Connect with us
Connect with us
tuv-jp-blog-banner

想定外のサイバー攻撃に備えるために

Posted by TUV Rheinland Japan on 2022/02/28 11:17:38
TUV Rheinland Japan

昨今、サイバー空間での攻撃が急激に増加しています。メディアなどで国内外のサイバー攻撃の事例が報道されているので、サイバー攻撃自体を知らない方はあまりいないでしょう。だからといって、日本の企業・団体でサイバー攻撃の脅威に対する認識の深さと実際に十分な対策が取られているかは別の話です。

サイバーセキュリティ対策は必要なのはわかっているが、どこから始めればよいかわからないという方も多いのではないでしょうか。また、コストの問題もありどこまで内製し、どこを外注すべきかの判断も難しいというお悩みも伺います。

今、企業・団体がとらなければならないサイバー攻撃対策は、非常に広範囲にわたるため本稿では1)会社のサイバーセキュリティと2)IoT製品のサイバーセキュリティに絞って説明します。

TUV-Rheinland-JP-PSIRT-Image-JP

会社へのサイバー攻撃 - CSIRT対策

新型コロナウィルス感染症の流行により、行政もテレワークを推奨し、企業も積極的に導入しています。それにより、社外から社内のネットワークへのアクセスが増え、インターネットを使った業務へのサイバーセキュリティ対策は、どの企業においても必須の課題です。

  • CSIRTとは
    会社のサイバーセキュリティ対策をするためには、CSIRTという組織を作って対応することが望ましいです。CSIRT(シーサート:Computer Security Incident Response Team)とは、コンピューターのセキュリティ事故に対応するチームのことです。

    サイバー攻撃を受けた場合、復旧するのに時間がかかるとともに、場合によっては法的な対応が迫られることもあります。サイバー攻撃を受けて事業の継続が難しくなる期間が長引けば、企業ブランドや信頼が著しくダメージを受けます。サイバー攻撃は、時代と共にさまざまな手段が生み出されますから、100%防ぐことは難しいでしょう。大切なのは防御体制の構築と受けてしまった後にどれだけ迅速に復旧できるかが信頼回復のカギになります。

  • チームを組んで迅速な対応―組織/従業員/ツール/プロセスの各分野でキチンとした対応
    サイバーセキュリティ事故には、セキュリティの専門家だけではとても対応しきれません。経営上層部への連絡や部門間との情報共有など、各部門が迅速に連携して対応できる体制を整えることが肝要です。
1)組織 事故が起きたときに備え、携わる部門を明確にする
2)従業員 各メンバーの担当責任分野を明確にする
3)ツール サイバーセキュリティ対策が必要な社内ツールの洗い出し
4)プロセス 事故発生時の報告から調査、攻撃の分析、復旧への対応、再発防止策定など必要なプロセスを構築する

 

IoT製品へのサイバー攻撃―PSIRT対策

通信技術の発達により、今まで単独で稼働していた機器同士がつながるようになることで、さまざまなメリットを享受できるようになりました。しかし、IoT機器が増えるほどサイバーセキュリティの脅威も増加しているという現代の課題をつくっています。常にネットワークと接続されているということは、常に攻撃を受ける可能性と隣り合わせであることを意味します。

  • PSIRTとは
    IoT機器開発に求められるサイバーセキュリティ対策には、PSIRT という組織を作って対応することが望ましいです。PSIRT(ピーサート:Product Security Incident Response Team)とは、製品ののセキュリティ事故に対応するチームのことです。

    技術の進歩が著しいIoT機器の世界では、製品の開発手法も旧来型のやり方とは大きく変わっており、自社のリソースですべての開発を完結させることが難しくなっています。

    具体的には、OTS(Off The shelf Software:Windosなど市販ソフトウェア)やOSS(Open Source Soufware)などを利用したり、スマートフォン用アプリケーションなどの開発外部委託などが一般化しています。そのため自社製品であっても、結果的にブラックボックス化していくコンポーネントが存在してしまうことになります。

    IoT製品のセキュリティを担保するためには、製品の仕様策定→設計→実装→テスト→出荷後のサポートというライフサイクル全体をサポートする視点がPSIRTには求められるといえます。TUV-Rheinland-JP-PSIRT-IOT-Image-JP

  • 横断的なチーム―自社でできること、できないことを明確にして運営コストを下げる

    製品のサイバーセキュリティ対策は、個別部署の対応だけで完結するものではありません。研究開発チーム、品質保証チームなどの部署が核となりつつも、普段からお客様と接する機会の多い営業・保守チーム、法的要件などを検討する法務チーム、事故発生時のコミュニケーションを対応する広報チームなど、社内外のステークホルダーが一丸となって対応することが必要となります。また何より経営陣・マネジメント層からのサポートが成功の鍵となります。

TUV-Rheinland-JP-PSIRT-Chart-Image

 

テュフ ラインランドでは、サイバーセキュリティの法規制と技術の両面に通じた専門家が、製造業のお客様のさまざまな課題に対応するため、サービスを提供しています。初回の技術相談は無料です。自社のサイバーセキュリティ対策に課題や不安を抱えていらっしゃる場合、ぜひ一度お問い合わせください。

「PSIRT構築支援サービス」については、こちらのPDF  を参照ください。

 テュフ ラインランドのサイバーセキュリティサービス (産業用ロボット、IoT機器、医療機器ほか)


IMG_4728

 西田 澪(にしだ みお)
テュフ ラインランド ジャパン 株式会社
サイバーセキュリティーサービス所属

サイバーセキュリティ・情報セキュリティのプロジェクトに数多く従事。GDPRを含むプライバシーコンサルティングや、IoTテストのプロジェクト経験も豊富。

 

 


お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com

事例動画

  1. 株式会社デンソーウェーブに 産業機器サイバーセキュリティテストサービスを提供

  2. 医療機器 サイバーセキュリティ テストサービス

  3. ースネクストの「ポケトーク」に「GDPRギャップアセスメントサービス」を提供

自動車業界向けのセキュリティ対策

TISAX – 自動車業界の情報セキュリティサービス

     

更新日 : 3/07/2022

Topics: IoT, 通信機器, サイバーセキュリティ

© 2022 TÜV Rheinland