★☆★JNSAメールマガジン 第302号 2024.12.13☆★☆
2024/12/13 (Fri) 15:30
★☆★JNSAメールマガジン 第302号 2024.12.13☆★☆
こんにちは
JNSAメールマガジン 第302号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
JNSA 調査研究部会 OTセキュリティWG サブリーダー
藤原 健太様にご寄稿いただきました。
【連載リレーコラム】
JNSA 調査研究部会 OTセキュリティWG発足のご案内とOTセキュリティについて
JNSA 調査研究部会 OTセキュリティWG サブリーダー/
フォーティネットジャパン合同会社 OTビジネス開発部 担当部長
藤原 健太
2024年8月より、JNSA(日本ネットワークセキュリティ協会)の調査研究部会
傘下において、OTセキュリティワーキンググループ(以下、WG)が新たに発足
いたしました。本WGのサブリーダーを務めております藤原と申します。
本WGは、製造業をはじめとするOTセキュリティに関する文化醸成、啓発活動、
各関連団体との情報交換・協調を主な目的とし、さらにJNSA国際連携部会と
連携し、日ASEANサイバーセキュリティ・コミュニティ・アライアンス(AJCCA)
との相互協力を推進することをミッションとしております。
このたび、このような貴重な機会をいただきましたので、OTセキュリティの
重要性についてご説明いたします。OTセキュリティの必要性は多方面で謳われ、
私自身もその注目度の高まりを強く実感しております。しかし、多くの課題は
「何を、どこまで実施すべきか」という点に集約されているのが現状です。
本稿では、提案者および実施者の双方にとって有益となる「何を、どこまで」
を定めるための基本的な考え方について、OTセキュリティの「Why(なぜ必要
か)」に関する共通認識と、「How(どのように取り組むか)」の要点を解説
いたします。
■ セキュリティ対策の目的とリスク評価の基本
工場をはじめとするOT領域においても、デジタル技術を活用したDX(デジタル
トランスフォーメーション)が進展する中、「つながる」ことによる新たな
脅威が増大しております。特に、サプライチェーンにおけるサイバーインシデ
ントは、部品供給の停止、自社の製造プロセスへの影響、さらには他社の製造
工程に波及する可能性があり、個社単独の対策では対応しきれない場合が少な
くありません。OT領域で発生するセキュリティインシデントは、経済的影響に
とどまらず、安全性や環境面へのアクシデントとして事業リスクに直結します。
そのため、安心・安全(Safety)、環境(Environment)、品質(Quality)、
コスト(Cost)、納期(Delivery)といった基本的要素に加え、事業継続計画
(BCP)の観点からも、包括的なビジネスリスク低減活動としての対策が求め
られます。
ビジネスリスクは一般的に、「ビジネスリスク=被害の発生確率(Likelihood)
×被害規模(Consequence)」として評価されます。発生頻度が低くとも被害が
甚大となる重要設備に対しては、セキュリティ対策の優先順位を高く設定すべき
です。また、OT環境ではアップデートが困難な機器が多いことから、一定の
脆弱性を許容しつつ、リスク評価に基づいて適切な対策を講じることが必要です。
■ 予防と事故対応の両面での取り組み
上述したビジネスリスク低減を実現するには、平時の予防活動と有事の事故
対応という二つの視点が欠かせません。平時の予防活動では、技術的な対策の
導入を優先的に進めることが可能ですが、脅威の進化に伴い、100%の予防は
事実上不可能です。そのため、万が一の事態に備えた事故対応が不可欠です。
事故対応では、技術的な対策のみで解決することは困難であり、組織の責任
所在や運用ルールの整備、さらに訓練を通じた人的対応力の向上が基盤となり
ます。特に、訓練の重要性は、日常生活における避難訓練の経験からも容易に
理解できるでしょう。OTセキュリティに関する訓練を効果的に実施するためには、
企業の本社部門と現場部門が連携し、責任組織を構築するとともに、体制や
運用ルールを策定する必要があります。
以上、OTセキュリティの「Why」に関する共通認識と「How」の要点を通じて、
「何を、どこまで」を定めるための考え方を示しました。本WGでは、知見豊富
なメンバーとともに、OTセキュリティ文化の醸成に努めてまいります。
ご興味をお持ちの方は、ぜひ事務局までお問い合わせください。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/mryuj276
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA主催セミナー/イベントの動画・講演資料順次公開中!
