日立製作所は2019年10月7日、重要な社会インフラを支える制御システムの安定稼働を支援する「制御システム向けセキュリティ監視・分析支援サービス」を発表、同日販売を開始した。専門チームが24時間365日体制で、ログの監視、インシデントの抽出、現地での対処などを実施する。2020年1月から提供する。価格は、個別見積もり。
制御システム向けセキュリティ監視・分析支援サービスは、制御システムの安定稼働を目的とした保守サービスである(図1)。セキュリティイベントの監視・分析から、発生したインシデントへの対応まで、一連のセキュリティ運用サービスをワンストップで提供する。
図1:「制御システム向けセキュリティ監視・分析支援サービス」の概要(出典:日立製作所)拡大画像表示
専門チームが24時間365日体制でサービスを提供する。アナリストがセキュリティイベントを監視し、大量のイベントからインシデントを抽出・分析する。保守員が現地へ駆けつけ、セキュリティ専門家や制御システムエンジニアが実際のインシデント対応を支援する。
外部ネットワークに接続することを想定していない制御システムに対しても導入できる。制御システムがあるローカル環境にログ収集・監視装置を設置し、蓄積したログを使って分析する仕組み。これにより、オフラインでの定期診断や、緊急時のインシデント調査・分析ができる。
サービスの中核機能は、(1)「イベントログ監視」、(2)「インシデント抽出」、(3)「インシデント調査・分析」、(4)「インシデント対応支援」、の4つで構成する。
(1)の「イベントログ監視」では、セキュリティイベントログを監視し、マルウェアの侵入や制御システムの脆弱性をチェックしながら、アラートを検知する。(2)jの「インシデント抽出」では、検知したアラートに対し、セキュリティアナリストが関連機器のログを調査し、インシデントを絞り込む。
(3)の「インシデント調査・分析」では、抽出したインシデントに対し、サーバーや端末内の情報をもとに、被害を受けた機器のシステム情報や検体情報を分析する。(4)の「インシデント対応支援」では、分析結果から推定できる原因や影響範囲を提示し、必要に応じて、現場への駆けつけ対応などを実施する。
今回、最初のサービスとして、電力、鉄道分野向けに提供を開始する。順次、産業など他分野への適用を拡大していく。
なお、日立製作所では、今回のサービスのほかにも、制御システムの運用・保守を支援する「制御システム安定稼働サービス」や、脅威情報の収集や複数ログの相関分析ができる監視サービス「SHIELD セキュリティ統合監視サービス」などを提供している。これらを組み合わせることで、制御システムにおける通常の運用・保守からサイバー攻撃への対策までをカバーできる。
