セキュリティ対策を適切に実施するには、企業内でセキュリティに関する基本的なルールを定めた社内規程が必要です。これを一般的に「セキュリティポリシー」と呼びます。多くの企業では、IT(Information Technology,情報技術)のセキュリティポリシーを整備していますが、これをそのまま工場・プラントなどの産業制御システムへ適用することが難しいのが現実です。
ビジネスアジリティでは、今まで培ったOT(Operational Technology,制御技術)のノウハウを活かし、お客様に適した「OTセキュリティポリシー」の策定をサポートします。
OTセキュリティポリシーの必要性
セキュリティポリシーとは
企業活動として業務を適切に遂行するには、守るべき社内の基本的なルールが必要です。どの企業でも必ず、社内規程となる各種のドキュメントがあるはずです。これはセキュリティを管理する上でも同じことです。
この守るべきセキュリティの基本的なルールを規定したものが「セキュリティポリシー」なのです。
今求められるOTのセキュリティポリシー
一般的に、ITのセキュリティポリシーを整備していても、それをOTにまで適用している企業は少ないです。ITとOTのセキュリティ対策は、同じように対策がとれる場合もあれば、そうはいかないことがあります。例えば、セキュリティパッチの適用やウイルス対策ソフトの導入は、ITと同様な対策をとるのが通常難しいです。
つまり、ITの環境をベースにしたセキュリティポリシーの内容すべてを、OTの環境へ適用することが現実的ではないため、OTのシステム・ネットワーク環境に適した「OTセキュリティポリシー」を策定することが求められています。
Ba10ics のコンサルティングサービス
OTセキュリティポリシー策定サービス
Ba10icsでは、OTセキュリティのコンサルティングから培ったノウハウを活かし、サービス内容をパッケージングしています。あらかじめテンプレートにしたOTセキュリティポリシーのドキュメントをベースに
- リスクアセスメントの実施
- セキュリティポリシーの策定(テンプレートをカスタマイズ)
- 教育の実施(ポリシーの伝達)
などの各種支援をセットにし、約6ヵ月のプロジェクト期間を標準とするコンサルティングサービスです。
国際標準に準拠
セキュリティポリシーの各種規定は、産業用オートメーション及び制御システムに対するセキュリティの国際標準である「IEC 62443シリーズ」に準拠しています。
- OTセキュリティポリシー管理基準(セキュリティ管理全般の枠組みを規定)
- OTセキュリティポリシー対策基準(各種セキュリティ対策の要件を規定)
注)ドキュメントの名称や構成は一例です。
スモールスタートできる「ネットワーク対策ガイド」
セキュリティ対策には物理的・技術的・人的など、いろいろな側面での考慮が必要です。しかしながら、最初からすべての対策を網羅するとなると、その負担の重さから取り組みに躊躇されるお客様が少なくありません。
その際には、まずシステム環境の中核となるネットワークの対策を最優先し、スモールスタートすることも手段の一つです。
Ba10icsでは、そのようなお客様のために、ネットワークに特化した「ネットワーク対策ガイド」の策定をご支援しています。まずはネットワークから対策を固めていき、その後ステップアップすることが可能です。
