IPAの「制御システム関連のサイバーインシデント事例」は、制御システムのみならず、セキュリティ対策を実施する際の緩和策案を提示してあり、自組織でセキュリティ対策を検討する際、大変参考になる資料です。
この事例集は、公開された事実にのみに基づいて書かれており、対策を検討するフェイズではIPAによるシステム構成の推定を含みますが、対策案に関しても、NISTやUS-CERTなどの信頼おける機関が発行している文書を参考にしています。そのため、特定のベンダーの商品の宣伝をするのではなく(独立行政法人ですから当たり前ですが)、汎用的で有効な対策をリストアップしています。
しかしながら一方では、より具体的な対策は何を使えば良いのか?という点にIPAとしては明確に回答する事はできません。これは独立行政法人では個社を推薦できないというルールがあるからです(購入やサービス導入では、入札となる)。
一方のベンダーでは、そのベンダー固有のソリューションを中心に、セキュリティ対策を推奨します。これはベンダーとしては当然です。しかしながら、ベンダーのソリューション一つで十分に対策として機能するとは限りません。複数の対策を組み合わせて有効、強固なものにするといったケースもあるでしょう。また、そのソリューションを使わずに、もっと安上がりな対策があるケースもあるでしょう。このような客観的な見方をできるのがコンサルタントの強みでもあります。
弊社では今後、「制御システム関連のサイバーインシデント事例」を元に、具体的などんな対策やソリューションを使うと良いのか、という観点から、このブログで深く解説を行っていきたいと思います。お楽しみに。
