経済産業省発刊
工場システムにおけるサイバー·フィジカル·セキュリティ対策ガイドライン
工場システムにおけるサイバー·フィジカル·セキュリティ対策ガイドライン
2022年11月16日に経済産業省が発刊したガイドラインです。
DXやスマートファクトリー化の流れにより、セキュリティリスクが高まっている工場システムにおいて、必要となるセキュリティ対策の考え方や、ステップをまとめた手引書となっています。
事業者が自ら工場セキュリティ対策を立案、実行することで、各業界·業種全体での工場セキュリティの底上げを図ることを目的としています。
自組織において、何をどこまでやるべきかをこのガイドラインを参照することによって、理解することができます。
IT関係部門
生産関係部門
戦略マネジメント部門
監査部門
リスク管理部門
機器システム提供ベンダ、機器メーカ
新設、季節によらず工場における産業制御システム(ICS/OT)
事務系の情報システム(IT)は対象外
サイバー攻撃による工場におけるBC/SQDCの毀損を防止
セキュリティ担保によるIoT化や自動化の推進
工場からの新たな付加価値創出
*BC: 事業/生産継続(Business Continuity)
*SQDC: 安全確保(Safety)、品質確保(Quality)、納期遵守(Delivery)、コスト低減(Cost)
経産省ガイドライン内において、特に実施が推奨される対策項目については、事業者が具体的な実施内容がイメージできるようにチェックリストが用意されています。
チェックリストは5つの基本カテゴリ「準備」「組織的対策」「運用的対策」「技術的対策」「工場システムサプライチェーン管理」に分かれており、チェック項目は全部で35個あります。
各項目の達成度の目安として、「1:未実施」、「2: 一部実施」、「3:実施済み」、「4: 実施済みで、管理手順を文書化·自動化し、定期的対策を見直し」、「5: 実施済みで、管理手順を文書化·自動化し、随時見直し」が準備されています。
クラロティは主に「運用的対策」「技術的対策」において必要となる内容を、達成度3~5となるように各製品によりサポートいたします。
情報資産の検出ツールを利用するなど、工場ネットワークに接続している機器(サーバ、クライアント端末、ネットワーク機器、設備等)の台帳を作成し、システム構成図を作成している。
クラロティ製品によるサポート: CTD/xDome
ネットワーク接続機器の検出
機器台帳の自動作成
システム構成図表示
工場内に無線LANを導入している場合、ネットワークへの接続を許可された機器の台帳を作成し、無許可の機器を拒否する仕組みがある。
クラロティ製品によるサポート: CTD/xDome
接続された正規機器の台帳自動作成
不正な接続機器の検出
システムへの侵入を可能とする攻撃手法や脆弱性を特定し、脆弱性へ対応している、又は緩和策を講じている。(脆弱性を特定する手法の例:定期的な脆弱性診断やペネトレーションテスト(侵入可否検査)、組込機器(PLCやIoT機器など)のモデル情報やファームウェア情報の把握及び脆弱性情報の定期的な確認等。
クラロティ製品によるサポート: CTD/xDome
通信における脆弱性特定
モデル/ファームウェア情報を含む機器情報の取得
脆弱性情報と機器台帳の自動関連付け
工場内に外部記録媒体(USBメモリ、フラッシュデバイス)やポータルメディアの利用・持込みに関するルールを定め、運用している。
クラロティ製品によるサポート: CTD/xDome
Windowsデバイスにおける外部記録媒体の使用を検知
アプリケーション/オペレーティングシステム(OS)の重大な脆弱性については可能な限り速やかにセキュリティパッチを適用している。もしくは代替策を講じている。
クラロティ製品によるサポート: CTD/xDome
WindowsOSのセキュリティパッチ適用状況把握
WindowsOSにおいて使用されているアプリケーションの特定
端末のオペレーティングシステム(OS)の使用サービスやアプリケーションは必要最小限とし、未使用のサービスやポートは停止・無効化している。
クラロティ製品によるサポート: CTD/xDome
WindowsOSにおいて使用されているポートの特定
WindowsOSにおいて使用されているアプリケーションの特定
工場ネットワーク内において、セキュリティレベルに応じたネットワークセグメント管理を行っている(VLAN等)。
クラロティ製品によるサポート: CTD/xDome
VLAN情報の可視化
仮想ゾーン機能によるセグメント管理
工場システムのリモートメンテナンスなどを目的とした外部からのインターネットアクセスが可能な場合、認証(2要素認証等)やリモートユーザ毎の接続対象機器の制限、接続可能時間の制限、メンテナンス期間外の機器接続等の異常検知、ネットワーク侵入防護などの保護対策を行っている。
Claroty製品によるサポート: SRA
2要素認証
リモートユーザ毎の接続端末制限
接続可能時間の制限
接続中のライブ監視、内容の録画記録
管理者による接続の強制遮断
境界ファイヤーウォールのポート開放を最小化
工場内のネットワーク(情報システムとの境界やリモートアクセスを含む)の不審な通信を特定するためのネットワーク検知/防護システムを導入している。
クラロティ製品によるサポート: CTD/xDome
正常通信との比較による不正な通信の特定
脅威シグニチャマッチングによる既知の脅威検知
内部から外部への通信特定
クラロティ製品によるサポート: SRA
メール、syslogによるリモートアクセスの通知
工場内のシステムのログイン、操作履歴などのイベントログを取得している。それらのログは定期的に分析し、必要日数保存している。
クラロティ製品によるサポート: CTD/xDome
機器間の通信ログ記録
通信ログをsyslog, APIにより外部システムへ送信
包括的な XIoT 資産一覧は、産業用サイバーセキュリティの基盤となります。xDome はこれを実現するだけでなく、複数の資産発見方法を提供する唯一の SaaS ソリューションです。お客様独自の環境に最適な方法で可視化を可能にします。
CTDはOT、IoT、IIoT機器の可視化と保護、脅威の早期検出と対応を可能にします。CTDによりセキュリティリスクを最小化する従来の管理手法を、OT環境へ適応できるようになります。