JNSAホームページをご確認ください
https://www.jnsa.org/
★サイバーセキュリティのお仕事紹介ビデオ新作
「株式会社サイバーセキュリティクラウド」編を公開しました。
YouTube JNSAChannelでご覧いただけます。!
https://www.youtube.com/@JNSAseminar
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
※今回特別に独立行政法人情報処理推進機構(IPA)様のご案内もございます
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
自動診断でより手軽に・簡単に使えるSaaS版診断ツール
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性診断をより手軽に、より簡単に、より身近なものにを
クラウド型Webアプリケーション脆弱性自動検査ツール「VexCloud」
長年選ばれ続けたVexのノウハウを元に生み出されたVexCloudは、
より簡単にご利用いただけるよう開発された脆弱性診断ツールです。
簡単に利用できると言っても、検査性能は「Vex」譲り。
精度の高い脆弱性検査を行います。
■製品詳細
⇒ https://hubs.ly/Q02wTBrV0
《株式会社ユービーセキュア》
==============================================================
---------------------------------------------------------------------------------------------
Windows Server Update Services(WSUS)廃止による影響と
代替ツールの選び方
JBサービス株式会社
---------------------------------------------------------------------------------------------
==============================================================
★Web-ASM機能オプションリリース記念キャンペーン★
ーー デジタルサービス領域におけるASMを実現 ーー
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
デジタルサービスがビジネスの主流となりつつある昨今、
管理しきれていないWebサイト・アプリが増えてきています。
このような未把握のアタックサーフェスへの脆弱性対策として
AeyeScanの新機能「Web-ASM機能」をリリースしました!
リリースを記念して、2025年3月末まで特別キャンペーンを
実施しております。是非この機会にご利用ください。
詳細はこちら:https://www.aeyescan.jp/news/pr_20241111/
【株式会社エーアイセキュリティラボ】
==============================================================
∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞
\早割実施中/2025年1月開催 SANSトレーニングのご案内
∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞
2025年1月27日よりSANS Tokyo January 2025を開催いたします。
メジャーアップデートしたFOR500をはじめ、ご好評いただいている
3コースをLiveOnline形式で実施いたします!
12月20日までにお申込みいただくと早期割引価格が適用となります
ので、ご検討中の方はお早めにお申込みくださいませ。
▼お申込み・詳細はこちら
締切)早割:2024年12月20日まで、通常:2025年1月17日まで
詳細)https://www.sans-japan.jp/events/sans_tokyo_january_2025
【NRIセキュアテクノロジーズ株式会社】
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【無料ウェビナー】脆弱性を防ぐセキュア開発トレーニング
~KDLではなぜセキュア開発に取り組みはじめたのか~
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュア開発トレーニングをテーマとしたセミナーを開催します。
• なぜセキュア開発に取り組まないといけないのか
• KDLではどのような取り組みからはじめ、
どのように、セキュア開発トレーニングを実施しているのか
をお話し、トレーニング体験をしていただきます。
オンラインで受講できる全1時間のショートプログラムです。
みなさまのご参加お待ち申し上げております。
•日時:2025年1月14日(火) 14:00~15:00
•詳細:https://www.kdl.co.jp/event/2024/11/event-6410/
【株式会社神戸デジタル・ラボ】
==============================================================
【簡単・便利・ちょうどいい】
クラウド型統合ID管理サービス『ID Entrance』のご紹介
(キヤノンITソリューションズ)
https://www.canon-its.co.jp/solution/industry/cross-industry/sec/identrance
増え続けるクラウドアプリとユーザーアカウント管理の悩み、
『ID Entrance』で解決!
