無償ツールで制御システムのリスクを可視化しよう！：場面で学ぶ制御システムセキュリティ講座（7）（1/4 ページ）

　制御システムにおけるセキュリティが注目を集める中、実際に攻撃を受けた場合どういうことが起こり、どう対応すべきか、という点を紹介する本連載。これまで制御システムへの脅威に対して必要となるさまざまな対策や、Windows Server 2003のサポート終了のような新たな問題点まで幅広く紹介してきた。最終回となる今回は、セキュリティアセスメントと、具体的に“はじめの一歩”を踏み出すのにどうすべきかを解説する。

　重要インフラを狙ったマルウェアである「STUXNET（スタックスネット）」の登場以降、制御システムのセキュリティに対する意識が高くなったという人も多いだろう。

　ただ、実際の現場を見ると、どこから手を付けるべきか、もしくはそもそも現状の対策レベルが必要十分なのかさえも判断しかねている場合もあるのではないだろうか。しかし「コンサルティングを入れて本格的に……」となると、大きなコストも掛かるので、なかなか実際の対策に踏み出しにくい。そこで今回は、少し手軽に現状を把握するための自身で実施できるセキュリティアセスメントについて紹介する。

制御システムで有効なセキュリティアセスメント

　情報セキュリティにおいて、リスクアセスメント手法はさまざななものがあり、ツールなども用意されている。アセスメントの主な目的としては、組織の資産に対するリスクを特定し、そのリスクの大きさに応じて優先順位を付けることである。制御システムにおいても、同様の考え方が適用できる。

　まずは、現在の制御システムにおけるセキュリティの問題点を洗い出し、問題の優先度を明確にする。その後、想定されるリスクを最小限に抑えることを目的とし、それらの情報をもとに実際の対策を行っていく。多くの要素を網羅的にアセスメントすることができれば、効果的に対策も打て、さらにコストも抑えながら実施していくことも可能となるのである。

　次ページからは、セキュリティアセスメントを行い、効果的なセキュリティ対策を立案・実施するための無償ツールを3つ紹介する。