2019年06月25日

IICS時代の制御セキュリティ対策を学ぶ / オンデマンドビデオ講座「eICS」: ICS研究所

制御システムセキュリティ／制御セキュリティ／安全セキュリティ対策を学ぶ人材育成ツール

経済産業省から「サイバーセキュリティ経営ガイドライン」が出され、2018年は各産業界でサイバーセキュリティガイドラインが発行されました。ところが各企業においては具体的に何をしたら良いかわからないという声を聞きます。その対策を学ぶことができるのがICS研究所のオンデマンドビデオ講座eICSです。

世界経済とサイバーセキュリティ

世界経済と法規制、産業別ガイドライン

2018年12月30日にTPP（Trans-Pacific Partnership Agreement）が発効され、2019年2月1日に日EU経済連携協定EPA（Agreement between the European Union and Japan for an Economic Partnership）が発効されました。その先に東アジア地域包括的経済連携RCEP（Regional Comprehensive Economic Partnership）もあります。それらの自由貿易圏拡大により、サプライチェーンの企業連携は今まで以上に強くなっていくでしょう。その一方、米中のハイテク利権争いからロシア、北朝鮮を含めたサイバー攻撃が高度化しています。そこに求められる課題がサイバーセキュリティ対策です。

2018年に市場となる国の法規制と業界のガイドラインが多く出てきました。しかし、現状としてはインターネットから飛び込んでくるマルウェアの10％前後しか検知できない情報セキュリティ能力だけでは設備や装置を守るのは困難です。より効果的かつ実用的な対策を進めていく必要があります。例えサイバーインシデント検知をして通知されても、通信を止めていなければ、ネットワークにつながったサーバーやデバイスに感染が拡がりきった後からの復旧作業となります。通信を止めると言っても止められるところと止められないところの判別ができていないと短時間復旧は難しいです。

米国政府からは、NIST sp800-171と53の実施要請が出ており、その他はNIST sp800-82とCybersecurity Frameworkの実施をパートナー企業に義務付ける企業も増えています。

EUでは、サプライチェーン連携でのサイバーセキュリティ対策として、IEC62443遵守を要求している企業も増えています。この国際情勢に対応していけない日本企業の多くは市場から外されていくのではないか？顧客からの損害賠償請求訴訟が増えていくのではないか？更には、制御システムセキュリティ／制御セキュリティ／安全セキュリティ対策を実施できていないことで保険契約条件も満たせなくなるのではないか？この現実にサイバーセキュリティ対策の必要性は高まっており、2019年以降はより具体的な対策を求められるでしょう。

サイバーセキュリティの現状認識

アンチウイルスソフトのマルウェア検知率は10％前後になっていることから、情報セキュリティ対策だけで防衛できる能力には限界があります。そこで、制御システムセキュリティ／制御セキュリティ／安全セキュリティ対策が強く求められることになります。

それは、製造する製品が異なることで求められる生産技術や製造システムネットワークが異なっていれば、使われている制御装置や機械、ロボットで使用する制御コントローラーも違うことから、機能安全や機械安全も異なる現場を直視しながら、サイバーリスクアセスメントを実施することから始まります。その制御システムセキュリティ／制御セキュリティ／安全セキュリティ対策を施していく実力が求められます。

必要なことは対策できる人材育成

各セキュリティ対策技術は、1日の研修だけで習得できるものではなく、まとめて学んでも容易に実践できません。実際に業務の中で課題ごとに繰り返し見直すことで、現場に合った生きた対策が見えてきます。整理された資料を参考にマニュアルを作成することもできます。そういった処方箋が作れる教材が求められます。

eICSは、契約期間中であれば全講座を何度でも観ることができます。また、契約期間中に追加された講座も特別な手続きなしで観ることができます。

講師陣はISA Secure認証の公益財団法人日本適合性認定協会JABで技術研究組合制御システムセキュリティセンターCSSCの認証ラボセンターを審査する技術専門家であるICS研究所の村上正志の他に、セキュリティベンダーの専門家が自社ソリューションについて解説しています。

オンデマンドビデオ講座eICSって何？

IoT新時代の制御セキュリティ対策技術講座

制御システムセキュリティ／制御セキュリティ／安全セキュリティを学ぼうとすると、その適用範囲にまず驚かれます。とてつもなく広範囲でしかも各テーマがとても深い内容だからです。それは一日かけても納得いく理解にまで行きつきません。しかし、eICSの各講座を受けて復習したり、研究したり、応用実践していく際に何度も繰り返し受講することで、理解は深まっていきます。

機能安全、機械安全、環境安全、健康安全、グループ安全の全てを理解してシステムインテグレートした経験を持っている方は、理解から実践まで時間を要することをご存知だと思います。全てを経験してみると「なるほどね。」の領域に達して、後は気づきの連続です。

課題別・テーマ別で理解を深めるeICSの講座群

eICSでは、広い範囲を課題やテーマ別にまとめ、複数の講座で深く学べるよう、セキュリティベンダーの専門家が自社ソリューションについて解説しています。

以下のような課題別・テーマ別に２００以上の講座を提供しています。

企業の将来の可能性を創り出すセキュアなCPPS
産業別ガイドライン／法規制／国際標準規格／認証制度
広範囲の制御システムセキュリティ対策
工場の制御システムセキュリティ対策の全貌
世界に通じ、すぐできるリスクアセスメント
サイバー攻撃に強い製造システム
サイバー攻撃に強い製造システムネットワーク
制御セキュリティ／安全セキュリティ
脆弱性識別情報管理された製品開発
脆弱性識別情報管理
サイバー攻撃に強い制御製品
サイバー攻撃に強い保全管理
サイバー攻撃に強いCSMS
損害賠償請求訴訟対策

オンデマンドビデオ講座eICSの活用と効果

リスクアセスメント実施手順作成
制御システム設計およびその利用における規範作成
業務系、製造系ネットワークのセグメント設計防御技術
セキュリティ監視システムの構築設計
緊急時対応マニュアル作成
被害最小にするゾーン設計
インシデント検知設置およびインシデント警報設計
OT現場従業員セキュリティルール設定と教育
制御コントローラに求められる脆弱性情報管理方法
装置・機械発注仕様書のセキュリティ機能・性能仕様
製品開発プロセスにおける脆弱性撲滅方法
試験方案作成
セキュリティ評価ツール選択基準書作成
サプライヤー企業のセキュリティ監査基準書作成

制御システムセキュリティから制御セキュリティ、安全セキュリティと対策をしていく上で、上記のようにさまざまな規範やマニュアル、環境整備や監査項目を作成する必要があります。そうなると、一度研修を受けたからと言ってできるものではありません。さらに、自分たちの現場に合った仕上がりにしなければなりません。

サイバー攻撃が無くなることはないと思います。それに対して、新たな攻撃手法が出てくることも想定されており、新たな対策方法も研究されています。それらを継続的に手に入れていくには、社内の誰かがeICSを継続的に受講して、企業責任として執るべき対策をアップデートしていく必要があります。

システム技術者や製品開発管理責任者および情報セキュリティ／制御セキュリティの組織の者であれば、継続的にeICSを契約して情報を得ておく必要があると思います。したがって、個人の能力アップのために、企業内組織の管理責任者、サイバーセキュリティ担当部門のリーダー、制御システム設計技術者、制御システムセキュリティ対策コンサルエンジニアなどの方々には、特に継続的なeICS受講をおすすめします。