『ID Entrance』は、各種クラウドサービスへのログインに
使用しているIDやパスワードなどの情報を統合管理し、
シングルサインオン機能により複数のアプリケーションやサービスを
1つのID・パスワードで利用できるサービスです。
多要素認証や認証ポリシー機能も備えた
認証・認可機能をクラウド上で提供します。
「IDaaSは導入したいけれど、初期設定が煩雑で導入に踏み切れない」
など、お悩みの企業様はお気軽にお問い合わせください。
==============================================================
★サイバー危機に備える!短期セキュリティプログラム演習開講★
ニュースでサイバー攻撃の事件をご覧になったことはありませんか?
IPA産業サイバーセキュリティセンターは、セキュリティ対策を統括・
管理する方向けに、以下の実践的セキュリティ研修を開講します。
------------------------------------------------------------
▼社会インフラ・産業基盤に関わる企業・団体でサイバーセキュリ
ティを推進する責任者層の方向け(マネジメントクラス)
<プログラムの特徴>
サイバーセキュリティ推進のために必要な企画(体制、予算、
ポリシーなど)スキルを習得するだけでなく、経営層を説得する
ための考え方やロジカルシンキングも身につけることができます。
<開催日程・詳細>
日程:2025年1月16日(木),17日(金)/30日(木), 31日(金) 4日間
詳細:https://www.ipa.go.jp/jinzai/ics/short-pgm/cyberspex/2024.html
申込締切:2025年1月6日(月)
------------------------------------------------------------
▼制御システム(OT)サイバーセキュリティ対策の統括責任者や
サイバーセキュリティ対策部門の管理者層の方向け(CISOクラス)
<プログラムの特長>
サプライチェーンや制御システムを有する企業が対処を迫られたとき
の備えとなる実践的な研修です。シナリオを用いた机上演習で最新の
攻撃手法を体験していただきます。海外展開する企業の経営層からの
基調講演もあります。
<開催日程・詳細>
日程:2025年2月12日(水),13日(木) 2日間
詳細:https://www.ipa.go.jp/jinzai/ics/short-pgm/cybercrest/2024.html
申込締切:2025年1月15日(水)
【独立行政法人情報処理推進機構 産業サイバーセキュリティセンター】
==============================================================
*************************************
JNSAメールマガジン 第302号
発信日:2024年12月13日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第302号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
JNSA 調査研究部会 OTセキュリティWG サブリーダー
藤原 健太様にご寄稿いただきました。
【連載リレーコラム】
JNSA 調査研究部会 OTセキュリティWG発足のご案内とOTセキュリティについて
JNSA 調査研究部会 OTセキュリティWG サブリーダー/
フォーティネットジャパン合同会社 OTビジネス開発部 担当部長
藤原 健太
2024年8月より、JNSA(日本ネットワークセキュリティ協会)の調査研究部会
傘下において、OTセキュリティワーキンググループ(以下、WG)が新たに発足
いたしました。本WGのサブリーダーを務めております藤原と申します。
本WGは、製造業をはじめとするOTセキュリティに関する文化醸成、啓発活動、
各関連団体との情報交換・協調を主な目的とし、さらにJNSA国際連携部会と
連携し、日ASEANサイバーセキュリティ・コミュニティ・アライアンス(AJCCA)
との相互協力を推進することをミッションとしております。
このたび、このような貴重な機会をいただきましたので、OTセキュリティの
重要性についてご説明いたします。OTセキュリティの必要性は多方面で謳われ、
私自身もその注目度の高まりを強く実感しております。しかし、多くの課題は
「何を、どこまで実施すべきか」という点に集約されているのが現状です。
本稿では、提案者および実施者の双方にとって有益となる「何を、どこまで」
を定めるための基本的な考え方について、OTセキュリティの「Why(なぜ必要
か)」に関する共通認識と、「How(どのように取り組むか)」の要点を解説
いたします。
■ セキュリティ対策の目的とリスク評価の基本
工場をはじめとするOT領域においても、デジタル技術を活用したDX(デジタル
トランスフォーメーション)が進展する中、「つながる」ことによる新たな
脅威が増大しております。特に、サプライチェーンにおけるサイバーインシデ
ントは、部品供給の停止、自社の製造プロセスへの影響、さらには他社の製造
工程に波及する可能性があり、個社単独の対策では対応しきれない場合が少な
くありません。OT領域で発生するセキュリティインシデントは、経済的影響に
とどまらず、安全性や環境面へのアクシデントとして事業リスクに直結します。
そのため、安心・安全(Safety)、環境(Environment)、品質(Quality)、
コスト(Cost)、納期(Delivery)といった基本的要素に加え、事業継続計画
(BCP)の観点からも、包括的なビジネスリスク低減活動としての対策が求め
