OT環境もセキュリティ対策は必須

様々な企業でDXが推進されている現在では、「制御システムはインターネットと分離されているため、セキュリティ対策は必要ない」という考え方は通用しなくなってきています。

例えば、製造業ではスマートファクトリー化を進めていく中で工場内のさまざまな機器がインターネットに接続されます。適切なセキュリティ対策がされていなければ、インターネットを介することにより外部から攻撃を受け、その結果重大なセキュリティインシデントが発生してしまうことが考えられます。
段階的にスマートファクトリー化していくうえで、機器やネットワーク、セキュリティの可視化の行うための現状調査（アセスメント）は、重要な最初のステップとなっています。

工場向けリスクアセスメントとは

セキュリティ対策は内部統制やコンプライアンスと同様に、企業のガバナンス強化として取り組む必要があります。そのためには、組織としてセキュリティについての管理規程（ポリシー）を整備していくことが重要です。

セキュリティ管理の方針や基準、対策の要件を示すのがセキュリティポリシーです。セキュリティポリシーはお客様の業種・業態や事業規模、保有する資産の重要性など、事業環境が抱えるリスクによって規定すべき内容が変わっていきます。有効なセキュリティポリシーを策定するためには、現状のリスクを適切に把握することが不可欠です。そのため、まずは人的・物理的・技術的なリスクを総合的に分析し評価するリスクアセスメントを行います。

リスクアセスメントについて

iSECのリスクアセスメントサービスでは、特に人的・物理的なリスクに注目してヒアリングと目視ベースによるリスク分析を実施し、その結果を踏まえたセキュリティポリシーの策定を行います。

IEC62443認証に基づいた管理の仕組みを支援

IEC62443とは制御システムに関する国際基準の規格であり、この基準を満たしていればOT環境において一定レベルのセキュリティ対策が講じられているものとiSECでは考えています。つきましては各業種に対し、この規格に適合できるような支援を行ってまいります。

【IEC62443について】
これまで制御システムの規格は、特定の業種や業界内のみで用いられているものや評価対象が違っているものが複数存在しており、自社のシステムにどれを適応するかは管理者に委ねられていました。しかしそのような状況では不都合が生じるため、現在は制御システムの全レイヤーとそれに携わる各関係者を統一の基準で評価することのできるIEC62443が注目されています。
（参考：技術研究組合制御システムセキュリティセンター「IEC62443の概要と認証について」）