[{"data":1,"prerenderedAt":100},["ShallowReactive",2],{"journal-detail-30":3},{"main":4,"content":13,"author":95},{"id":5,"level":6,"level_name":7,"title":8,"summary":9,"body":10,"author":11,"created_time":12,"edited_time":12},494,0,"","課題別、テーマ別のeICS講座案内","オンデマンドビデオ講座eICSってどんなサービス？","制御システムセキュリティ／制御セキュリティ／安全セキュリティを学ぼうとするとその適用範囲にまず驚かれます。とてつもなく広範囲でしかも各テーマがとても深い内容だからです。それは一日かけても納得いく理解までに行きつきません。しかし、eICSの各講座を受けて復習したり、研究したり、応用実践していく時に何度も繰り返し受講することで、理解は深まっていきます。\n\n機能安全、機械安全、環境安全、健康安全、グループ安全の全てを理解してシステムインテグレートした経験を持っている方は、理解から実践まで時間を要することをご存知だと思います。全てを経験してみると「なるほどね。」の領域に達して、後は、気づきの連続です。\n\neICSは、契約期間中であれば全講座を何度でも観ることができます。また、契約期間中に追加された講座も特別な手続きなしで観ることができます。\n講師陣はICS研究所の村上正志の他に、セキュリティベンダの専門家が自社ソリューションについて解説しています。","murakami","2019-01-01 04:01:00",[14,17,22,27,32,37,42,47,52,57,62,67,72,77,82,87,92],{"id":15,"heading":7,"summary":7,"body":16,"gallery":7},495,"\u003Cstrong class=\"tx-orange\">当記事の資料をダウンロードできます\u003C/strong>　\u003Ca href=\"/pdf/journal/30/journal-30.pdf\" target=\"_blank\">実践的オンデマンドビデオ講座eICS\u003C/a> \u003Csmall class=\"pdf\">PDF形式 / 1.7MB\u003C/small>\n\nここからは、課題別、テーマ別でeICSの講座をご紹介していきましょう。",{"id":18,"heading":19,"summary":7,"body":20,"gallery":21},496,"1）企業の将来の可能性を創り出すセキュアなCPPS","IoT／CPSの時代を迎え、工場のCPSとなるCPPS（Cyber Physical Production System）を使ってどのような課題解決を導き出せるのかを解説したIndustry4.1J／IoT／CPS講座群があります。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　Industry4.1J／IoT・CPS講座など\u003C/span>","image3.jpg",{"id":23,"heading":24,"summary":7,"body":25,"gallery":26},497,"2）産業別ガイドライン／法規制／国際標準規格／認証制度","次にアメリカ、EU、中国、そして日本の法規制や、産業別ガイドラインの解説、国際標準規格や認証制度についての解説などの講座があります。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　最新情報／トピックス、基礎、国際標準規格、ガイドライン解説など\u003C/span>","image4.jpg",{"id":28,"heading":29,"summary":7,"body":30,"gallery":31},498,"3）広範囲の制御システムセキュリティ対策","重要インフラ施設や、航空機、船舶、自動車、車両、半導体、医薬品、医療品、家電、食品などの製造システムから、通信や放送施設まで、制御システムは様々あり、それぞれの製品製造方法から生産方式が作られてきました。それにより、制御システムの構造は一品一様に仕様を持ち、システムインテグレートされてきました。その事業戦略から求められる事業継続計画（BCP）、マネージメント（BCM）を考慮した制御システムセキュリティ対策でなければならないことから、課題は広範囲に渡ります。つまり、一つの手法で全てを対処できるものではないということです。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　産業別ガイドライン、サイバーリスクアセスメント、経営など\u003C/span>","image5.jpg",{"id":33,"heading":34,"summary":7,"body":35,"gallery":36},499,"4）工場の制御システムセキュリティ対策の全貌","工場の制御システムセキュリティ対策を実際に施していくと解るのですが、制御システム構造やシステムインテグレートは異なっていても、やるべき課題は六つに整理することができます。それは、\n・防衛強化\n・早期発見\n・被害最小\n・早期回復\n・セキュア改善\n・人材育成\nです。\nそれらを実施していくために「サイバー攻撃に強い制御システム設計と制御製品採用」と「目的に適応したインシデント検知機能と緊急時対応」や「デバイスの健全性管理と実践的メンテナンス対応」などが求められます。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　サイバーリスクアセスメント、基礎など\u003C/span>","image6.jpg",{"id":38,"heading":39,"summary":7,"body":40,"gallery":41},500,"5）世界に通じ、すぐできるリスクアセスメント","手始めにどういった対策作業から進めていけば良いでしょうか。まずサイバーリスクアセスメントから始める方法があります。これは、国によっては監査対象や事故発生後の事故調査で実施していたか確認される項目の一つになります。\nつまり、リスクアセスメントとリスク低減が適切であったかどうかが問われます。