2019~2020年 制御システムセキュリティアセスメント報告書
制御システムセキュリティ対策グループの堀です。
JPCERT/CCでは、2019年3月から2020年3月にかけて製造業を中心とする国内6組織に対して制御システムセキュリティアセスメントサービス(以下、本アセスメント)のトライアルを実施しました。また、本アセスメントの実施から半年後にフォローアップ調査のためのアンケートおよびヒアリングを先の6組織に対して実施しました。
これらの内容を、匿名化した上で、取りまとめた「2019~2020年 制御システムセキュリティアセスメント報告書」(以下、本報告書)を公開いたします。本報告書は、全6章で構成されており、本アセスメントの実施概要等を説明した上で評価結果についてまとめ、加えてフォローアップ調査でおうかがいした、各組織のその後の取り組みや課題について記載しています。
本アセスメントの評価にあたっては、工場の設備を管理する現場の担当者、工場のネットワークを管理する情報システム部門の担当者、制御システムセキュリティに取り組むセキュリティ担当者など、制御システムセキュリティに関わるさまざまな部門の方を対象にヒアリングや評価対象システムの視察を行いました。また、本アセスメントの評価結果は、報告会や報告書を通じて経営層の方々にも共有いたしました。
その結果について、おおよその予想はできていたという組織が多かったものの、本アセスメント実施によって制御システムのセキュリティ対策の現状が網羅的に可視化され、それが経営層から現場担当者といった多くの関係者の制御システムセキュリティに対する共通の気付きを得る機会となり、その後の意識の向上や対策を後押ししている様子が本報告書では示されています。また、アセスメントの結果を踏まえて、各組織がどのような対策から着手しているかという点についても本報告書の重要なポイントです。
報告書の詳細は次のURLよりダウンロードの上、ご覧ください。
2019~2020年 制御システムセキュリティアセスメント報告書
https://www.jpcert.or.jp/ics/document.html#ics-assessment
制御システムセキュリティ対策の第一歩では、まず現状把握をすることが重要とされ、アセスメントも現状把握を行う有効な手段の一つです。制御システムのセキュリティ対策を何から始めるべきかお悩みの製造業の方、制御システムセキュリティアセスメントを検討しているもののその有効性が分からずお困りの組織の方など、これから制御システムのセキュリティ対策に取り組む組織の方々がまず試みる施策の参考として本報告書をご活用いただけます。また、すでに対策に取り組んでいる組織ではベンチマーキング資料としていただくこともできます。
制御システムのアセットオーナーの他、制御システムのセキュリティ対策を支援されるベンダーの方々など、制御システム関係者において広くご活用いただき、本報告書を通じて、制御システムセキュリティの向上にお役立ていただけますと幸いです。
末筆となりましたが、本アセスメントおよびその後のフォローアップ調査にご協力いただいた組織の皆さまにはこの場を借りて感謝を申し上げます。
