織戸 由美(Yumi Orito)

織戸 由美(Yumi Orito)

制御システムセキュリティカンファレンス2025 開催レポート

JPCERT/CCは、202525日に制御システムセキュリティカンファレンス2025を開催いたしました。本カンファレンスは、国内外の制御システムにおける脅威の現状や制御システムセキュリティのステークホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。2009年以来、毎年開催し、今年で17回目を迎えました

今回は、ハイブリッド(会場+オンライン配信)の会議形態で実施し、会場50名、オンラインでは511名(参加申込数約500名、参加見込み500名規模、最大同時視聴者250名程度)の方々に参加をいただきました。JPCERT/CC Eyesでの開催レポートとして、開会・閉会のごあいさつおよび7つの講演の様子を紹介いたします。

開会ごあいさつ

経済産業省 商務情報政策局 サイバーセキュリティ課長 武尾 伸隆
講演資料

経済産業省 商務情報政策局サイバーセキュリティ課長の武尾氏より開会のごあいさつをいただきました。

近年のサイバー攻撃の現状において、ランサムウェア攻撃やサプライチェーンの脆弱性を突いた攻撃が増加しており、特に中小企業がターゲットにされていることが深刻な問題として浮き彫りになっています。これらの攻撃手法は進化を続けており、特にAI技術や地政学的リスクの影響を受け、今後さらに高度化・複雑化が懸念されると警鐘を鳴らされました。

また、国際的には、セキュア・バイ・デザインの概念が浸透しつつある中、企業は自社製品のセキュリティ対策にも責任を持つ必要があり、特にIoT機器に対しては各国でセキュリティ基準への対応が求められるようになっていることを紹介されました。

こうした状況を踏まえて、経済産業省では、企業のサイバーセキュリティ対策の強化を図る取り組みを実施しています。各種セキュリティ対策ガイドラインの公表や中小企業向けの支援、サプライチェーン企業のセキュリティ対策レベルの可視化の仕組みの検討、IoT製品のセキュリティ認証制度の構築、SBOMの活用促進など、企業のサイバーセキュリティ対策の強化を図る取り組みを紹介されました。

さらに、セキュリティ人材の育成プログラムについて、企業から派遣された人材を対象に、1年間の集中的なトレーニングを実施し、専門の技能と人脈を習得してもらうことに重点を置いていると紹介されました。

結論として、サイバー攻撃の危険性は年々高まっており、特に中小企業がさらされているリスクが大きいことから、国家全体での対策強化が必要であり、政府と民間の連携を深めることで、より安全な社会を構築することが求められていると締めくくりました。

経済産業省 商務情報政策局 サイバーセキュリティ課長 武尾 伸隆 氏

制御システム・セキュリティの現在と展望~この1年間を振り返って~

講演者:
一般社団法人JPCERTコーディネーションセンター 技術顧問 宮地 利雄
講演資料

本講演では、2025年版の制御システム(ICS)セキュリティに関する状況を振り返り、主な動向や変化について解説しました。

最初にセキュリティ概況について、地政学的な緊張が高まる中で、サイバー犯罪もますます高度化していることを指摘しました。また、ウクライナ戦争や米中貿易戦争などがサプライチェーンにも影響しており、サプライチェーンを狙ったサイバー攻撃も増えています。こうした状況に対応するため、企業はリスク管理の強化をいっそう求められていることにも言及しました。

ICSインシデントの動向としては、ランサムウェアの攻撃が依然として衰えておらず、攻撃を受けた組織の2/3が製造業であり、また攻撃を受けた組織の約半数で操業あるいは製品の出荷停止となる状況について説明しました。このように、ランサムウェア被害は件数が拡大傾向にあるが、特に米国やドイツなどの地域からの報告が大多数を占めていることを指摘し、最近のICSインシデントの報道の多くが米国証券取引委員会への報告をベースにしていて技術的な内容に乏しいが、2022年重要インフラ・サイバーインシデント報告法で義務付けられたCISAへの報告が2年後に始まるので状況の改善が期待されると述べました。

ランサムウェアは特にICSを狙って攻撃しているわけではありませんが、一定の割合でランサムウェア攻撃の影響がICSにも及んでいて、製造業界でも被害が続いており、一部の攻撃グループに対して法執行機関が国際的な取り締まりを進めましたが、新しい攻撃集団が登場するなど、全体としての攻撃活動は高止まりしていることに言及しました。

