iotセキュリティリスクアセスメント€¦ ·...
TRANSCRIPT
近年、IoT(Internet of Things)の広がりに伴い、
IoTセキュリティ対策の必要性が議論され、多く
のガイドラインが発行されています。NECではお
客様の組織におけるIoTセキュリティリスクを体
制面・運用面・技術面の観点で把握し、お客様の
環境に合わせてリスクを見える化しながら、セ
キュリティ対策のポイントをご提案します。
貴社のIoTセキュリティリスクとその対応策を明確にします!
IoT機器に対する悪意ある第三者による様々なセキュリティの脅威が高まっており、セキュリティ対策は必須になっています。本サービスでは、IoTセキュリティガイドライン※1をベースとした分析を専門的な知識を有したコンサルタントが実施し、お客様のセキュリティの現状を明確にします。そしてセキュリティリスクがどこにあるのか、どのような対策から実施すればよいのかをご提案します。
リスクの影響度に応じた対処・低減策を提案します!
優先順位が高いリスクへの対策を選択
コストパフォーマンスの高い対応方法の選択
IoTセキュリティリスクアセスメント
NECが支援します!
IoTセキュリティの専門家がリスクアセスメントを支援!お客様が抱えるリスクを見える化します!
リスクの見える化
対策立案
支援内容
IoTセキュリティ対策はむずかしい
リスク対策の検討
IoTセキュリティガイドライン対応
クラウド層
NW層
エッジ層
デバイスNW層
センサデバイス層
IoTシステムの各層で対策が必要
利用する人の安全にも配慮
デバイス、エッジなど、つながり方が複雑
古い機器、低機能によりセキュリティ対策ができない
ウイルス、マルウェアが広範囲に蔓延してしまう
盗難、悪用されても気づかない
IoTの5層モデル※2とセキュリティ対策
※2 NECでは、IoTアーキテクチャを5層モデルで提唱しています
※1 IoT推進コンソーシアム 経産省 総務省 発行
サービスの流れ
事前に組織図、システム構成図の準備とチェックリストをご記入いただき、インタビューを通してお客様組織の課題を抽出します。課題からリスクを分析し、対策も含め結果をご報告します。
特長
お問い合わせは、下記へ
NEC サイバーセキュリティ戦略本部
〒108-8001 東京都港区芝五丁目7-1 NEC本社ビル
E-mail: [email protected]
●本紙に掲載された社名、商品名は各社の商標または登録商標です。
他の観点で現状を知りたい方へ
高度化、巧妙化するサイバー攻撃から企業を守るため、経営者がサイバーセキュリティリスクを認識し、適切なセキュリティ対策を実践できるよう、経済産業省によって発行された「サイバーセキュリティ経営ガイドライン」をベースに作成したチェックリストによる分析も可能です。
IoTセキュリティの観点で網羅的に課題を把握
IoTセキュリティガイドラインをベースに作成した独自のチェックリストを用い、お客様の課題を網羅的に見つけます。
専門家がインタビュー、分析を実施
国際標準や各業界団体が制定しているガイドラインを踏まえ、経験豊富なセキュリティの有識者がリスクアセスメントを実施します。
最適なセキュリティ対策を提案
リスクアセスメントの結果をもとに、お客様の状況と優先順位を考慮し、セキュリティ対策を提案します。
IoTセキュリティリスクアセスメント
大項目 経営者機器メー
カ
システム・
サービス提
供者/企
業利用者
ルール化・文書化 展開 定着化 分担想定達成度
(プロダウンから選択)
確認事実等
方針 指針1 IoT の性質を考慮した基本方針を定める
要点1 経営者がIoT セキュリティにコミットする ○ ○ ○ 企業としてIoTセキュリティに対する基本方針を策定し、宣言している。
サイバーセキュリティ経営ガイドラインの10の指針を実施するための役割分担を決定し、各種施策を実施している。
10の指針に対する実施施策について実施状況を把握・改善していくための仕組みを確立し、運用している。例えば、マネジメント層に対する会議体での報告する場を設け、状況について報告している。
管理部門 3-手続きの自動化と改善が実施されている
要点2 内部不正やミスに備える 自組織内における内部不正のリスクを把握し、必要な対策の実施について規定している。
定めたルールに対し、組織、プロジェクトで管理者、実施者を定め、適切な運用を図るための周知・教育を行っている。
