NECは2021年4月27日、社会インフラや製造業を支える制御システムのセキュリティに関して、セキュリティリスクのアセスメントとリスク分析シートの作成を自動化する技術を開発したと発表した。リスク分析および報告書作成にかかる時間を、手作業で行う場合と比較して約4分の1に削減する。
NECは、実システムの構成情報などを基にした仮想モデルの上で攻撃をシミュレーションするリスク診断サービス「サイバー攻撃リスク自動診断技術」を2018年に開発している。
今回、診断結果から攻撃パターンを抽出し、IPA(情報処理推進機構)の「制御システムのセキュリティリスク分析ガイド」に準拠したリスク分析シートの形式で報告書を作成する技術を開発した(図1)。
図1:制御システムのセキュリティリスクアセスメントとリスク分析シート作成を自動化する技術の概要(出典:NEC)拡大画像表示
従来、制御システム(機器40~50台規模)のリスク分析と報告書作成には、人手で1~2カ月を要していた。この作業を、1~2週間で作成できるようになる。
リスク分析と報告書によって、悪用の可能性がある脆弱性やプロトコルが明確になる。攻撃の根拠や要因を、理解しやすい形で客観的に把握できる。対策の検討や立案が容易になる(図2)。
図2:制御システムのセキュリティリスクアセスメントとリスク分析シート作成を自動化する技術をリスクアセスメントに活用したイメージ(出典:NEC)拡大画像表示
NECは今後、サイバー攻撃リスク自動診断技術の事業化に向けて、開発を強化する。2021年6月までに、リスク診断のサービスとして提供する。
NECによると、リスクアセスメントの手順の理解や評価には、専門的な知識が必要である。また、人手で詳細に分析するためには、多くの時間を必要としてしまう。これらがアセスメントの阻害要因となっている。
