[新製品・サービス]

2023年5月10日(水)IT Leaders編集部

リスト

　丸紅ネットワークソリューションズの「OTセキュリティアセスメントサービス」は、工場におけるOT（Operational Technology）セキュリティの現状を可視化し、リスク要因に対する対策案の提示や対策の方針決定を支援するサービスである。経済産業省が策定したガイドラインのチェックリストを活用する（図1）。フォーティネットジャパンと連携して提供する。

図1：OTセキュリティ対策支援サービス「OTセキュリティアセスメントサービス」の概要（出典：丸紅ネットワークソリューションズ）
拡大画像表示

　OTセキュリティ対策の現状を、現場でのヒアリングやOTネットワーク内のトラフィック調査で可視化する。この結果から、必要最低限のセキュリティ対策の方針を検討する。対策の実施に向けたファーストステップとして、「何から始めるべきか」、「どのくらいの予算・人員が必要か」、「どこまで対策すべきか」といった疑問を解決できるとしている。

　具体的には、以下のプロセスで実施する。

Step 0：「OTセキュリティWeb簡易診断」

Web上で「組織」「運用」「技術」「工場サプライチェーン管理」の分野における現在のOTセキュリティ対策状況について回答してもらう。回答後は、即時に結果を表示（所要時間は約15分）する。無料で簡単に現状を把握できる

Step 1：「現地アセスメント・実機アセスメント」

Step 0での結果を基に、OTセキュリティ対策の現状について詳細に調査する。現地でのアセスメントでは、実際に工場を訪問し、工場長や生産部門の人にヒアリングする。実機のアセスメントでは、OTネットワークに解析機器を設置し、トラフィック量や使用アプリケーションなどの情報を集計する

Step 2：「3種の成果物の提示」

現地アセスメント・実機アセスメントの結果を、成果物として提示する。「現状から考えられるリスク要因」「今後発生し得るリスクシナリオ」「シナリオによる想定被害額」を考察する

　Web簡易診断では、結果をA、B、C、Dの4段階で評価する。成果物として、想定被害額やリスク要因といった具体例を提示する。技術に精通していない人も含め、関係者間で共通認識を持つことが可能であり、対策にかける予算や、必要となる人員を検討しやすくなる。

　Web簡易診断における評価「B」を実現するための対策提案書を提示する。対策のゴールを明確化することによって、対策を実現しやすくなる。リスクに応じて具体的な対策案を提案し、対策実施への第1歩を支援するとしている。

　「インターネットを介して工場と本社・自宅などがつながり、OTにおいてもマルウェアやランサムウェアといったサイバー攻撃などのリスクが高まっている。OTへのサイバー攻撃は、工場システム内の破壊や生産ラインの停止を引き起こし、ビジネス全体に大規模な経済損失のリスクをもたらす」（丸紅ネットワークソリューションズ）

　同社によると、OTセキュリティ対策の重要性は理解しつつも、経営層・管轄する工場長や生産管理者などのOT管理者・IT管理者間でセキュリティ意識の違いがあるケースが少なくないという。「IT管理者に一任されていたり、現状を把握できず対策方法については後回しになっていたりと、対策が進んでいない」（同社）。