ICSを狙ったマルウェアとしてDragos社が発見したFrostyGoopとClaroty社が報告したIOcontrolが新たに登場したことを紹介しました。また、ICSのエンジニアリング環境が感染したマルウェアを調査したところ、開発者や開発された目的は不明ながら、ICS向けの機能を搭載したものが複数見つかったとの報告があり、これを契機に同様のマルウェアのより広範な調査が進む可能性があると述べました。

ICSのコンポーネントやIoTデバイスの脆弱性の開示状況については、CISAが発行したアドバイザリ件数の経年変化を見ると、ほぼ一定数を維持した直前の3年間に比べて2024年には約1割の増加を見ました。一部ベンダーでは脆弱性を一掃すべくローラー調査を進めていますが、共通ライブラリなどから継承する脆弱性も多く、新たに発見されるICS関連の脆弱性が枯れてくるようになる見通しは立っていないと指摘しました。

法規制と標準を整備する活動に目を転ずるとまた、欧州が進めているNIS-2指令(改正ネットワークおよび情報システム指令)を国内法化する期限を過ぎましたが、予定よりも遅れている国が少なくありません。サイバー・レジリエンス法も発効しましたが、細目の規定などが固まるまで、さらに注目しておく必要がありそうです。標準については分冊2-1の改訂や分冊1-1の改訂草案が出るなど、IEC 62443シリーズが新段階に入りつつあることを紹介しました。

次のセクションでは、新技術に伴う新しいICSセキュリティの課題を紹介しました。2024年に大きな変容を遂げた生成AIを中心としたAI技術はICSの世界でも関心が高まっており、AI技術を利用することに伴う脆弱性を中心にセキュリティ課題の概念的な整理を試みました。また、量子コンピューティングが2035年前後に実用的な水準に至り、一部の暗号アルゴリズムが危殆化するとの予測があります。ICSの製品寿命の長さを考慮すると、暗号アルゴリズムを量子コンピューティング時代にも危殆化しないものに移行する戦略を持つ必要性を指摘しました。

最後に、ICSセキュリティに関して2024年を比較的平穏な1年間だったと位置付けつつも、地政学的な状況など潜在的なリスクは決して低下しておらず、また、新技術の導入に伴う新たなセキュリティリスクも浮上していることを指摘して、この1年間のICSセキュリティの動向を総括しました。

一般社団法人JPCERTコーディネーションセンター 技術顧問 宮地 利雄

 

IEC 62443制御システムセキュリティ規格の現状

講演者:
デロイト トーマツ サイバー合同会社
サイバーアドバイザリー/スペシャリストマスター 市川 幸宏
講演資料

市川氏の講演では、近年、制御システムへのサイバー攻撃が急増しており、特に製造業においてはランサムウェア攻撃が深刻な脅威となっており、このような状況に対抗するために、多様な法規制や国際標準が策定され、それに基づく取り組みが進められていることが紹介されました。特に、IEC 62443制御システムセキュリティ規格の現状、特にIEC 62443-2-1 Edition 2.0の概要、そして今後の動向について考察された内容などについて詳しく解説されました。

サイバーセキュリティ脅威の現状として、ENISA(欧州ネットワーク情報セキュリティ機関)によると、2023年から2024年の間に発生したサイバーセキュリティインシデントが11,079件に上り、その中でもランサムウェア攻撃は特に注目されていて製造業が被害組織全体の17%を占め、また、ランサムウェア攻撃の中ではLockbitが特に高い割合(42.65%)を占めています。この脅威の増加に対応するため、IEC 62443のような国際標準が整備され、求められているサイバーセキュリティ対策の枠組みと、組織が効果的にセキュリティを管理するための指針を提供していると述べました。

IEC 62443は、複数の分冊からなる工業自動化および制御システム(IACS)に関するサイバーセキュリティのための国際標準であり、従来、4つのファミリーが存在しました。-1は文書全体の定義に関した内容、-2は制御システムオーナー(工場やプラントの維持・管理をするもの)に関した内容、-2/-3はシステムインテグレーター(オーナーや次の製品供給者と協力しシステムを構築するもの)に関した内容、-4は製品供給者に関した内容でした。近年4つのファミリーから6つのファミリーに拡大し、-5 制御システム以外の分野別対応に関する内容や、-6 第三者認証などの適合性評価の基準が追加されたことを述べました。

