制御システム ハッキング | 産業制御システムを対象に本格的なペネトレーションテストを提供

OTペネトレーションテスト サービス


産業制御システムに対する本格的なペネトレーションテストを提供します。

工場・プラントのサイバー攻撃対策は新たなフェーズへと移行。産業制御システム(OT:Operational Technology)を標的としたセキュリティの脅威が高まる中、「実際にサイバー攻撃を受けるとどうなるのか?」よりリアルなシミュレーションが求められています。そのようなニーズに対応するために、JTEではOTセキュリティの専門家による本格的なペネトレーションテストの提供を始めました。


どこが攻撃の侵入口になりえるのか?
✔ 攻撃者が脆弱性をどのように利用するのか?
実際の攻撃に遭った場合の被害影響は?
リアルなインシデントの発生を検証したい!
✔ あわせて効果的な対策を進めたい!
こんな課題に
コンサルティングで手厚くサポート

OTペネトレーションテスト サービスとは


ペネトレーションテストとは、ネットワークに接続されているコンピュータシステムに対し、 実際に既知の攻撃手法を用いて侵入を試みることです。「どこまで現状のセキュリティ対策で守れるのか」「サイバー攻撃でどのようにシステムが乗っ取られるのか」などをリアルに把握することができます。今まで可用性を重視する工場・プラントなどの産業制御システムでは、ペネトレーションテストは難しいと考えられていました。しかしながら近年サイバー攻撃の被害が本格化する中で、机上の空論によるセキュリティ対策だけでは有効性に疑義が生じています。JTEでは、OTセキュリティの専門知識を有するコンサルタントがホワイトハッカーとなり、産業制御システムに適した本格的なペネトレーションテストを提供します。



攻撃テストのステップ

システム探索


・システム構成を調べます

侵入ポイントからOTネットワークを探索します。攻撃者がどういった手法を使い、どの範囲までネットワーク・システム構成等の情報を知り得るのか。この情報をもとに、次のステップの進め方(攻撃シナリオ)を協議します。

脆弱性調査


・脆弱性を検出します

各システムのサービス(アプリケーションプログラム)を脆弱性スキャンします。どういった脆弱性があって、どのような攻撃を受ける可能性があるのか調べます。

侵入テスト


・侵入攻撃を試みます

見つかった脆弱性を使ってシステムへ侵入します。実際に脆弱性を突かれるとどのような被害につながるのか、その影響の大きさが掴めます。

フィールド調査


・制御機器との通信をテストします

侵入が成功したシステムを踏み台にして、より深くフィールドネットワーク機器との通信をテストします。PLC等の各種コントローラへのアクセスが実際に可能かどうか試みます。


テストサービスの流れ

標準的な進め方(約3ヵ月のプロジェクト期間) ※各種オンライン会議に対応可能


産業制御システムに詳しいホワイトハッカーが専任!

consultant

コンサルタント

福田 敏博(ふくだ としひろ)


・ICSホワイトハッカー

1965年、山口県宇部市生まれ。JT(日本たばこ産業株式会社)に入社し、たばこ工場における制御システムの設計・導入・運用・保守等に携わる。その後、ジェイティ エンジニアリング株式会社へ出向。システムエンジニア、プロジェクトマネージャとして、数多くの産業系システムの構築を手がける。
現在は、経営工学(マネジメント)・IT(情報技術)・OT(制御技術)を融合したコンサルティングに強みを持って活動中。産業サイバーセキュリティの分野では、第一人者として著名である。
技術士(経営工学)、中小企業診断士、情報処理安全確保支援士、公認システム監査人(CSA)、公認内部監査人(CIA)、米国PMI認定PMP、ITコーディネータなど、計30種以上の資格を所有。



Q&A
Q. 実際にシステムダウンへつながる攻撃を行うのですか?
A. DDoS攻撃等の可用性に直接影響を与える攻撃は行いません。
Q. 攻撃テストで予期せぬシステム障害等は発生しませんか?
A. 絶対にないとは言い切れません。特に侵入テストを行う際には、どのシステムに対してどのような攻撃をするのか、お客様と十分な協議を行います。尚、弊社の故意もしくは重過失に起因する障害発生については、弊社側の責任となります。
Q. 標準的な進め方で「オプション対応可能」と示された範囲は対象外にできますか?
A. システムの可用性への影響等を考え「侵入テスト」「フィールド調査」を契約範囲外にすることが可能です。
Q. サービス提供(コンサルティング)の報酬はどのくらいになりますか?
A. 標準的な進め方(約3ヵ月間)で示すコンサルティング報酬については、概ね500万円~を想定ください。具体的には、対象範囲や規模等を考慮して個別に御見積をいたします。
Q. 開発・構築中のシステム環境に対してテストすることは可能ですか?
A. もちろん可能です。本番環境へ移行前の最終チェックとしてご活用いただけます。
Q. 制御システムへのセキュリティ侵害が疑われるのですが調査をお願いできますか?
A. 侵害可能性の調査や、セキュリティ事件・事故に関する緊急対応などが可能です。被害が悪化する前にいち早くご相談ください。
Q. オンラインでの打ち合せは可能ですか?
A. Microsoft Teams、Zoom、Google Meet など、各種Web会議ツールを使った対応が可能です。お問い合わせでのサービス説明から、契約後の詳細打ち合せに至るまで、お客様のご要望に応じます。

contact

無料相談・お問い合わせ

03-5610-7605

各種オンライン会議に対応できます

ページトップへ