そして、残留リスクの対処方法が適切であったかどうかも問われる可能性があります。また、リスクアセスメントの妥当性を説明できるかどうか、どのように妥当性を確認したかなども調査対象になる可能性があります。IEC62443-3-2のリスクアセスメントやIEC62443-3-3のシステム要件、NIST sp800-82やNISTのCybersecurity Frameworkを使った管理方法など、国際標準規格やガイドラインで定められた実用的なものがあります。\n\u003Csmall>※注：NISTのSP800シリーズの一部がISOに採用される動きもあります。\u003C/small>\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　制御セキュリティとシステム設計「制御システム構成別サイバーリスク分析 IEC62443セキュリティレベルベース」など\u003C/span>","image7.jpg",{"id":43,"heading":44,"summary":7,"body":45,"gallery":46},501,"6）サイバー攻撃に強い製造システム","サイバー攻撃に強い製造システムを構築するための現実的な課題として、情報セキュリティ対策製品を制御システムにも活用していく必要があります。しかし、ネットワークにセキュリティ製品を設置すれば良いというものではありません。どの範囲にどの分類のインシデント検知機能をどこに持たせて、インシデント検知情報をどのように扱うかをシステムインテグレートすることが重要です。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　サイバーリスクアセスメントの手引き「制御システムのサイバーリスク低減」など\u003C/span>","image8.jpg",{"id":48,"heading":49,"summary":7,"body":50,"gallery":51},502,"7）サイバー攻撃に強い製造システムネットワーク","製造システムのネットワークは、ISA-95で定義されており、セグメント設計はそれに従った方が管理しやすいです。そこにISA-99のサイバーセキュリティ対策を施していくのですが、被害を最小限に抑えて、できるだけ事業継続を実現するには、ゾーン設計が必要になります。さらに、MESのServerが多い時は、MES層のゾーン設計も考慮することやポータルServerのゾーンを作ることで、現場で使用するタブレットやデバイスなど無線を使った環境を創り出すことができます。また、センサーネットワークや無線通信、有線通信などの境界をDMZでゾーニングすることで、より安全な製造現場を実現できます。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　制御エンジニアリング設計、制御製品開発、国際標準規格「OPC UA」関連など\u003C/span>","image9.jpg",{"id":53,"heading":54,"summary":7,"body":55,"gallery":56},503,"8）制御セキュリティ／安全セキュリティ","制御コントローラのレジスタにアクセスしたり、空いているメモリ空間に異常なプログラムを書き込んだりするマルウェアが登場しました。よって、「制御製品そのものにサイバーセキュリティ対策機能や性能を持たせる制御セキュリティ対策」と、「機能安全、機械安全、グループ安全の機能を守る為のサイバーインシデント検知機能を安全シーケンスに組み入れる安全セキュリティ」があります。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　制御セキュリティとシステム設計／制御製品開発技術など\u003C/span>","image10.jpg",{"id":58,"heading":59,"summary":7,"body":60,"gallery":61},504,"9）脆弱性識別情報管理された製品開発","制御製品やデバイス、ソフトウェア製品の脆弱性を作らないようにする方法は既に明らかになっており、国際的な脆弱性識別情報管理のデータベース（NVD／CVE／CWEなど）もあります。セキュアコーディングチェック、静的解析、動的解析などを実施できる開発環境を持つことが求められております。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　制御製品開発技術「製品仕様で対策できること」など\u003C/span>","image11.jpg",{"id":63,"heading":64,"summary":7,"body":65,"gallery":66},505,"10）脆弱性識別情報管理","制御製品の脆弱性識別情報は、国際的CERT機関間連携やホワイトハッカーとの連携でICS-CERTに集められています。よって、設備オーナーは現場の部品管理で対象となる制御製品の脆弱性識別情報を基に、製造や施設のセキュリティレベルを下げずにメンテナンスすることが可能となります。\nそのため制御ベンダ、装置ベンダ、機械ベンダは制御製品の脆弱性識別情報を顧客に適時知らせる組織と環境を持つことになります。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　制御ベンダ、制御装置ベンダ、機械ベンダなど\u003C/span>","image12.jpg",{"id":68,"heading":69,"summary":7,"body":70,"gallery":71},506,"11）サイバー攻撃に強い制御製品","今までの冗長化システムは、故障対策として構築されてきました。ところがサイバー攻撃に対してはその冗長化機能を発揮することができません。これに対処するためには、制御コントローラのアーキテクチャーからの見直しが必要となります。さらに、制御コントローラには、サイバー攻撃によるインシデント検知機能や性能も求められます。また、Server製品についてもマルウェアが侵入しても活動できない仕組みが求められます。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　制御製品開発技術「製品仕様で対策できること その3」など\u003C/span>","image13.jpg",{"id":73,"heading":74,"summary":7,"body":75,"gallery":76},507,"12）サイバー攻撃に強い保全管理","仮に脆弱性識別情報が分かって、パッチ処理をするにしても、ベンダの製品開発者が呼び出されているのが実状です。