産業分野向け「OTセキュリティアセスメントサービス」の提供開始

１．提供開始の背景
昨今、ビジネスを取り巻く環境の変化は著しく、産業分野においてもDX（デジタルトランスフォーメーション）が積極的に推進されています。これに伴い、ITシステムやインターネットとの接続が増えた結果、IT機器だけでなく、工場・ビルで稼働する制御機器がサイバー攻撃の新たな対象として危険視されています。実際に自動車メーカーのサプライチェーン工場がサイバー攻撃の被害を受け、国内の全工場が稼働停止となる事例などが発生しており、業界全体でサイバーセキュリティへの警戒心が高まっています。

このような状況の中で、国際的な標準化の動きとして、ISA（国際自動制御学会：International Society of Automation）/IEC（国際電気標準会議：International Electrotechnical Commission）が産業制御システムのセキュリティ対策の国際標準であるISA/IEC62443を発行しており、国内では、経済産業省 産業サイバーセキュリティ研究会 工場サブワーキンググループにおいて「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」が2022年11月に、ビルサブワーキンググループにおいて「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版」が2023年4月に発表されました。

今後、産業制御システムを使用している製造業やビルメンテナンス業などの企業は、これらのガイドラインに従って、セキュリティ対策を行っていくことが必要になります。
しかしながら、ガイドラインのどこまでセキュリティ対策を実施すればよいかは当事者の判断であり、さらに、セキュリティリスクの把握や、効果・コストなどへの考慮も必要なため、自力でセキュリティ対策を考えるのは難しいという問題があります。

2．本サービスについて
この度提供を開始する本サービスは、工場・ビルなどのセキュリティリスクを把握し、それらに応じたセキュリティ対策の実現を伴走型で支援します。
本サービスの利用にあたっては、事前にNTT-ATのOTセキュリティパートナーであるフォーティネットジャパン社が提供するサイトにてWeb簡易診断(無償) *2を実施し、自社のセキュリティ対策レベルの概要を把握していただきます。Web簡易診断結果を踏まえて本サービスを活用いただくことで、より効果的に工場やビルごとのセキュリティリスクに合わせたセキュリティ対策を進められるように支援します。

3．サービスメニューについて
本サービスでは、経済産業省ガイドラインのチェックリストに従ってアセスメントを進める「OTセキュリティリスクアセスメント」と、工場やビルの内部ネットワークに流れる通信ログからアセスメントを進める「実環境アセスメント」を用意しています。各サービスメニューを個別に提供することも、合わせて提供することも可能です。各サービスメニューの概要等は以下のとおりです。

(1)OTセキュリティリスクアセスメント
■サービス概要・特長

• Web簡易診断に加え、IEC62443の要件を加えたヒアリングシートを使って、経済産業省ガイドライン　チェックリスト32項目ごとの実状を網羅的に効率よく実状把握

• ４つのカテゴリ(組織・運用・技術・サプライチェーン)ごとに現状のリスクを考察

• 一連の工程は有識者（CISSP・情報安全確保支援士・IEC62443関連資格など）監督の元に具体的なセキュリティ対策案を立てるための情報を提供

■実施フロー例

実施フローイメージ

■価格
198万円（税込）～

(2)実環境アセスメント
■サービス概要・特長

• ネットワークに接続された機器をInternal Network Inspector(INI)*3を使って自動でリスト化

• 台帳と実態調査結果を照合し、台帳に載っていない機器のIPアドレスと通信期間を提示

• 運用上、不要または異常の可能性のある通信を行っている機器や外部接続先の多い機器を特定し、ピックアップ

• 実態調査結果からセキュリティ対策案を提示

※上記４項目は、調査期間に対象のネットワークで通信が発生した機器に限る

■設置機器および設置環境例

設置環境イメージ

産業制御ネットワークの可視化には、米国Fortinet社のネットワークセキュリティアプライアンス、FortiGate*4を使用します。

■価格
148万円（税込）～

4．今後の予定
NTT-ATは、本サービスを提供していく中で、お客様が必要としているセキュリティ対策の要件を確認し、サービスラインナップのさらなる拡充の検討を進める予定です。

●フォーティネットジャパン合同会社様からのエンドースメント
この度、NTTアドバンステクノロジ様が発表された産業分野向け「OTセキュリティアセスメントサービス」を心より歓迎申し上げます。
つながる社会の進展によって、工場やビルのシステムも外部接続が増え、IT化することによって、サイバー空間の安心・安全がビジネスリスクに直結する時代となってきました。
本アセスメントサービスでは、技術だけではなく、組織体制・運用に踏み込んだ現状把握によって、ガイドライン適合に向けたセキュリティ対策の方向性を示すことが大きな特長です。実際、工場やビルシステムのセキュリティ対策が進まない原因は、技術だけでなく、組織体制・運用の課題が大きいと考えます。フォーティネットジャパンは、この課題に包括的にアプローチすべく、NTTアドバンステクノロジ様とともに本サービスの提供を開始しました。
今後も、NTTアドバンステクノロジ様の産業分野向け「OTセキュリティアセスメントサービス」において、フォーティネットジャパンは、自助・共助・公助の精神で、セキュリティソリューションやアセスメントのノウハウを提供し、NTTアドバンステクノロジ様と共に、お客様のセキュアなDX推進を支援して参ります。

フォーティネットジャパン合同会社
OTビジネス開発部長 佐々木 弘志


*1 OT：Operational Technologyの略。産業オートメーションおよび制御システムのコンポーネントなどのシステムやその技術
*2 Web簡易診断：フォーティネットジャパン合同会社が提供するWeb上で約30項目からなるチェックシートで、工場のセキュリティ対策に対する対応のレベルを簡易的に把握することが可能
https://www.fortinet.com/jp/promos/ot-security-assessment
*3 Internal Network Inspector：NTT-ATで開発した未承認機器を検出するためのソフトウェア
*4 FortiGate：米国Fortinet社の開発した統合脅威管理アプライアンス
https://www.fortinet.com/jp/solutions/industries/manufacturing


※記載された会社名及び製品名は、各社の商標または登録商標です。
※掲載のデータは発表日現在の情報です。予告なしに変更されることがございますので、あらかじめご了承ください。