制御システムのサイバー防衛、リスク評価と報告書作成を自動で行う

サイバー攻撃の対象領域が拡大している。今日、電力や建物、製造業などにおけるサイバー防衛策が喫緊の課題となっていて、経済産業省によりその指針が示されている。

同省策定「サイバーセキュリティ経営ガイドライン」では基本方針としてリスクアセスメントの実施が推奨されている――が、リスクアセスメント手順の理解や評価には専門的な知識が求められ、人手で詳細な分析を行うには多くの時間も必要とする。これらが、アセスメント実施・浸透の阻害要因になっているという。

NECは、社会インフラや製造業を支える制御システムのセキュリティリスクアセスメントとリスク分析シート作成を自動化する技術を開発した。同技術はリスク分析および報告書作成にかかる時間を、手作業との比較で約1/4に削減する。攻撃内容の具体的な把握を可能とする。防衛策の検討・立案に貢献する、この度の研究の一部は、内閣府が進めるSIP「IoT社会に対応したサイバー・フィジカル・セキュリティ」にて実施されたものだという。

実システムの構成情報や様々なデータをもとに構築した仮想モデル上で攻撃のシミュレーションを行い、攻撃グラフを作成する「サイバー攻撃リスク自動診断技術」を18年に開発した同社は、今回、その技術による攻撃グラフから「××で不正コード実行」などの攻撃パターンを自動で抽出し、IPAの「制御システムのセキュリティリスク分析ガイド」に記載されている形式で自動的に分析報告書を作ることを達成した。

これにより、システム運用者は、制御システム(機器40~50台規模)のリスク分析と報告書作成を1~2週間で実現できるようになる。悪用される可能性のある脆弱性やプロトコルなどを明確にし、攻撃の根拠や要因を理解しやすい形で客観的に把握できるため、対策の検討や立案が容易になるという。新開発技術は、今年6月までにリスク診断のサービスとして提供することが目指されている。