これまで、工場の生産ラインで活用されている産業制御システムは、「インターネットに接続していないから安全」とされ、一般のネットワーク技術が幅広く利用されてきた。過去、オフィスも閉鎖された環境にありサイバー攻撃から無縁とされてきたが、IT活用の深化に併せて数々の事件も発生し、サイバーセキュリティ対策が必須となっている。
工場においても、IoTやIIoT(Industrial Internet of Things)などを活用した生産性や品質の向上がグローバル競争に勝ち残るため不可欠だ。しかし、過去のオフィスと同様に、完全閉鎖ネットワークであることを前提に設計・運用が行われた産業制御システム等のセキュリティ対策は十分ではない。
実際にラックの調査では、工場の管理部門が把握していない裏口や、必要な時だけ形成される経路の存在を確認している。このような状況は「完全閉鎖ネットワーク」ではなくなっていることの証しであり、放置すると不正アクセスやウイルス感染による機器の一時的な誤動作を引き起こすだけでなく、場合によっては工場が長期にわたり稼働停止することにもなりかねないと同社は警鐘を鳴らす。
このような状況を踏まえ、従来個別に対応してきた産業制御システムに対するセキュリティサービスを「産業制御システム向けリスクアセスメントサービス」としてメニュー化し、存在する特有のリスクや潜在的に存在するリスクを独自に調査・評価する。
リスクアセスメントには、この分野で先行する米国の標準である「NIST Cyber Security Framework」、国際標準「IEC62443」などの考え方を踏まえながら、日本の製造現場に適したラックで制定した独自フレームワーク「LAC-ICSSS(Industrial Control System Security Standard)」を用いる。
これには、ラックのセキュリティ監視サービス「JSOC」やセキュリティ事故に即応する「サイバー救急センター」などで長年にわたり培ってきた知見や、ラックの研究開発部門「サイバー・グリッド・ジャパン」で調査している動機・手口などの脅威情報(スレットインテリジェンス)が生かされているという。
産業制御システムの防御に際しては、決定的に重要な箇所(クリティカルポイント)が何点か存在する。このような箇所に潜在するセキュリティリスクについては、実際の機器も調査して把握できる。また、ビジネスへの影響を脅威シナリオごとに評価・検討するため、ユーザーはビジネスリスクの深刻度にあわせ、優先順位を加味してどのような対策を行うべきかなどを判断できる。
このサービスは、製造業における産業制御システムのみならず、その他のプラント、発電所、交通制御などの社会インフラを支える制御システムも対象にする。サービスの提供価格は、産業制御システムの規模や状況により異なる。同社では、平均価格として700万円(税別)を公表している。