日立製作所は、サイバー攻撃による工場の事業停止リスクを分析し、事業継続計画(BCP)の策定を支援するコンサルティングサービス「工場向けサイバーBCPリスクアセスメント」を2019年6月11日から提供する(ニュースリリース)。同社の工場で適用してきたセキュリティー対策のノウハウを生かして、メニューを開発した。

図:工場向けIoTセキュリティーソリューションの概要(出所:日立製作所)
[画像のクリックで拡大表示]

 具体的には[1]セキュリティー詳細リスク評価、[2]セキュリティーベースラインリスク評価、[3]セキュリティー自己診断支援、[4]セキュリティー教育策定支援の4つのメニューを用意する。診断や分析は、制御システムの国際標準規格であるIEC62443などに関して専門性を有する日立のコンサルタントが担当。工場のセキュリティーレベルを把握し、対策が必要な箇所を迅速に洗い出すとともに、同社の工場向けIoT(Internet of Things)セキュリティーソリューション群と組み合わせて対策を提案する。

[1]では、国際規格や各種ガイドラインに基づいてユーザーのシステムが抱えるリスクを網羅的に評価。[2]では、セキュリティーの重要項目を中心としたリスク評価を実施する。これらに用いる診断ツールは、IEC62443やNISTサイバーセキュリティーフレームワークといった規格に準拠する。日立の工場で策定・運用しているセキュリティーガイドラインのノウハウを反映しており、規格ではカバーできない制御システム特有のセキュリティーリスクにも対応しているという。

 [3][4]によってユーザー自身による継続的なチェック・改善とセキュリティースキルの維持・向上を後押しする。コンサルタントがユーザーの現場に必要な項目を選び、診断ツールを作成。カスタマイズされた診断ツールは、システム自体に関する項目だけでなく、その運用やマネジメントに関する項目もカバーしており、繰り返し利用できる。ユーザーは、診断ツールを定期的な自己診断に活用しながら、新たに発見したリスクに対する改善策の立案につなげるといった活用が可能だ。

 現場担当者やネットワーク管理者、経営幹部を対象としたセキュリティー教育のカリキュラム策定も支援する。ユーザーが要望すれば、セキュリティー教育講座や演習、訓練施設を使った総合訓練も受けられる。

 同社は従来、「現状把握」「多層防御・検知」「運用・対処」の3ステップでセキュアな工場の実現を目指すIoTセキュリティーソリューションを提供している(図)。新サービスによって、これらのうち現状把握のサービスを強化。サイバーセキュリティーだけでなくフィジカルセキュリティーまで網羅する工場向けIoTソリューション群の中から、ユーザーのニーズに合った製品・サービスを組み合わせてワンストップで提供する。こうした体制で工場の安定稼働を支援する。