定めたルールに基づき、必要な対策を導入している。
内部不正対策の実施状況を把握・改善していくための仕組みを確立し、運用している。例えば、内部不正の社外事例などを参考とした自社内の対策見直しなどを行っている。
管理部門 3-手続きの自動化と改善が実施されている
ミスや違反による事故に対する発生前と発生後の対策を規定ししている。
定めたルールに対し、組織、プロジェクトで管理者、実施者を定め、適切な運用を図るための周知・教育を行っている。
定めたルールに基づき、必要な対策を導入している。
ミスや違反への対策の実施状況を把握・改善して区ための仕組みを確立し、運用している。例えば、発生したミスや違反についての分析を行い、必要な対策の追加や見直しを行っている。
管理部門 3-手続きの自動化と改善が実施されている
分析 指針2 IoT のリスクを認識する 要点3 守るべきものを特定する IoT機器・システムにおいて守るべき資産を特定するための基準や手順など必要なルールを規定している。
定めたルールに基づき、組織、プロジェクトで管理者、実施者を定め、適切な運用を図るための周知・教育を行っている。例えば、教育の実施や実施支援などを行っている。
ルール化したプロセスが確実に実施されていることが確認できる仕組みを確立しており、基準や手順を必要に応じ見直している。例えば、製品ごとに特定した保護資産をリスト化し管理している。サイバー攻撃事例等を収集し、基準や手順を見直している。
管理部門/事業部門 3-手続きの自動化と改善が実施されている
IoT機器・システムにおいて守るべき資産を特定するための基準や手順など必要なルールを規定している。
定めたルールに基づき、組織、プロジェクトで管理者、実施者を定め、適切な運用を図るための周知・教育を行っている。例えば、機器をつなげるための機能の保護に対する教育の実施や保護すべき資産の洗い出しの実施支援などを行っている。
ルール化したプロセスが確実に実施されていることが確認できる仕組みを確立しており、基準や手順を必要に応じ見直している。例えば、機器やシステムごとに特定した保護資産をリスト化し管理している。サイバー攻撃事例等を収集し、基準や手順を見直している。
管理部門/事業部門 3-手続きの自動化と改善が実施されている
要点4 つながることによるリスクを想定する 機器がネットワークへ接続することに対するリスクを検討すること、またぜい弱性を検証するための基準や手順ことなど必要なルールを規定している。例えば、・ネットワーク接続時のリスクと対策例の整備・ぜい弱性診断やペネトレーションテスト等の実施がルール化されている。
定めたルールに基づき、組織、プロジェクトで管理者、実施者を定め、適切な運用を図るための周知・教育を行っている。例えば、これまでに現在販売しているクローズドなネットワーク向けの機器やシステムに対し、ネットワークに接続した場合のリスクを確認し、必要な対策が講じられているか確認している。
ルール化したプロセスが確実に実施されていることを確認できる仕組みを確立しており、基準や手順を必要に応じて見直している。例えば、機器やシステムの保護資産に対するリスクを可視化して管理している。製品・システムに対し、問題が発生した場合の対処方法やテストの実施有無について確認している。
管理部門/事業部門 3-手続きの自動化と改善が実施されている
上記ルールの対象として機器だけでなく保守時のリスクや保守用ツールを含めている。
定めたルールに基づき、組織、プロジェクトで管理者、実施者を定め、適切な運用を図るための周知・教育を行っている。例えば、保守時のリスクや保守ツールの悪用のリスクについて実例等を用い教育している。これまでに販売してる機器やシステムに対し、保守時の攻撃リスクを想定した対策ができているか確認している。
ルール化したプロセスが確実に実施されていることを確認できる仕組みを確立しており、基準や手順を必要に応じて見直している。例えば、保守用ツールに関するルールに基づいた対策が取られているか確認している。保守時の攻撃リスクやツールの悪用リスクを想定した保守作業を行っているか確認している。
管理部門/事業部門 3-手続きの自動化と改善が実施されている
指針 要点
○○ ○
○ ○
○ ○
イメージ 評価・分析
イメージ
アセスメント結果
クラウド層
NW層
エッジ層
デバイスNW層
センサデバイス層
セキュリティ対策
イメージ