IEC 62443-2-1 Edition 2.0は、2010年に発行された初版を約14年ぶりに改訂したもので、ISO/IEC 27000シリーズ標準をはじめとする主要な標準との整合性を重視しており、この新たな版では、アセットオーナーが組織的に実践すべきプロセス要件が具体的に示され、セキュリティ対策を8つの要素に分類し、さらに16のサブカテゴリーに分けて詳細に述べていると紹介しました。また、IEC 62443シリーズの他の分冊とも共通する、プロセス成熟度モデル(Maturity Level 1~4)が新たに採用され、アセットオーナーが自らのセキュリティ対策の成熟度を評価するための指針を提供していると紹介しました。

IEC 62443シリーズの今後の展望については、IoTや認証に関連する適合性評価の導入を検討されていて、より効果的なサイバーセキュリティ対策が可能になり、また、他の国際標準や法規との関係性をより明確にすることで、各業界におけるセキュリティ要件の整合性が図られるようになるとの期待を表明しました。

最後に、サイバーセキュリティの脅威が進化する中、IEC 62443のような国際的な標準は極めて重要で、特に、IEC 62443-2-1 Edition 2.0による新しいガイドラインは、アセットオーナーに対する組織的なセキュリティの理解を深める助けとなり、今後もこのような基準が進化し、業界が直面する脅威に対して強化された対応策が講じられることが期待されていると述べました。そして、サイバーセキュリティはもはや一部の専門家の問題ではなく、すべての企業が共通して取り組むべき課題であると言えるので、制御システムセキュリティに対する理解を深め、より安全な未来を実現していく必要があると締めくくりました。

デロイト トーマツ サイバー合同会社 サイバーアドバイザリー/スペシャリストマスター 市川 幸宏 氏
 

サイバーセキュリティを考慮したプロセス安全マネジメントフレームワーク

講演者:
合同会社ストラトジックPSM研究会 代表社員/横浜国立大学 IMS客員教授 田邊 雅幸
講演資料

田邊氏には、ストラトジックPSM研究会が進めている、リスクベースのプロセス安全マネージメントシステムと、サイバーセキュリティを考慮したリスクアセスメントを実施した取り組みの結果について情報を共有いただくために講演をお願いしました。

最初に、田邊氏が中心となって進めているストラトジックPSM研究会について説明がありました。ストラトジックPSM研究会は、横浜国立大学先端科学高等研究院を母体にしたリスクベースのPSM(Process Safety Management)の効果的導入手法の研究会として2020年に活動を開始し、2023年に法人化されました。2024年にサイバーセキュリティとPSMの統合について議論され、その成果が今回の講演のベースとなります。

ストラトジックPSMのPSMは、リスクベースのアプローチで行われ、さらに、IEC61508/61511に定められているライフサイクルマネージメントとCCPSの20のエレメントモデルの考え方が加味されていると紹介しました。

PSMのサイバーセキュリティへの適用においても、ライフサイクルマネージメントやCCPSの20エレメントといった手法が用いられ、それらの手法をもとにサイバーセキュリティのリスクプロファイルを把握することにより、サイバーセキュリティとリスクベースのPSMとの統合を試みており、講演の中で成果を共有されました。

サイバーセキュリティのリスクアセスメントは、ベースとなる文献を参考に、1)対象の決定および基本情報の収集、2)CS-PHA実施、3)CS-HAZOP実施、4)CS-LOPA実施、 5)セキュリティレベル(SL)および機能要求決定、6)ネットワーク構成評価および対策の決定、の流れで行ったとの説明があり、そしてそれぞれについてその手法とサンプルシステムに対する評価結果を共有されました。

最後に、リスクアセスメントの結果をどのように組織として管理していくべきかという組織体制について説明がありました。特にサイバーセキュリティを考慮したプロセス安全管理の体制においては、プロセス安全(PS)、労働安全衛生(OHS)、環境安全(ENV)そしてサイバーセキュリティ(CS)の各分野の専門家をメンバーとするチームを編成することと、そのチームが機能するためにも重要なポイントとしてIT-OT間の通訳ができる人材育成が存在することが必要であると締めくくりました。

合同会社ストラトジックPSM研究会 代表社員/ 横浜国立大学 IMS客員教授 田邊 雅幸 氏

制御システムにおけるCTEMを活用したリスク低減策

講演者:
Claroty Ltd. APJ Sales/Solution Engineer 加藤 俊介
講演資料

加藤氏の講演では、近年話題となっているCTEM(Continuous Threat Exposure Management、継続的エクスポージャー管理)を制御系システムに応用したケースについて詳しく解説されました。

