NECソリューションイノベータは2023年6月20日、制御機器や工場ネットワークを対象とした「NEC 制御システムペネトレーションテスト」を同日より提供開始すると発表した。
このサービスでは、制御システムにおける機器やネットワークに対して、幅広い産業制御プロトコルに対応したペネトレーションテスト(侵入テスト)を実施する。テストの結果から脅威の分析やリスクの検出を行い、実施すべきセキュリティ対策に優先度を付与して提案するという。また、セキュリティ対策の実装、検知策や監視の検討を支援し、様々な環境下における制御システムに対して、適切なサイバーセキュリティ対策の検討・実装に貢献するとしている。また、制御システムセキュリティの国際規格であるIEC62443等のセキュリティ認証取得にも活用できるという。
「NEC 制御システムペネトレーションテスト」における攻撃シナリオのイメージ
サービスの特徴は主に3点。
1つめは、幅広い産業制御プロトコルやベンダーの独自プロトコルに対応している点。産業用イーサネットやフィールドバス、様々なプロトコルの仕様など、顧客のシステムや環境に合ったペネトレーションテストを設計し実施するという。対応プロトコルにはModbus、Ethernet/IP、OPC DA、OPC UA、DeviceNet、Bluetooth Low Energy、MQTT、CC-Linkを挙げているほか、ベンダーの独自プロトコルなど、一般的なツールでは難しいプロトコルにも対応するとしている。
2つめは、ITと制御システムが統合・接続された環境やスマートファクトリー等の環境にも対応可能である点。従来型の制御システムだけでなく、ペネトレーションテスト全般や、Industry 4.0・OPC UA等の先端技術に関するノウハウも有しているため、ITと制御システムが統合・接続された環境や、スマートファクトリー等新しいタイプのシステムに対しても支援するという。
3点目はペネトレーションテスト実施後の報告書の英語化などの要望にも対応する点。セキュリティ脅威分析や検出されたリスクに対するセキュリティ対策の実装、検知策や監視検討を支援するだけでなく、結果報告書の英語化、再テスト、テスト方法のレクチャーなどの要望への対応も謳う。
販売価格はテスト対象数と実施期間で異なり、テスト対象数が1~5件で実施期間が1~2カ月の場合は200~300万円、テスト対象数6~10件で実施期間2~3カ月の場合は500~700万円、テスト対象数11件以上で実施期間3カ月を超える場合は700万円からとなる(価格はいずれも税別の参考価格)。
なお、当サービスは制御システムを標的にしたサイバー攻撃・防御研究の産学協同プロジェクト「つるまいプロジェクト」において、制御システムのペネトレーションテスト分野で博⼠号を取得したNECソリューションイノベータ社員と、制御システムにおけるセキュリティ分野の研究教育活動を⾏っている東洋大学・満永准教授チームとの産学連携によって開発した。3年間で約4億円の売上を目指すという。