IoTセキュリティコンサルティングサービス

IoT時代を見据えた、セキュリティ対策へ

あらゆる分野の「モノ」がインターネットにつながりデータがネットワーク上で行き交う「IoT(Internet of Things)」。現在、インフラや工場のシステムのみならず、自動車や照明器具、電力を制御するスマートメーター、ビニールハウスなどの農業にいたるまで、多くの分野で利用されています。
IoTは、さまざまな分野で活用される一方、ネットワークを介してデータのやり取りが行われるため、システムや機器を狙うサイバー攻撃が懸念されています。このようなセキュリティリスクに対し、国や企業が本格的な対策に向け動き出しています。こうした背景を受け、当社では、セキュリティ対策レベルを企業ごとに策定するのではなく業界の垣根を超え、同じ尺度で他社含めた動向・事例などを勘案したうえで、企業戦略に適合したIoTに関するセキュリティコンサルティングを行うことができます。

当社は、これまで電気・ガス・水道・石油などの重要インフラや、グローバルで製造を行う企業の機器や工場などのシステムに対して数多くのセキュリティコンサルティングを提供してきました。
これまでの「セキュリティコンサルティング」「セキュリティ対策状況可視化サービス*1」の経験やノウハウ、国内外のIoTに関するガイドライン*2の要求事項、近年のサイバー攻撃の傾向や脅威を踏まえ、IoTや制御システムに特化したセキュリティ状況を可視化できる独自のフレームワーク「NRI Secure Framework(NSF) for IoT」を策定しています。このフレームワークを使用することにより、各企業のIoTに関するセキュリティ定義に関係なく、同じ尺度で他社比較を含むセキュリティ対策レベルを定量評価し、その状況を網羅的かつ横断的に可視化します。さらに具体的に把握、評価することにより、課題を抽出し、セキュリティ対策に関わる中長期のロードマップ作成支援を行います。

NRIセキュアは、企業のおかれている環境に応じ、本社・グループ会社・海外支社までご要望にあった最適な対応策をご提案します。

サービス概要

■現状課題の把握、セキュリティリスクの可視化と対策ロードマップの策定

本サービスを導入する企業のIoTおよび制御システムについて、セキュリティの現状を「NSF for IoT」を使用して把握し、可視化します。その後、組織・拠点ごとのセキュリティの実態を横断的に評価・分析し、セキュリティ対策の立案とロードマップの策定を行います。

■ポリシー・ガイドライン策定

順守すべきIoTセキュリティの要件や、ルール、ガイドラインなどを策定します。対象事業全般に共通する汎用的なものから、事業特性に応じたポリシー・ガイドラインに至るまで策定を行います。

■セキュリティに関する脆弱性診断

IoTで使われる制御機器や組み込みデバイスなどを対象に、脆弱性が残存していないかについて実機評価を行います。アキレス認証*3サービスにも対応いたします。

■実行支援

「NSF for IoT」で整理・立案した対策・ロードマップを元に、施策の実行支援を行います。具体的には、IoTにおけるCSIRT*4構築支援や、ソリューション・サービスの要件整理・導入実行支援など、幅広く対応いたします。

    *1 セキュリティ対策状況可視化サービス:サイバー攻撃や内部不正などに対して、企業が自社の情報セキュリティ対策の状況を把握するためのコンサルティングサービス。
    *2 IoTに関するガイドライン:IoT推進コンソーシアム「IoTセキュリティガイドライン」、NIST「Cybersecurity Framework」、NIST「NISTIR 7628」、OWASP「IoT Security Guidance」、ISMS「ISO/IEC 27001」、「CSMS認証基準(IEC 62443-2-1)」など。
    ※当社のフレームワークは、国内外の複数の関係機関がそれぞれ発行するIoTに関するガイドラインなどの要求事項を、IoTに関するサイバー攻撃の傾向や脅威を踏まえた上で作成されています。
    *3 アキレス認証:GEデジタル傘下のワールドテックが策定した産業用制御デバイスの認証プログラム。NRIセキュアは、日本で初めての本プログラムを提供する第三者機関となった。未知のセキュリティ脆弱(ぜいじゃく)性を検出するためのロバストネス検証(開発者にとって想定外の異常データを自動生成して送信し、対象の挙動の変化を確認する検証手法)を、制御デバイスに特化して行うツールであるAchilles Testing Platform (ATP) を用い、一定のセキュリティ水準を満たすと認証を取得することが可能。
    *4 CSIRT:組織内において、情報セキュリティの問題に対して専門に対応する組織。