まず、セキュリティ対策の全般の課題として、ICSをターゲットとした攻撃はインパクトが大きく、事業インパクトを見据えた多層的な対策の必要性を指摘した上で、次に、継続的エクスポージャー管理(CTEM)について説明がありました。CTEMはガートナーによって提唱された概念であり、組織がサイバーリスクを継続的に管理し、セキュリティを改善するための反復的なプロセスであって、全体的なリスクを管理するために事業インパクトとしての評価を重視した、継続的、動的な運用方法であると紹介しました。

次に、CTEMの制御システムへの応用について、フェーズ1のスコープ設定からフェーズ5の実践に至る各ステップにおいて、制御システムにおける固有の状況も考慮した上で、CTEMの適用のポイントについて説明しました。

まずフェーズ1のスコープ設定については、想定事業被害ベースでの範囲設定をするなどの例について説明がありました。次にフェーズ2の発見においてはフェーズ1で範囲設定した資産情報について、資産情報、接続性、運用といったそれぞれの観点で収集が必要な旨の説明がありました。次にフェーズ3の優先付けではデバイス種類+公開脆弱性+データフロー(通信状況)といった状態ベースのアプローチや、リスク値を定量化したリスク値ベースの優先順位付けについてそれぞれそのポイントの説明がありました。フェーズ4の検証では本当に攻撃が可能かどうかを検証するのですが、ICSにおいては可用性への影響懸念から机上ベースでのネットワークパケットや設定ファイルなどのエビデンスベースでの検証が現実的という話がありました。フェーズ5の実践では、エンドポイント、ネットワークベース、PLCコーディングの技術対策例やレポーティングや対策実施時のステークホルダーの巻き込みには事業インパクトから訴えることが重要という説明がありました。

最後にまとめとして、CTEM活用が制御システムセキュリティの継続的な改善のために活用可能な点として、その継続性、システム全体を見る包括性、事業、ビジネスインパクトから考える合理性を挙げました。

Claroty Ltd. APJ Sales/Solution Engineer 加藤 俊介 氏

トークセッション:『工場のインシデント対応訓練シナリオ』の実践から学ぶ - 制御系SIRTを含む組織内関係者が取り組むべき実務的な訓練とは -

講演者:
JFEスチール株式会社 西日本製鉄所 倉敷制御部(兼務)
サイバーセキュリティ統括部/主任部員 荒木 一匡
講演資料

一般社団法人JPCERTコーディネーションセンター 
国内コーディネーショングループ 制御システムセキュリティ シニアアナリスト 河野 一之
講演資料

本講演は、会場開催であることを活かして、トークセッションを交えて実施されました。

まず、JFEスチールの荒木氏から、同社におけるこれまでの制御システムセキュリティに関する取り組み(体制構築、OTセキュリティのインシデント対応規定の策定、 OTセキュリティの技術的な対策等)が紹介されました。同社では近年、インシデント対応訓練を通じたOTセキュリティのインシデント対応規定の組織内の浸透に取り組んでいます。そのような中で、JPCERT/CC主催のICSセキュリティ担当者コミュニティーが本年度に取り組んでいる工場を対象としたインシデント対応訓練シナリオ (前回の「制御システムセキュリティカンファレンス 2024」で同コミュニティーメンバーが発表)の活用に関心を持たれ、本取り組みに他の7組織とともに参加されました。その中で本年度に同社が取り組んだインシデント対応訓練の様子等が紹介されました。同社では、本年度のインシデント対応訓練を全事業所で実施し、「制御系SIRT(いわゆるFSIRT等)」をはじめ、制御部門等、延べ800名を超える関係者が参加されたことも紹介されました。

その後、8組織での実施結果の取りまとめと評価を行ったJPCERT/CCから、評価結果の中から良かった点と課題に焦点を絞り込んで紹介しました。良い点では、セキュリティ事故における連絡網が事前に整備されていること、工場も含めたインシデント対応マニュアルが整備されつつあること、組織内で有事の際の情報集約の体制が整備されて来ていること等を紹介しました。課題としては、連絡内容が不明瞭であること、証拠保全と事業継続の並行対応を見据えたリソース確保等の事前準備が不十分であること、万一生産を停止した場合の再開判断の決定要素に曖昧さがあること等を挙げました。

以上の発表の後のトークセッションでは、次のようなテーマで荒木氏にインタビューを行い、回答をいただきました。質疑応答は次のとおりでした。

● 特に今回の訓練に盛り込んだ3つの要素「訓練の意義」「日常的な実施」「対外連携」についてどのように感じられましたか?

