NECは2018年11月2日、日本の制御システムに精通した技術研究組合「制御システムセキュリティセンター(CSSC)」と連携し、産業制御システム向けのセキュリティリスクアセスメントサービスの提供を開始した。「Standard」と「Advanced」がある。価格(税別)は、Standardが240万円から、Advancedが600万円から。販売目標は今後3年間で100件。
NECのセキュリティリスクアセスメントサービスでは、制御システムセキュリティの国際資格「GICSP」や情報セキュリティ・プロフェッショナルの国際資格「CISSP」の有資格者による網羅的なセキュリティ評価を実施するとともに、CSSCの知見を取り入れたリスクシナリオ分析を実施する。これにより、体制面・運用面・技術面での具体的なセキュリティリスクを検出。早期に適切なセキュリティ対策を講じられるようになるとしている。
NECは、サイバーセキュリティ経営の観点から、数多くの顧客企業のITシステムのセキュリティ対策を支援してきた。これらのコンサルティングのノウハウを活かして、安全な産業制御システムの構築を支援する。
標準サービスのStandardでは、GICSPとCISSPの有資格者が、国際標準IEC62443-2-1やNIST Cyber Security Framework、IPAの「制御システムのセキュリティリスク分析ガイド」など、国内外で普及しているセキュリティ標準を用いて、網羅的なセキュリティ評価を実施する。
上位サービスのAdvancedでは、Standardの評価内容に加えて、CSSCとの連携による独自のリスクシナリオによる評価を実施することで、具体的なセキュリティリスクを検出する。