OTペネトレーションテスト サービス

工場・プラントのサイバー攻撃対策は新たなフェーズへと移行。OT(Operational Technology,制御技術)を標的としたセキュリティの脅威が高まる中、「実際にサイバー攻撃を受けるとどうなるのか?」よりリアルなシミュレーションが求められています。そのようなニーズに対応するために、ビジネスアジリティではOTセキュリティの専門家による本格的なペネトレーションテストの提供を始めました。

産業制御システムに対する本格的なペネトレーションテスト

  • どこが攻撃の侵入口になりえるのか?
  • 攻撃者が脆弱性をどのように利用するのか?
  • 実際の攻撃に遭った場合の被害影響は?
  • リアルなインシデントの発生を検証したい!
  • あわせて効果的な対策を進めたい!

こんな課題にコンサルティングで手厚くサポートします。

OTペネトレーションテスト サービスとは

ペネトレーションテストとは、ネットワークに接続されているコンピュータシステムに対し、 実際に既知の攻撃手法を用いて侵入を試みることです。「どこまで現状のセキュリティ対策で守れるのか」「サイバー攻撃でどのようにシステムが乗っ取られるのか」などをリアルに把握することができます。今まで可用性を重視する工場・プラントなどの産業制御システムでは、ペネトレーションテストは難しいと考えられていました。しかしながら近年サイバー攻撃の被害が本格化する中で、机上の空論によるセキュリティ対策だけでは有効性に疑義が生じています。ba10ics では、OTセキュリティの専門知識を有するコンサルタントがホワイトハッカーとなり、産業制御システムに適した本格的なペネトレーションテストを提供します。

攻撃テストのステップ

システム探索

システム構成を調べます

侵入ポイントからOTネットワークを探索します。攻撃者がどういった手法を使い、どの範囲までネットワーク・システム構成等の情報を知り得るのか。この情報をもとに、次のステップの進め方(攻撃シナリオ)を協議します。

脆弱性調査

脆弱性を検出します

各システムのサービス(アプリケーションプログラム)を脆弱性スキャンします。どういった脆弱性があって、どのような攻撃を受ける可能性があるのか調べます。

侵入テスト

侵入攻撃を試みます

見つかった脆弱性を使ってシステムへ侵入します。実際に脆弱性を突かれるとどのような被害につながるのか、その影響の大きさが掴めます。

侵入テスト

フィールド調査

制御機器との通信をテストします

侵入が成功したシステムを踏み台にして、より深くフィールドネットワーク機器との通信をテストします。PLC等の各種コントローラへのアクセスが実際に可能かどうか試みます。

テストサービスの流れ

標準的な進め方(約3ヵ月のプロジェクト期間) ※フルリモートのテスト実施に対応

Q&A

実際にシステムダウンへつながる攻撃を行うのですか?
DDoS攻撃等の可用性に直接影響を与える攻撃は行いません。
フルリモートのテストはどのように実施するのですか?
セキュアな閉域ネットワークを使ってリモートより実施します。詳しくは、お問い合わせいただいた際のサービス説明事項となります。
攻撃テストで予期せぬシステム障害等は発生しませんか?
絶対にないとは言い切れません。特に侵入テストを行う際には、どのシステムに対してどのような攻撃をするのか、お客様と十分な協議を行います。尚、弊社の故意もしくは重過失に起因する障害発生については、弊社側の責任となります。
標準的な進め方で「オプション対応可能」と示された範囲は対象外にできますか?
システムの可用性への影響等を考え「侵入テスト」「フィールド調査」を契約範囲外にすることが可能です。
サービス提供(コンサルティング)の報酬はどのくらいになりますか?
標準的な進め方(約3ヵ月間)で示すコンサルティング報酬については、概ね500万円~を想定ください。具体的には、対象範囲や規模等を考慮して個別に御見積をいたします。
開発・構築中のシステム環境に対してテストすることは可能ですか?
もちろん可能です。本番環境へ移行前の最終チェックとしてご活用いただけます。
制御システムへのセキュリティ侵害が疑われるのですが調査をお願いできますか?
侵害可能性の調査や、セキュリティ事件・事故に関する緊急対応などが可能です。被害が悪化する前にいち早くご相談ください。
オンラインでの打ち合せは可能ですか?
Microsoft Teams、Zoom、Google Meet など、各種Web会議ツールを使った対応が可能です。お問い合わせでのサービス説明から、契約後の詳細打ち合せに至るまで、お客様のご要望に応じます。

 

Twitterでフォローしよう

おすすめの記事