  • 訓練にも「体験型」等がありますが、今回は参加者に被害を最小化するための「決まった連絡等の初動対応が当たり前にできるようになる」成熟と浸透の機会として取り組みました。
  • 防災等の訓練のように日常的に取り組み、身体に染み込ませて、いざとなった時に混乱せず対応できるようになるために定期的に実施する必要があると感じており、本シナリオやコミュニティー参加により、自社の「制御系SIRT」が訓練を企画する準備の負荷が下がり「日常的に取り組める」可能性が高まりました。
  • これまで「訓練」は自組織内の完結型であることが多かったのですが、上述のコミュニティーに参加したことで、「訓練」においても「対外連携」の要素(JPCERT/CCへの情報連携等)を入れ込むことの重要性を感じました。

●「訓練」に「制御系SIRT」等の組織内関係者を参加させる有益性についてどのようにお考えでしょうか?

  • 制御部門の中でインシデント対応や制御系セキュリティの推進を担う「制御系SIRT」は企画者として、制御システムオーナー部門は現場運用者として参加しました。同オーナー部門にとっては、多種多様な設備があり、運用プロセス等も多様であるため、同オーナー部門自身でリスクの把握と有事で何をすべきかを考え整理してもらう必要があること等の参加意義があります。

● 準備と実践で、ITとOTの違いはありましたか?

  • 制御系の経験から多々違いがあると感じています。特に、有事の際は、フォレンジックや復旧等はIT以上に現場対応が多くなること、安全の確保や環境影響等も踏まえた対処が必要となり、それらも想定した訓練準備が必要だと考えました。

この訓練の取り組みとその中での「制御系SIRT」や組織内関係者の参加状況とその役割、訓練で得られる気付き等について、カンファレンス参加者の関心を強く呼び起こしたようで、上記のテーマ以外にも多くの質問が寄せられました。

JFEスチール株式会社 西日本製鉄所 倉敷制御部(兼務)サイバーセキュリティ統括部/主任部員 荒木 一匡 氏、 JPCERT/CC 国内コーディネーショングループ 制御システムセキュリティ シニアアナリスト 河野 一之

SBOMに備えよ!基幹インフラ事業者が直面したツラいSBOM運用とその対策 

講演者:
NTTコミュニケーションズ株式会社
イノベーションセンター テクノロジー部門 西野 卓也
講演資料

西野氏の講演では、SBOMの重要性が認識されるようになった要因やその概念と利用目的、その運用と対策が紹介されました。

SBOMの重要性が認識される一因となった、Solarwinds社製品のアップデート機能を利用したサイバー攻撃について説明し、食品の成分表示のように、利用するソフトウェア製品に組み込まれているコンポーネントを可視化するSBOMが求められるようになったことを紹介しました。また、最近のSBOMの利用目的として、「サプライチェーンにおけるセキュリティ」の確保とともに、「ライセンス管理」や「脆弱性管理」「ポリシーおよびコンプライアンス管理」などを挙げました。また、薬機法や米国の大統領令等、日本を含む各国の法的な対応においてもSBOMの提供を義務付けていることを紹介しました。中でも、最近注目されている欧州のCRA(Cyber Resilience Act)において、自己適合宣言を行うには実質的にSBOMを活用する可能性があります。

このようにさまざまな点でSBOMの必要性がうたわれるものの、企業内における運用実績は乏しく、まだまだ手探り状態にあること、さらには、1.SBOMのフォーマットに関する問題、2.SBOM生成のツールに関する問題、3.SBOMの同一性に関する問題、4.SBOMの生成手法に関する問題、5.セキュリティ対応に関する問題、6.セキュリティ管理に関する問題の6つの運用上の課題があることを詳細に説明しました。また、最終的に誰がどのような目的(自組織で利用しているソフトウェアにおけるOSSの把握等)でSBOMを利用するのかを想定して、ソフトウェアの開発段階からステークホルダー間で合意を取り、その目的を想定したSBOMを生成しやすいようにソフトウェアを開発しなければ適切なSBOMが生成できないことを強調しました。