しかもその作業は煩雑で、出荷時の状態に戻して、顧客の仕様に合ったインテグレート作業、バリデーション作業のやり直しをして、試運転に入る段取りをしなければなりません。通常の故障では、ハードウェアの交換作業レベルで対処できるところも多く、保全予備品でパッチ処理をして動作確認をすることで、短い時間で回復できる方法があります。この手法の中には、インシデントが発生した後の回復作業に使えるものもあり、準備を整えておくポイントがいくつかあります。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　「アセットオーナー技術」、「発注先管理、発注・受け入れ・現場立ち上げ」など\u003C/span>","image14.jpg",{"id":78,"heading":79,"summary":7,"body":80,"gallery":81},508,"13）サイバー攻撃に強いCSMS","工場や施設の管理状況などを観るに、ポリシーや呼びかけスローガンに終わっているところが多いです。つまり、サイバーセキュリティマネージメントシステムになっていない。マネジメントシステムとは何かを正しく理解していないということです。人材育成が成功するかどうかはこのマネジメントシステムを当たり前にしている企業になれるかどうかで決まります。\n社員一人一人に浸透させていくには、ICS研究所の村上正志が提唱した「セキュリティ5S」が効果的です。\n\u003Cspan class=\"text-bloqueout\">\u003Cstrong class=\"tx-blue\">関連するeICS講座\u003C/strong>　経営、セキュリティ5S、アセットオーナー技術など\u003C/span>","image15.jpg",{"id":83,"heading":84,"summary":7,"body":85,"gallery":86},509,"14）損害賠償請求訴訟対策","海外では当たり前に起きているサイバー攻撃による損害賠償請求訴訟ですが、日本国内でも訴訟案件が既に出ています。この訴訟対策として企業を守るために、今までとは異なる認識に立つ必要があります。今までサプライベンダの製品仕様に合わせていた発注仕様書の内容を本来あるべきセキュリティレベルの仕様（基準：機能や性能など）と維持管理に必要な要求内容にしていく必要があります。受け入れ検査や立会試験などの試験方案や試験ツールもサイバーセキュリティ項目実施に向けて改善していく必要があります。もちろん、内閣サイバーセキュリティセンターNISCや経済産業省がガイドラインで示しているリスクアセスメントや設備管理にサプライチェーンセキュリティで求められる脆弱性識別情報管理も含めた管理責任が経営者にも問われることになります。\n\nまた、今後、認証制度を活用した対策も大いに増えてくると思われます。その中で認証機関の審査に問題があると、認証機関の瑕疵責任が裁判で問われることになるのですが、それは責任の一部に過ぎません。この問題の一番の大きな責任は製品を供給したベンダに課せられ、損害賠償請求をされることもあります。\n\nその対策として、保険契約の中のサイバーセキュリティ項目をどのように扱うかもあります。また、どのような条件であれば安全操業ができるか、そしてその完全性（Integrity）をどのように証明するかが保険契約の課題となって参ります。つまり、リスクアセスメントとリスクマネージメントの質レベルを審査・評価することが重要になる時代が来ています。","image16.jpg",{"id":88,"heading":89,"summary":7,"body":90,"gallery":91},510,"15）オンデマンドビデオ講座eICSの活用と効果（繰り返し観ることで理解を深める）","制御システムセキュリティから制御セキュリティ、安全セキュリティと対策をしていく上で、図にあるように様々な対象者別の規範やマニュアルや人材育成教材やトレーニングマニュアルや検査ツール環境整備や監査項目を作成する必要があります。\n\nそうなると、一度研修を受けたからと言って、一度ビデオ講座を見たからと言って、できるものではありません。さらに、自分たちの現場に合った仕上がりにしなければなりません。\n\nサイバー攻撃が無くなることはないと思います。それに対して、新たな攻撃手法が出てくることも想定されており、新たな対策方法も研究されています。それを継続的に手に入れていくには、社内の誰かがeICSを継続的に受講して、企業責任として執るべき対策をアップデートしていく必要があります。\n\nシステム技術者や製品開発管理責任者及び情報セキュリティ／制御セキュリティの組織の者であれば、継続的にeICSを契約して情報を得ておく必要があると思います。\n\nよって、個人の能力アップのために、企業内組織の管理責任者、サイバーセキュリティ担当部門のリーダー、制御システム設計技術者、制御システムセキュリティ対策コンサルエンジニアなどの方々には、特に継続的なeICS受講をお勧めします。","image17.jpg",{"id":93,"heading":7,"summary":7,"body":94,"gallery":7},511,"\u003Cstrong class=\"tx-orange\">当記事の資料をダウンロードできます\u003C/strong>　\u003Ca href=\"/pdf/journal/30/journal-30.pdf\" target=\"_blank\">実践的オンデマンドビデオ講座eICS\u003C/a> \u003Csmall class=\"pdf\">PDF形式 / 1.7MB\u003C/small>\n\neICS講座一覧は、下記URLの「eICSってどんなサービス？」の頁の下にあるPDFダウンロードから確認することができます。\n\u003Ca href=\"https://www.ics-lab.com/e/SERVICE\" target=\"_blank\">https://www.ics-lab.com/e/SERVICE\u003C/a>",[96],{"id":11,"company":97,"name":98,"profile":99},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343243]