EN

産業用制御システム向け Achilles認証取得支援

産業用制御デバイスがネットワーク堅牢性を有することを証明する「Achilles Communications Certification」プログラム
第三者認証機関としてコンサルティング・適合性試験・合否判定・認証発行をワンストップで提供

産業用制御システムにおけるセキュリティの必要性の高まり

あらゆる「モノ」がインターネットに接続する ー いわゆるIoT化の流れは、小型デバイスだけでなく大型の工場設備まで及び、産業用制御システムのセキュリティ(OTセキュリティ)領域では、Industrial IoT(IIoT)化が進み、ネットワークを介して相互に連携・制御し合うようになってきています。これら人間や社会に物理的な相互作用を及ぼす「モノ」が、サイバー攻撃によってコントロールを奪われてしまうと、現実社会に甚大な被害を与える結果につながります。いわゆるデータの漏えいや個人情報流出などにより企業などの社会的信用が棄損することを防ぐ「IT(情報技術)セキュリティ」では、CIA、すなわち機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を担保することが重要でしたが、「OTセキュリティ」においては、さらに人や環境へ被害を及ばさないように対策する「安全(Safety)」が強く求められます。

Achilles Communications Certificationプログラム

産業用制御システムを有する重要インフラにおいては、セキュリティ・バイ・デザインの推進やサプライチェーンにおけるセキュリティ向上のため、制御系機器・システム等の調達及び運用に際して、第三者認証制度による認証を受けた製品の活用が促されつつあります。

「Achilles Communications Certification」(以下、Achilles認証)は、制御デバイスが一定のネットワーク堅牢性を有することを証明するグローバルな認証プログラムで、産業用制御システム業界で広く認知され、多数のデバイスが認証を取得しています。Achilles認証取得製品は、制御システムで稼働するPLCやDCSコントローラをはじめ、ファイヤウォールやデータダイオードなど多岐に渡ります。

Achilles認証取得デバイス一覧
https://www.ge.com/digital/services/certifications/achilles-communications-certified-products

Achilles認証は、ネットワークに接続するデバイスの未知のセキュリティ脆弱性を検出するために、ファジング(開発者にとって想定外の異常データを自動生成して送信し、対象の挙動の変化を確認する検証手法)によるロバストネス検証を制御デバイスに特化して行うツールであるAchilles Testing Platform (ATP) を用いて試験を実施し、一定のセキュリティ水準を満たすことで取得することができます。認証には2段階のレベルがあり、Level 2はLevel 1と比べて更に厳しい基準での適合性試験に合格したデバイスが取得可能です。

AchillesTestingPlatform


Achilles Testing Platformを用いたロバストネス検証イメージ

 

第三者認証機関としてワンストップで認証取得をサポート

NRIセキュアは、Achilles認証プログラムを提供するGE Digital社から、適合性試験に加えて合否判定と認証発行が可能な第三者認証機関として認定されています。NRIセキュアは、国内の製造業を始めとしたグローバルのお客様に対し、ワンストップでの認証取得をご支援します。

fig02_large

 

第三者認証機関によるAchilles認証提供スキーム

診断事例

東芝エネルギーシステムズ株式会社 「発電制御向け一方向伝送装置」

    ※Achilles認証は、制御システムのセキュリティベストプラクティスへの遵守状況を検証するAchillesプラクティス認証と、制御デバイスのネットワーク堅牢性を検証するAchillesコミュニケーション認証から成る認証プログラムです。 ※Achilles™はGE Digitalの登録商標です。

特長

Point1:担当者のスキル・経験に裏付けられた高い技術力

主担当として診断を実施するコンサルタントは、下記の条件を全て満たす業界トップレベルの高いスキル・豊富な経験を有しています。

・制御システムセキュリティにおけるセキュリティアセスメント経験及びコンサルティング経験が2年以上
・制御システム、IoTシステムにおけるデバイスセキュリティ診断経験が2年以上
・米国The SANS Instituteが主催する制御システムセキュリティ分野の専門的なトレーニングコースを修了
・GE Digitalが提供するAchilles認証の認定審査官としてのトレーニングコースを修了

Point2:第三者認証機関として独立かつグローバルに診断・合否判定・認証発行が可能

Achilles認証の提供元であるGE Digitalから、適合性試験に加え合否判定と認証発行までを行うことができる第三者認証機関として認定されています。そのため、お客様のAchilles認証の取得をワンストップで支援することができます。 また、海外拠点でデバイスを開発しているような場合についてもNRIセキュアのコンサルタントが直接担当することができるため、グローバルに拠点や担当者が分散してしまう状況下でも一貫した支援が可能です。

Achilles認証の診断対象は、開発中の製品や、機密性の高いシステムである場合が多いことが予想されます。そのため、ISMSに準拠したNRIセキュアラボでの診断実施と、第三者認証機関であるがゆえに実現できる高い情報秘匿性の確保を通じて、お客様資産の保全に努めます。

Point3:問題解決へ繋がる支援

Achilles Testing Platformを用いたファジング/通信ロバストネス検証時に機器やプロセスが異常をきたし、Achilles認証が定めるネットワーク堅牢性に満たない現象が確認できた場合には、事象を再現するパケットをご提供します。再現パケットの提供により、開発元でのデバッグ及び迅速な問題解決をサポートします。

Point4:制御システムセキュリティ基準EDSAにも対応可能

Achilles認証以外にも、Achilles Testing Platform(ATP)を利用して診断可能な国際計測制御学会(ISA)が主導する制御システムセキュリティ基準、EDSA(Embedded Device Security Assurance)に対する知見を有しています。オプションでEDSAとのFit&Gapも確認可能です。

サービスのご提供フロー

・ヒアリング結果に基いて対象決定を決定し、診断を行います。
・適合性試験中に合否に関わる重大な問題が発見された場合、適合性試験完了前に速報をお知らせします。
・適合性試験の合否に関わらず報告書を提出します。合格した場合、認証(証明書)を発行します。

fig03

料金

診断対象デバイスの特性(以下、参考)に応じて都度お見積となります。

・診断対象となるインタフェース数
・堅牢性が要求される主要機能の数
・Achilles認証のレベル(Level1またはLevel2)
・制御システム特有のプロトコル実装に対する追加のロバストネス検証(オプション)  

別途、お問い合わせください。