特定非営利活動法人日本ネットワークセキュリティ協会は、2022年6月に公開した「今すぐ実践できる工場セキュリティハンドブック」の第2弾「リスク対策編」を、2024年3月に公開しました。「ウチの工場はインターネットに繋がっていないから大丈夫」と思った方にこそ読んでいただきたいのが、このハンドブックです。
第2弾「リスク対策編」の目的は、実際の現場の状況に合わせた対策の選定。「物理的対策」「技術的対策」「人的(組織的)対策」と大きく3つに分類し、具体的な対策内容や運用のポイント、対策に必要な費用感がまとめられています。 第1弾「リスクアセスメント編」の目的が、自社の情報セキュリティを理解し、製造現場においてどのような脅威やリスクがあるかを把握することだったのに対し、今回は必要なリスク対策が検討できるよう、より具体的な例が盛り込まれました。
また、同時に公開された「リスク対策集」では、製造現場におけるセキュリティを「13の脅威の入口」と定義し、USBメモリー、持込パソコン、スマホ・タブレット、IoT機器・センサー、複合機、ハンディターミナル、OAネットワーク、インターネット、Wi-Fi(無線AP)、保守用ネットワーク、クラウドサービス、部品・原材料、新規導入機器という、それぞれの入口に合わせた対策が掲載されています。例えば、工場内の保守点検に持ち込まれたパソコンがマルウェアに感染していたことから制御システムや製造装置に感染が広がるリスクや、IoT機器・センサー・複合機が第3者によって遠隔操作されるリスクなど。想定されるシナリオから具体的にどの対策を実施するべきなのかを、わかりやすく解説しています。
セキュリティ対策は想定される全ての対策を実施すると膨大な費用がかかるため、自社に最適な対策、最低限必要な対策を判断することが重要です。
関連リンク
情報提供:地域貢献事業部 サイバーセキュリティ担当 藁科 |