概要
OTセキュリティは、安全性、信頼性、運用の可用性が最優先される産業制御システム(ICS)——SCADAシステム、PLC、HMIを含む——の保護に焦点を当てます。OTセキュリティテストは、安全性と可用性が機密性に優先される、SCADA、PLC、DCS、HMIといった産業制御システムを評価します。安全第一でおおむね受動的な手法を用い、OT環境をマッピングし、IT/OTのセグメンテーションを評価し、物理プロセスを妨げる恐れのある脆弱性を特定します。
方法論&標準
ISA/IEC 62443(セキュリティレベルSL 1-4)、NIST SP 800-82 Rev. 3、公益事業向けのNERC CIP。能動的なテストはラボ、非本番、またはメンテナンス時間帯に限定します。各実施はOT環境の評価、アクセス制御のレビュー、継続的な監視、定常的なテストと検証を網羅します。
含まれる内容
OT資産のインベントリとネットワークマッピング
ゾーンとコンジット、およびセグメンテーションの分析
本番システムでの受動的なネットワーク分析
62443のセキュリティレベルに照らした、安全性を考慮したリスク評価
IT/OTセグメンテーションのレビュー
安全性を考慮した脆弱性評価
リスクの優先順位付けと修正ガイダンス
提供される成果物
安全性を考慮したリスク評価を伴う、62443にマッピングされた結果
優先順位付けされた修正ロードマップと経営層向けブリーフィング
修正済み項目の再テスト
OWASP準拠経営層向けレポート修正ガイダンス再テストを含む証明書スキャナーのダンプなし
よくある質問
いいえ。本番のOTに対しては、既定で受動的な監視とアーキテクチャレビューを行います。能動的なテストは、ラボや非本番のシステム、または計画されたメンテナンス時間帯に実施します。
OTでは停止が生産を止めたり安全上の危険を生んだりする恐れがあるため、リスクは運用と安全への影響で測られます。標準的なITスキャンはレガシーのPLCをクラッシュさせる可能性があるため、当社はOT固有の、非破壊的な手法を用います。
いいえ。本番のOT環境は安全第一の手法で評価し、能動的なテストは必要な場合に限り、承認されたメンテナンス時間帯、ラボ環境、または非本番システムに限定します。