産業用制御システム(ICS)セキュリティアセスメント
フレームワークベース
クライアントの事業や保有するICS環境に応じたアセスメント設計を行います。現地調査による現状の評価・分析を行い、ビジネスの継続に重点を置きながら、セキュリティリスクへの対策を提言します。
主な支援内容
アセスメントの設計
事業領域やICS環境の種別(プラントファクトリーなど)に応じて、評価項目を選定します。また、評価項目と組織構造・担当業務を照らし合わせ、アセスメントに対応するべきライトパーソンを特定します。
- アセスメントフレームワークを用いた評価項目の選定(アセスメントフレームワーク)
- 業務分担に基づくインタビュイーの選定(アセスメント設計のための聞き取り調査)
現状の評価・分析
現地調査を通じて工場・設備および業務の実態を理解し、セキュリティリスクを評価します。評価項目単位だけでなく、全体を包括的に俯瞰することで、セキュリティリスクを抜け・漏れなく評価します。
- 評価項目ごとの評価結果と詳細のレポート
課題の特定と提言
評価に基づき、ICSセキュリティにおける課題を特定します。そして、業務要件を阻害せずに実現できるセキュリティリスク対策を提言します。
- 評価項目と課題のひもづけ
- 各課題に対する提言
実地ベース
ICS環境には、高い信頼性と安定的な継続稼働が求められます。情報システムに比べてペネトレーションテストの内容が制限される可能性があるため、端末設定評価、サードパーティ評価など複数の観点を含めることで、網羅性を持ったアセスメントを実施します。
主な支援内容
テストの実施
ペネトレーションテスト
実施対象となる施設や設備に対して、ペネトレーションテストを実施します。
現状のシステムにおける複合的なセキュリティ評価の実施
- 脅威シナリオベースのセキュリティ評価
最新の脅威情報をベースに、ICS環境に対しての脅威シナリオの策定を行います。 - ファシリティネットワークセキュリティ評価
ICSの設営・運用環境、システムおよびネットワークアーキテクチャなどをセキュリティの観点から分析・評価します。 - 端末評価
ICS内に存在する端末に対してサイバー攻撃の起点となり得る脆弱性や設定がないか、個別に分析・評価を実施します。
- サードパーティ評価
物流業者や保守業者(期間作業員を含む)などのサードパーティに関して、セキュリティ上の問題がないか分析・評価を実施します。
最終報告
実施結果の取りまとめと報告
ペネトレーションテストならびに複合的なセキュリティ評価によって見つかった事象に基づき判明した結果を報告書にまとめ、報告会を開催します。
