NEC、制御システムのセキュリティに関するリスクアセスメントと分析シート作成を自動化する技術を開発

　日本電気株式会社（以下、NEC）は27日、社会インフラや製造業を支える制御システムの、セキュリティリスクアセスメントとリスク分析シート作成を自動化する技術を開発したと発表した。これにより、リスク分析および報告書作成にかかる時間を、従来の手作業で行う場合と比較して約4分の1に削減するとともに、攻撃内容を具体的に把握可能となり、対策の検討・立案に貢献するとしている。

　サイバー攻撃の対象領域拡大に伴い、電力、ビル、製造業などにおけるセキュリティガイドラインが経済産業省により策定され、その基本方針として制御システムに対するリスクアセスメントの実施が推奨されている。しかし、リスクアセスメント手順の理解や評価には専門的な知識が求められ、また、人手で詳細な分析を行うには多くの時間を必要とするため、アセスメントの実施が浸透していない要因になっている。

　NECでは、実システムの構成情報やさまざまなデータをもとに構築した仮想モデル上で、攻撃のシミュレーションを行い、攻撃グラフを作成する「サイバー攻撃リスク自動診断技術」を2018年に開発した。今回、この技術による攻撃グラフから「××で不正コード実行」などの攻撃パターンを自動で抽出し、IPA（独立行政法人情報処理推進機構）の「制御システムのセキュリティリスク分析ガイド」に記載されているリスク分析シートの形式で自動的に報告書を作成する技術を開発した。

　これにより、システム運用者は、従来は人手で1～2カ月間要していた制御システム（機器40～50台規模）のリスク分析と報告書作成を、1～2週間で実現できるようになる。また、悪用される可能性のある脆弱性やプロトコルなどを明確にし、攻撃の根拠や要因を理解しやすい形で客観的に把握できるため、対策の検討や立案が容易になる。

　NECは今後、技術の事業化に向けて開発を強化し、2021年6月までにリスク診断のサービスとして提供することを目指す。

開発した技術の概要