られます。
ビジネスリスクは一般的に、「ビジネスリスク=被害の発生確率(Likelihood)
×被害規模(Consequence)」として評価されます。発生頻度が低くとも被害が
甚大となる重要設備に対しては、セキュリティ対策の優先順位を高く設定すべき
です。また、OT環境ではアップデートが困難な機器が多いことから、一定の
脆弱性を許容しつつ、リスク評価に基づいて適切な対策を講じることが必要です。
■ 予防と事故対応の両面での取り組み
上述したビジネスリスク低減を実現するには、平時の予防活動と有事の事故
対応という二つの視点が欠かせません。平時の予防活動では、技術的な対策の
導入を優先的に進めることが可能ですが、脅威の進化に伴い、100%の予防は
事実上不可能です。そのため、万が一の事態に備えた事故対応が不可欠です。
事故対応では、技術的な対策のみで解決することは困難であり、組織の責任
所在や運用ルールの整備、さらに訓練を通じた人的対応力の向上が基盤となり
ます。特に、訓練の重要性は、日常生活における避難訓練の経験からも容易に
理解できるでしょう。OTセキュリティに関する訓練を効果的に実施するためには、
企業の本社部門と現場部門が連携し、責任組織を構築するとともに、体制や
運用ルールを策定する必要があります。
以上、OTセキュリティの「Why」に関する共通認識と「How」の要点を通じて、
「何を、どこまで」を定めるための考え方を示しました。本WGでは、知見豊富
なメンバーとともに、OTセキュリティ文化の醸成に努めてまいります。
ご興味をお持ちの方は、ぜひ事務局までお問い合わせください。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/mryuj276
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA主催セミナー/イベントの動画・講演資料順次公開中!
JNSAホームページをご確認ください
https://www.jnsa.org/
★サイバーセキュリティのお仕事紹介ビデオ新作
「株式会社サイバーセキュリティクラウド」編を公開しました。
YouTube JNSAChannelでご覧いただけます。!
https://www.youtube.com/@JNSAseminar
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
※今回特別に独立行政法人情報処理推進機構(IPA)様のご案内もございます
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
自動診断でより手軽に・簡単に使えるSaaS版診断ツール
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
脆弱性診断をより手軽に、より簡単に、より身近なものにを
クラウド型Webアプリケーション脆弱性自動検査ツール「VexCloud」
長年選ばれ続けたVexのノウハウを元に生み出されたVexCloudは、
より簡単にご利用いただけるよう開発された脆弱性診断ツールです。
簡単に利用できると言っても、検査性能は「Vex」譲り。
精度の高い脆弱性検査を行います。
■製品詳細
⇒ https://hubs.ly/Q02wTBrV0
《株式会社ユービーセキュア》
==============================================================
---------------------------------------------------------------------------------------------
Windows Server Update Services(WSUS)廃止による影響と
代替ツールの選び方
JBサービス株式会社
---------------------------------------------------------------------------------------------
==============================================================
★Web-ASM機能オプションリリース記念キャンペーン★
ーー デジタルサービス領域におけるASMを実現 ーー
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
デジタルサービスがビジネスの主流となりつつある昨今、
管理しきれていないWebサイト・アプリが増えてきています。
このような未把握のアタックサーフェスへの脆弱性対策として
AeyeScanの新機能「Web-ASM機能」をリリースしました!
リリースを記念して、2025年3月末まで特別キャンペーンを
実施しております。是非この機会にご利用ください。
詳細はこちら:https://www.aeyescan.jp/news/pr_20241111/
【株式会社エーアイセキュリティラボ】
==============================================================
∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞
\早割実施中/2025年1月開催 SANSトレーニングのご案内
∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞∞
2025年1月27日よりSANS Tokyo January 2025を開催いたします。
メジャーアップデートしたFOR500をはじめ、ご好評いただいている
3コースをLiveOnline形式で実施いたします!