関連ニュースリリースはこちら

特長

Point.1 セキュリティ専門家集団による経験と実績に裏付けされたIoT特化型コンサルティング提案

20年以上にわたり、2000社以上の企業や官公庁に情報セキュリティ対策を支援した豊富な経験とノウハウにより、IoTや制御システムに特化した具体的な対策や中長期のロードマップをご提案します。

また、ワールドテック(GEデジタル)と協業し、アキレス認証を行う第三者機関として国内初の認定も受けており、工場やプラント、IoTなどの経験・ノウハウも豊富です。

プロジェクト管理については、当社標準プロジェクト管理フレームワークにより想定外の作業工数や追加コストを発生させないよう、主体的にプロジェクト管理を推進します。綿密な進捗管理によりプロジェクト遅延を防止します。

Point.2 優れた独自のフレームワーク

独自に開発した、IoTや制御システムに特化したセキュリティ状況の可視化フレームワーク「NRI Secure Framework(NSF) for IoT」を用いて対応策を提案します。このフレームワークは、国内外の複数の関係機関がそれぞれ発行するIoTに関するガイドラインなどの要求事項を、NRIセキュアの専門家が選択・統合し、IoTに関するサイバー攻撃の傾向や脅威を踏まえた上で作成されています。

標準化フレームワーク「NRI Secure Framework(NSF) for IoT」は、国内および海外の著名なセキュリティ対策基準、ベストプラクティスを解釈し、評価項目を策定しており、国内外の傾向や脅威も踏まえ、継続的に更新しています。

*NSFで活用している代表的な外部基準
IoT推進コンソーシアム「IoTセキュリティガイドライン」
NIST「NISTIR 7628」
OWASP「IoT Security Guidance」
ISMS「ISO/IEC 27001」
「CSMS認証基準(IEC 62443-2-1)」など

Point.3 比較力

独自のIoTや制御システムに関するフレームワーク「NSF for IoT」を使用することにより、各企業のIoTに関するセキュリティ定義に関係なく、同じ尺度で他社比較を含むセキュリティ対策レベルを定量評価し、その状況を網羅的かつ横断的に可視化できます。また、組織・拠点ごとのセキュリティレベルも、統一された基準で比較することができます。

オリジナルのナレッジにより国内外企業の最新の対策状況や、業種・規模が近い企業や同業他社などとの比較も可能であり、自社の課題や対策すべき優先順位を可視化した評価結果のご提案ができます。

Point.4 セキュリティ対策の優先度付け、投資対効果も可視化

標的型攻撃、内部不正などますます高まるセキュリティ上の脅威に対して、関係者へのヒアリングで現状を多角的に診断し、評価の対象である企業としてどこまで防御策が講じられているかを表す「耐性」を定量的に評価します。具体的には、脅威が顕在化した際の早期検出の手段、およびリスク発生時の影響を極小化させる対策の評価を行い、NSFの5つの切り口(Governance、Risk、Compliance、Physical、Technical)で、組織におけるセキュリティ脅威に対する予防的対策、発見的対策の状況を網羅的に可視化します。

現状把握、および可視化の結果をもとに、それぞれの企業に必要なセキュリティレベルを、"最低限対策すべきレベル"や"本来目指すべき対策レベル"などの形で提示します。また、セキュリティ投資に関しては、不備や不足の指摘だけでなく、重複の有無を評価するなど、網羅的な可視化を実施します。

Point.5 現状把握後の対策の提言や中長期的な計画策定、対策実施も支援可能

企業ごとのセキュリティリスクや具体的な対策に踏み込んだ提言と、その会社の経営方針や事業戦略から打ち出したIT戦略とを整合させ、実効的なセキュリティ対策について中長期のロードマップ(3年程度の段階的な対策計画)を提示します。

なお、本サービスでは対策状況の可視化からロードマップの提示までが提供内容となりますが、NRIセキュアでは、各社で必要なセキュリティ対策の中長期計画を確実に遂行するために、各種対策製品の導入プロジェクトを支援する業務も行っています(別料金)。

サービスのご提供フロー

料金表

個別見積もりとなりますので、下記「お問い合わせ/資料請求」からお問い合わせ下さい。

関連セミナー

2018年6月22日(金)開催 
攻めのIoT化を加速するためのセキュリティ ~産業用制御システムをサイバーセキュリティの脅威から守れ!~