リスクアセスメントサービス

セキュリティ管理の方針や基準、対策の要件を示すセキュリティポリシーは、お客様の業種・業態や事業規模、保有する資産の重要性など、事業環境が抱えるリスクによって規定すべき内容が変わってきます。iSECのリスクアセスメントでは、人的、物理的、技術的の現状の総合的なリスクを適切に把握するために、リスクを分析・評価し、ポリシー策定、教育の部分までご支援いたします。

OT環境もセキュリティ対策は必須

様々な企業でDXが推進されている現在では、「制御システムはインターネットと分離されているため、セキュリティ対策は必要ない」という考え方は通用しなくなってきています。

繋がる工場

例えば、製造業ではスマートファクトリー化を進めていく中で工場内のさまざまな機器がインターネットに接続されます。適切なセキュリティ対策がされていなければ、インターネットを介することにより外部から攻撃を受け、その結果重大なセキュリティインシデントが発生してしまうことが考えられます。
段階的にスマートファクトリー化していくうえで、機器やネットワーク、セキュリティの可視化は、重要な最初のステップとなっています。

産業用機器の脆弱性は年々増加傾向にあり、2021年上半期は、2020年下半期と比較して脆弱性が44%増加したというデータもあります。産業セキュリティが被害を受けると、企業だけでなく人々の暮らしにまで影響が及ぶ場合もあります。
DXは今後も加速していき、それに伴ってセキュリティ面における脆弱性や脅威も増大していくことが予想されます。セキュリティインシデントが発生しないよう、また万が一インシデントが発生した際には迅速な対応ができるよう、各組織が抱えるリスクに合ったセキュリティ対策を実施していくことが大切です。

(*) スマートファクトリとは
機械や設備、部品、作業員などに取り付けたIoT機器によってデータを収集し、AI技術などを活用してクラウド上で高度に分析することで、製造コストの削減、生産性の向上、および経営判断の迅速化などを実現した工場

サービス提供実績 ※サービス内容は打ち合わせの中で個別に決定します

  • IEC62443やISO21434、WP29に準拠したセキュリティポリシーの策定や外部監査及びアドバイス
  • 作成セキュリティポリシーを元に社員教育
  • 工場内を視察・OTペネトレーションテスト実施の上でのリスク分析
  • 資産の可視化や、セキュリティアセスメント(ネットワーク可視化機器を使用)
  • OTセキュリティのご相談や脅威情報、中長期にわたるセキュリティ強化ロードマップの作成

工場向けリスクアセスメントとは

セキュリティ対策は内部統制やコンプライアンスと同様に、企業のガバナンス強化として取り組む必要があります。そのためには、セキュリティについて組織としての管理規程(ポリシー)を整備していくことが重要です。

セキュリティ管理の方針や基準、対策の要件を示すのがセキュリティポリシーです。セキュリティポリシーはお客様の業種・業態や事業規模、保有する資産の重要性など、事業環境が抱えるリスクによって規定すべき内容が変わってきます。有効なセキュリティポリシーを策定するためには、現状のリスクを適切に把握することが不可欠です。そのため、まずは人的・物理的・技術的なリスクを総合的に分析し評価するリスクアセスメントを行います。

リスクアセスメントについて

iSECのリスクアセスメントサービスでは、特に人的・物理的なリスクに注目してヒアリングと目視ベースによるリスク分析を実施し、その結果を踏まえたセキュリティポリシーの策定を行います。

リスクアセスメント流れ

IEC62443認証に基づいた管理の仕組みを支援

IEC62443とは制御システムに関する国際基準の規格であり、この基準を満たしていればOT環境において一定レベルのセキュリティ対策が敷かれているものとiSECでは考えています。つきましては各業種に対し、この規格に適合できるような支援を行ってまいります。

【IEC62443について】
これまで制御システムの規格は、特定の業種や業界内のみで用いられているものや評価対象が違っているものが複数存在しており、自社のシステムにどれを適応するかは管理者に委ねられていました。しかしそのような状況では不都合が生じるため、現在は制御システムの全レイヤーとそれに携わる各関係者を統一の基準で評価することのできるIEC62443が注目されています。
(参考:技術研究組合制御システムセキュリティセンター「IEC62443の概要と認証について」)