうした人材の獲得戦略について解説します。
Loading...
PwCが提供するサービス
ICSセキュリティアセスメント
管理態勢の評価
- ICS国際標準フレームワークに基づく態勢評価
- ICS環境種別に応じたリスク・脅威ベースの分析・評価
- 業種別ベンチマーキング/GAP分析
技術的態勢の評価
- ICSインフラ/独自テクノロジーに対する脅威・リスク評価
- ペネトレーションテストなどの侵入テストによる実地評価
- フィジカルセキュリティの技術的態勢評価
ICSセキュリティ管理態勢の構築
- ICSセキュリティガバナンス管理体制の定義
- 組織として求められるセキュリティ機能の定義
ICSセキュリティポリシー整備
- ICS標準、組織・環境を前提としたセキュリティ管理要件の定義
- サプライチェーンリスクを踏まえた管理のあり方・方針・規定類の整備
インシデント対応体制整備(ICS-SIRT)
- 既存IT/品質管理組織と整合した有事の対応体制・プロセス・基準などの定義
- 社内外ステークホルダーの連携体制整備
ICSハードウェア(産業用ロボット)・ハッキング
- 産業用ロボット・IIoTなどのICSデバイスハッキング
- 脅威・脆弱性分析による改善アプローチ
物理セキュリティ態勢構築
- 保護対象エリアの物理的侵入リスク管理
- 情報資産ベースの境界管理
セキュリティ教育・啓発
- ICT技術者のセキュリティリテラシー向上
- 自社開発システムのセキュリティ強化
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
