近年、サイバー攻撃の対象領域拡大にともない、電力、ビル、製造業などにおけるセキュリティガイドラインが経済産業省により策定(注1)され、その基本方針として制御システムに対するリスクアセスメントの実施が推奨されています。しかし、リスクアセスメント手順の理解や評価には専門的な知識が求められ、また人手で詳細な分析を行うには多くの時間を必要とするため、アセスメントの実施が浸透していない要因になっています。
NECは、実システムの構成情報や様々なデータをもとに構築した仮想モデル上で攻撃のシミュレーションを行い、攻撃グラフを作成する「サイバー攻撃リスク自動診断技術」(注2)を2018年に開発しました。このたび、本技術による攻撃グラフから「××で不正コード実行」などの攻撃パターンを自動で抽出し、IPA(独立行政法人情報処理推進機構)の「制御システムのセキュリティリスク分析ガイド」(注3)に記載されているリスク分析シートの形式で自動的に報告書を作成する技術を開発しました。
これによりシステム運用者は、従来は人手で1~2か月間要していた制御システム(機器40~50台規模)のリスク分析と報告書作成を1~2週間で実現できるようになります。また、悪用される可能性のある脆弱性やプロトコルなどを明確にし、攻撃の根拠や要因を理解しやすい形で客観的に把握できるため、対策の検討や立案が容易になります。
NECは今後、本技術の事業化に向けて開発を強化し、2021年6月までにリスク診断のサービスとして提供することを目指します。本技術を社会インフラや製造業のお客様の制御システムに適用しセキュリティを向上させることで、安全・安心な街づくりや経済活動の発展に貢献していきます。
なお、本研究の一部は、内閣府が進める戦略的イノベーション創造プログラム(SIP)「IoT社会に対応したサイバー・フィジカル・セキュリティ」(管理法人:NEDO)によって実施されています。
本リリースの詳細は下記をご参照ください。
https://jpn.nec.com/press/202104/20210427_01.html
概要:日本電気株式会社(NEC)
詳細は www.nec.co.jp をご覧ください。
Copyright 2021 JCN Newswire. All rights reserved. www.jcnnewswire.com