12月20日までにお申込みいただくと早期割引価格が適用となります
ので、ご検討中の方はお早めにお申込みくださいませ。
▼お申込み・詳細はこちら
締切)早割:2024年12月20日まで、通常:2025年1月17日まで
詳細)https://www.sans-japan.jp/events/sans_tokyo_january_2025
【NRIセキュアテクノロジーズ株式会社】
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【無料ウェビナー】脆弱性を防ぐセキュア開発トレーニング
~KDLではなぜセキュア開発に取り組みはじめたのか~
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュア開発トレーニングをテーマとしたセミナーを開催します。
• なぜセキュア開発に取り組まないといけないのか
• KDLではどのような取り組みからはじめ、
どのように、セキュア開発トレーニングを実施しているのか
をお話し、トレーニング体験をしていただきます。
オンラインで受講できる全1時間のショートプログラムです。
みなさまのご参加お待ち申し上げております。
•日時:2025年1月14日(火) 14:00~15:00
•詳細:https://www.kdl.co.jp/event/2024/11/event-6410/
【株式会社神戸デジタル・ラボ】
==============================================================
【簡単・便利・ちょうどいい】
クラウド型統合ID管理サービス『ID Entrance』のご紹介
(キヤノンITソリューションズ)
https://www.canon-its.co.jp/solution/industry/cross-industry/sec/identrance
増え続けるクラウドアプリとユーザーアカウント管理の悩み、
『ID Entrance』で解決!
『ID Entrance』は、各種クラウドサービスへのログインに
使用しているIDやパスワードなどの情報を統合管理し、
シングルサインオン機能により複数のアプリケーションやサービスを
1つのID・パスワードで利用できるサービスです。
多要素認証や認証ポリシー機能も備えた
認証・認可機能をクラウド上で提供します。
「IDaaSは導入したいけれど、初期設定が煩雑で導入に踏み切れない」
など、お悩みの企業様はお気軽にお問い合わせください。
==============================================================
★サイバー危機に備える!短期セキュリティプログラム演習開講★
ニュースでサイバー攻撃の事件をご覧になったことはありませんか?
IPA産業サイバーセキュリティセンターは、セキュリティ対策を統括・
管理する方向けに、以下の実践的セキュリティ研修を開講します。
------------------------------------------------------------
▼社会インフラ・産業基盤に関わる企業・団体でサイバーセキュリ
ティを推進する責任者層の方向け(マネジメントクラス)
<プログラムの特徴>
サイバーセキュリティ推進のために必要な企画(体制、予算、
ポリシーなど)スキルを習得するだけでなく、経営層を説得する
ための考え方やロジカルシンキングも身につけることができます。
<開催日程・詳細>
日程:2025年1月16日(木),17日(金)/30日(木), 31日(金) 4日間
詳細:https://www.ipa.go.jp/jinzai/ics/short-pgm/cyberspex/2024.html
申込締切:2025年1月6日(月)
------------------------------------------------------------
▼制御システム(OT)サイバーセキュリティ対策の統括責任者や
サイバーセキュリティ対策部門の管理者層の方向け(CISOクラス)
<プログラムの特長>
サプライチェーンや制御システムを有する企業が対処を迫られたとき
の備えとなる実践的な研修です。シナリオを用いた机上演習で最新の
攻撃手法を体験していただきます。海外展開する企業の経営層からの
基調講演もあります。
<開催日程・詳細>
日程:2025年2月12日(水),13日(木) 2日間
詳細:https://www.ipa.go.jp/jinzai/ics/short-pgm/cybercrest/2024.html
申込締切:2025年1月15日(水)
【独立行政法人情報処理推進機構 産業サイバーセキュリティセンター】
==============================================================
*************************************
JNSAメールマガジン 第302号
発信日:2024年12月13日
発 行:JNSA事務局 sec@jnsa.org
*************************************