Tweet

まずは自己診断で「底上げ」を

JPCERT/CCが制御システムの診断ツールを無償公開

2011/02/28

　JPCERTコーディネーションセンター（JPCERT/CC）は2月28日、制御システムのセキュリティ面での問題点を洗い出すための自己診断ツール「日本版SCADA Self Assessment Tool」（SSAT）の提供を開始した。メールで申し込んだ制御システムのベンダやユーザー、エンジニアリング企業やシステムインテグレータに対し、無償で提供する。

　日本版SSATは、英国政府のCenter for the Protection of National Infrastructure（CPNI）が開発した、制御システムのセキュリティの簡易アセスメントツール「SCADA」の日本語版だ。単に日本語に訳しただけではなく、日本の環境に合わせて質問項目や判定結果の表示などをチューニングし、現場で使いやすいよう工夫した。

　日本版SSATはMicrosoft Excel上で動作する。「SCADA／遠隔監視ワークステーションにアンチウイルスソフトを導入しているか」「セキュリティパッチ適用の手順を文書化しているか」といった約100項目の質問に、「はい」「いいえ」「一部」の三択で答えていくと、制御システムのセキュリティ対策がどのレベルにあるかを大まかにつかむことができる仕組みだ。質問項目は、制御システムのグッドプラクティスをまとめた文書「プロセス・制御とSCADAセキュリティ」と照合でき、相当する項目を参照することで、どのような対策を取るべきかが把握できる。

　JPCERT/CC 情報流通対策グループマネージャーの古田洋久氏は、「まず制御システムにおけるセキュリティ上の問題点を洗い出し、底上げするために日本版SSATを使ってほしい」と述べた。

　ドイツ・シーメンス社製の産業用制御システムを狙うマルウェア「Stuxnet」の登場によって、制御システムの世界でもセキュリティの重要性が認識されるようになってきた。だが古田氏によると、具体的に何をどうしたらいいか分からないという声があるという。しかも制御システムでは、コスト面などのメリットから汎用システムが浸透してきた一方で、「生産性に直結するので動いているものは停止できない、パッチ適用などもってのほか」という特有の課題がある。

　こういった状況を踏まえ、まず制御システムを取り巻くリスクや問題点を認識し、現状を把握する手助けとして日本版SSATを使ってほしいと述べた。同時に、制御システムのベンダと利用するユーザーとの間で、どんな問題があるかを把握し、仕様に落とし込むためにコミュニケーションを深めるツールとしても利用してほしいという。

　なお日本語化作業には、計測自動制御学会（SICE）計測・制御ネットワーク部会セキュリティ情報共有検討ワーキンググループ、電子情報技術産業協会（JEITA）制御・エネルギー管理専門委員会 安全・安心システムワーキンググループ、日本電気計測器工業界（JEMIMA）PA・FA計測制御委員会セキュリティ調査研究ワーキンググループが協力した。2月10日に開催した「制御システムセキュリティカンファレンス」でも日本版SSATは紹介され、「コミュニケーションツールになりうるのでは」といった感想が寄せられたという。