NECソリューションイノベータ、制御システムのセキュリティリスクを模擬攻撃で明らかにする「NEC ペネトレーションテスト」を提供

　NECソリューションイノベータ株式会社は20日、制御機器や工場ネットワークに模擬攻撃を試み、物理的な影響を確認するペネトレーションテストサービス「NEC 制御システムペネトレーションテスト」を提供開始した。

　NECソリューションイノベータでは、制御システムを標的にしたサイバー攻撃・防御研究の産学協同プロジェクト「つるまいプロジェクト」にRed Team（敵対者の視点で実際に攻撃を実践して、その結果を受けて改善提案を行うチーム）として参画し、制御システムのペネトレーションテスト分野で博士号を取得した社員と、制御システムにおけるセキュリティ分野の研究教育活動を行っている東洋大学・満永准教授チームとの産学連携でサービスを開発し、製造業向けに提供を開始する。

　サービスは、制御システムにおける機器やネットワークに対して、幅広い産業制御プロトコルに対応したペネトレーションテストを実施する。テストの結果から脅威の分析やリスクの検出を行い、実施すべきセキュリティ対策に優先度を付与して提案する。さらに、セキュリティ対策の実装、検知策や監視の検討を支援する。

　これにより、さまざまな環境下における制御システムに対して、適切なサイバーセキュリティ対策の検討・実装に貢献する。また、IEC62443などのセキュリティ認証取得にも活用できる。

攻撃シナリオのイメージ

　サービスでは、産業用イーサネットやフィールドバス、さまざまなプロトコルの仕様など、顧客のシステムや環境にあったペネトレーションテストを設計し、実施する。Modbus、Ethernet/IP、OPC DA、OPC UA、DeviceNet、Bluetooth Low Energy、MQTT、CC-Link、ベンダーの独自プロトコルなど、一般的なツールでは対応が難しいプロトコルにも対応する。

　従来型の制御システムだけでなく、ペネトレーションテスト全般や、Industry 4.0・OPC UAなどの先端技術に関するノウハウも有しているため、ITと制御システムが統合・接続された環境や、スマートファクトリーなど、新しいタイプのシステムに対しても支援する。

　セキュリティ脅威分析や検出されたリスクに対するセキュリティ対策の実装、検知策や監視検討を支援する。また、結果報告書の英語化、再テスト、テスト方法のレクチャーなどの要望にも対応する。

　サービスの参考価格（税別）は、テスト対象数1～5、実施期間1～2カ月の場合で200～500万円。テスト対象数6～10、実施期間2～3カ月の場合で500万～700万円、テスト対象数11以上、実施期間3カ月からの場合で700万円から。NECソリューションイノベータでは、3年間で約4億円の売り上げを目指す。