こうした適切なSBOMが生成できた場合は、自組織内のOSS等における脆弱性を横断的に把握できる等のメリットがあるものの、SBOMを管理する際にどういった条件下で生成されたSBOMなのかの情報もセットで管理しなければならないとの管理上の留意点にも言及しました。さらには、SBOMを活用した脆弱性管理としては、SBOMとSSVCを活用することで製造業におけるアプライアンス管理を同社で取り組んでいることを例に、脆弱性の検知と優先度の判断を機械的かつ現実的に対応できることを紹介しました。

NTTコミュニケーションズ株式会社 イノベーションセンター テクノロジー部門 西野 卓也 氏

パネルセッション:脆弱性対応のための適切な資産管理手法へのチャレンジ

講演&パネラー:
パナソニック オートモーティブシステムズ株式会社
開発本部 プラットフォーム開発センター セキュリティ開発部 係長 越智 直紀
日本精工株式会社 デジタル変革本部 ITガバナンス部 担当課長 田中 哲也

ファシリテーター:
一般社団法人JPCERTコーディネーションセンター
国内コーディネーショングループ 制御システムセキュリティ シニアアナリスト 河野 一之
講演資料

脆弱性対応を進めるための課題の一つにセキュリティ観点での資産管理をどのように行うのかという点があります。本講演では、適切な管理手法に取り組んだ成果や今後の課題等について、越智氏と田中氏から発表いただいた上で、両名を含む3人のパネラーによるパネルディスカッションを行いました。

まず初めに、JPCERT/CCから昨今の脆弱性対応における課題について話しました。今や制御システムにおけるセキュリティの重要性を認識して対策に取り組んでいる組織は増えており、対策の一環として脆弱性情報の収集も取り組まれています。しかし、脆弱性情報の収集を行っても十分に活用できていない制御システムユーザー組織が相当数あるのではないかということを述べました。

次に、越智氏から、制御システム関連の脆弱性情報を自組織の資産と突合する取り組みを試みた複数の製造業の組織において、突合するための資産管理が不十分であるという課題が背景にあることが判明したこと、資産管理がセキュリティ対策において重要であり、「やるべきこと」として記載しているガイドはすでに存在するものの、肝心のどのようにすれば 脆弱性対応のための「セキュリティ観点での適切な資産管理」となるのかという手法に対する考え方や具体的な手順等は各組織任せとなっており、「制御系SIRT」等の制御システムセキュリティを担当する実務者が手探りで行っていること等の課題があることが述べられました。その上で、上述のICSセキュリティ担当者コミュニティーで複数の製造業のセキュリティ担当者とともに本年度取り組んだ資産管理の考え方等について述べられました。 具体的には、「事業被害リスク」を低減することを目的に脆弱性対応を行う必要があり、その観点での資産管理における一つのアプローチとして、ビジネスインパクトを想定した場合の資産の重要度を判断軸にして、その管理手法の検討に取り組んだことが紹介されました。こうした視点で資産を整理することで、はじめからすべての資産の情報を集めなければならないというハードルを下げつつ、まずは事業影響を下げる重要な資産から取り組むこととなり、実務者の作業負荷軽減にもつながる現実的な手法であることも述べられました。

次に、田中氏から、検討した管理手法において、プロセスには「プロセスⅠ(事業・業務の重要度判定)」「プロセスⅡ(資産の重要度判定)」「プロセスⅢ(セキュリティ要件の付与)」 「プロセスⅣ(脆弱性情報の突合)」の4つがあること、そのうち、本年度に取り組んだ「プロセスⅠ(事業・業務の重要度判定)」「プロセスⅡ(資産の重要度判定)」の 詳細な手順について、その資産管理表のフォーマットも示しつつ、具体的に各プロセスで実施したこと等が紹介されました。「プロセスⅠ(事業・業務の重要度判定)」においては、事業リスクをベースに各事業や業務の重要度を判定しますが、どの事業リスクがどの程度のビジネスインパクトとなるのか等、各事業リスクに対する重み付けは事業者によって異なるため、検討に参加した3業種の組織や上述のICSセキュリティ担当者コミュニティーの他の業種の組織の方々においてもリスクと認識されるケースを例示して進めたこと、「プロセスⅡ(資産の重要度判定)」では、プロセスⅠで判定した重要度の高い事業・業務の中で、それに関連する資産の中で、さらに当該資産が異常を来した際に想定される悪影響をベースにした重みづけを設定して、各資産の重要度を判定すること等の手順が紹介されました。 実際に自組織内で進めていた資産情報の収集に照らして、資産情報を現場担当者に適切に報告してもらうための工夫等も一部紹介を交え、これらのプロセスの進め方を述べられました。

以上の発表の後、次のテーマ等で、JPCERT/CCがファシリテーターを務め、越智氏と田中氏から回答をいただきました。質疑応答の概要は次のとおりでした。

● 今回紹介した資産管理手法で実際にやってみていかがでしたか?

