NRIセキュアテクノロジーズ(NRIセキュア)は、IoT(Internet of Things)やそれに関わる制御システムを対象とするセキュリティ対策について、状況把握から適切なセキュリティ対策の実行までを支援する「IoTセキュリティコンサルティングサービス」の提供を2017年3月6日に開始した。
「IoTセキュリティコンサルティングサービス」は、IoT(Internet of Things)や制御システムのセキュリティ状況を可視化し、セキュリティ対策の定量評価を可能にするものだ。NRIセキュアがIoTおよび制御システムに関するセキュリティの状況を網羅的かつ具体的に把握・評価し、課題を抽出する。そして、事業の種類や環境、対象となる技術や機器などに応じた適切な対応策を提示する。
各企業におけるIoTに関するセキュリティの定義に関係なく、他社比較を含むセキュリティ対策レベルの定量評価ができる。そのために、NRIセキュアが開発した、IoTや制御システムに特化したセキュリティ状況の可視化フレームワーク「NRI Secure Framework(NSF) for IoT」を用いている。
同サービスは、4つのメニューで構成されている。1つ目は、現状課題の把握、セキュリティリスクの可視化と対策ロードマップの策定である。企業のIoTおよび制御システムについて、セキュリティの現状をNSF for IoTを使用して把握し、可視化する。その後、組織・拠点ごとのセキュリティの実態を横断的に評価・分析して、セキュリティ対策の立案とロードマップの策定を実施する。
2つ目は、ポリシー・ガイドライン策定だ。順守すべきIoTセキュリティの要件や、ルール、ガイドラインなどを策定する。対象事業全般に共通する汎用的なものから、事業特性に応じたポリシー・ガイドラインに至るまで策定できる。
3つ目は、セキュリティに関する脆弱性診断だ。IoTで使われる制御機器や組み込みデバイスなどを対象に、脆弱性について実機評価を行う。産業用制御デバイスの認証プログラムであるアキレス認証サービスにも対応できる。
4つ目は、実行支援である。NSF for IoTで整理・立案した対策・ロードマップを基に、施策の実行支援を提供する。具体的には、IoTにおけるCSIRT(Computer Security Incident Response Team)構築支援、製品やサービスの要件整理・導入実行支援などに対応する。
NSF for IoTは、国内外の複数の関係機関がそれぞれ発行するIoTに関するガイドラインなどの要求事項をNRIセキュアの専門家が選択・統合するとともに、IoTに関するサイバー攻撃の傾向や脅威を踏まえ作成している。