  • 単にツールを使って資産情報を自動収集するというのではなく、制御システムの資産は物理的な世界との接点になるという点で、今回の事業リスクを想定した手法には多くの気付きがありました。
  • 事業リスクを想定した資産の整理はできていなかったため、自組織で取り組んでいる資産管理に取り込んでいきたいと考えています。

● 紹介した資産管理手法で入手した脆弱性情報との突合は可能と思われますか?

  • 脆弱性情報の突合を実施してみると収集した資産情報と突合がうまくいくのか不安でしたが、思いのほか突合できました。ただし、資産の表記揺れがあり、突合のための準備に課題があることが分かりました。
  • 膨大な資産情報があり、それを突合するには相当大変だと思っていたため、今回の手法のように絞り込んで行うと突合しやすいことが分かりました。

● 紹介した資産管理で脆弱性対応を適切に進められそうとお感じでしょうか?

  • 進めやすくなると思われます。一気にすべてを把握できるわけではないので、この手法で繰り返しつつ進めて、ノウハウを積み上げて行くことが大事であると考えています。
  • 一つのアプローチとして有効だと考えています。こうした取り組みは現場の協力が不可欠であり、少ない労力で効果を最大にしたいとの想いは担当者として考えるところです。 また、事業リスクベースとしていることで、なぜこの脆弱性は対応しないのか等の説明を経営層等に求められても説明しやすくなる点もあり、有効だと考えています。

パナソニック オートモーティブシステムズ株式会社 開発本部 プラットフォーム開発センター セキュリティ開発部 係長 越智 直紀 氏、 日本精工株式会社 デジタル変革本部 ITガバナンス部 担当課長 田中 哲也 氏、 JPCERT/CC 国内コーディネーショングループ 制御システムセキュリティ シニアアナリスト 河野 一之

 

閉会あいさつ

一般社団法人JPCERTコーディネーションセンター 理事 椎木 孝斉

閉会あいさつはJPCERT/CC理事の椎木が行いました。

2009年に始まり第17回目を迎えた本カンファレンスでは、5年ぶりに会場開催を復活させ、ハイブリッド形式で開催しましたが、こうした開催形態に関する参加者からのフィードバックをまずはお願いしました。制御セキュリティに対する業界の関心が、カンファレンスをはじめた2009年からは大きく変化し、制御システムセキュリティに関わる人が増え、より身近になっていること、そのような状況の中、JPCERT/CCも含む複数の組織が相互に連携し協働的に取り組むことが不可欠であることを述べました。

さらに、本カンファレンスにおいては、取り組むべき課題は大きくても、その中で現場の担当者が協力しあいながら、ステップバイステップで進んでいく、そのための次の一手につながるものを届けたいということを考えカンファレンスを企画してきたこと、またこのカンファレンスを手段として、皆さんの取り組みの次のアクションにつなげていって欲しいと述べるとともに、改めて講演者および全参加者に対して謝意を表して締めくくりとしました。

一般社団法人JPCERTコーディネーションセンター 理事 椎木 孝斉

おわりに

今回の制御システムセキュリティカンファレンスでは、制御システムセキュリティを取り巻く状況について、国際標準規格、制御システムベンダー、セキュリティベンダー、ユーザー企業などさまざまな立場からご講演いただきました。本カンファレンスが、制御システムに関わる聴講者の皆さまにとって、今後の活動の参考となればなによりです。今後も開催内容を改善しつつ、国内の制御システムセキュリティの向上に資する情報の発信や知見の共有に努めて参りたいと思います。

ここまで制御システムセキュリティカンファレンス2025の開催レポートをお読みいただき、ありがとうございました。

次回の開催もご期待ください。

国内コーディネーショングループ 織戸 由美

この記事の筆者

織戸 由美(Yumi Orito)

織戸 由美(Yumi Orito)

JPCERT/CC 国内コーディネーショングループ所属。制御システムセキュリティカンファレンス事務局業務に従事しております。

≪ 前へ
トップに戻る