制御システムセキュリティアセスメントサービス

Similar documents
ログを活用したActive Directoryに対する攻撃の検知と対策

JEB Plugin 開発チュートリアル 第3回

Javaセキュアコーディングセミナー東京 第2回 数値データの取扱いと入力値の検証 演習解説

JEB Plugin 開発チュートリアル 第4回

情報セキュリティの現状と課題

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

Himawari の異常な暗号

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

Apache ActiveMQ における認証処理不備の脆弱性

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

はじめての暗号化メール(Thunderbird編)

NTTannual2015.indd

サイバー演習の有効性 -レジリエントな組織づくりに向けて-

Javaセキュアコーディングセミナー東京 第4回 メソッドとセキュリティ 演習解説

Apache Tomcatにおけるクロスサイトリクエストフォージェリ(CSRF)保護メカニズム回避の脆弱性

工場における産業用IoT導入のためのセキュリティ ファーストステップ~産業用IoTを導入する企業のためのセキュリティガイド~

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

Spacewalkにおけるクロスサイトフォージェリ(CSRF)の脆弱性

1 基本的考え方

Apache Axis2 におけるXML署名検証不備

JBoss Application Server におけるディレクトリトラバーサルの脆弱性

削除済みVSSスナップショットの復元

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

制御システムのセキュリティリスク軽減対策~EMET のご紹介~

IoTで2030年の製造業はどうなる?

untitled

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

今企業が取るべきセキュリティ対策とは策


JEB Plugin 開発チュートリアル 第1回

2014 年 3 月 13 日 独立行政法人情報処理推進機構 (IPA) 制御システムのセキュリティ評価に関する EU レベルでの連携体制の確立 本概要は 欧州ネット 情報セキュリティ機関 (ENISA:European Network Information Security Agency) が発

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

鉄道分野における制御システムセキュリティ対策の検討

セキュリティ侵害のリスクの現状・動向

Microsoft Word HPコンテンツ案 _履歴なし_.doc

MySQL Connector/J における SQL インジェクションの脆弱性

ISO/IEC 27000family 作成の進捗状況

2

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル


DHS-7-Strategies-Japanese


JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

大学等学校法人の人事制度改定ーActibookPDF.indd

TCG JRF 第四回公開ワークショップ JPCERT コーディネーションセンター理事 分析センター長真鍋敬士 2012 年 11 月 28 日

2004

CCM (Cloud Control Matrix) の役割と使い方

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

スライド 1

SP100 取扱説明書

Blojsom におけるクロスサイトスクリプティングの脆弱性

Stuxnet ~制御システムを狙った初のマルウエア~

セキュリティ委員会活動報告

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

脆弱性届出制度における 調整活動 JPCERTコーディネーションセンター脆弱性コーディネーショングループリーダー高橋紀子

HTML5 Security & Headers- X-Crawling-Response-Header-

関西大学インフォメーションテクノロジーセンター年報 第3号(2012)

JPCERTコーディネーションセンター製品開発者リスト登録規約

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

< A838B D D862E696E6464>

資料7-2 川嶋委員からの資料

SPECIAL COLUMN 2. 図 3 に 米国を中心として展開された各セキュリティプロジェクトのスコープを 分野ごとに制御システムのライフサイクル上に記したものを示す 業界分野として 電力 石油 ガス 化学薬品 上下水道 運輸 鉄道 通信が挙げられている ライフサイクルでは 要件 研究 開発

..0.._ e.qxp

4 5 4

h01



法人保険( )

1

今から始めるHTML5セキュリティ

製造システムのセキュリティ確保に向けたパナソニックでの取り組み

SHODANを悪用した攻撃に備えて-制御システム編-


1 1

1

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

.T.C.Y._.E..

組織内CSIRT構築の実作業


目次 はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ 1

ファイル整合性監視 重要なシステムファイル レジストリ アプリケーションが変更されたことを知らせる = 整合性 ( 完全性 ) 監視 迅速な発見 Web 改ざん検知ゼロデイ攻撃対策アクセス権限の管理運用 / 可用性の向上変更管理の徹底 JSOXやPCI DSSなどのコンプライアンス 2

制御システムセキュリティの現実

Riotaro OKADA Riotaro OKADA Executive Researcher CISA, MBA CYDER (IPA) JICA, 2015

Fight Against Citadel in Japan(日本語版)

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

OJT担当者のための新任職員育成ハンドブック

AC-2

エンジョイ北スポーツ

制御システムセキュリティの現在と展望2016 この1年間を振り返って

Pad-web 電子証明書有効期限切れへのご対応について 弊社年金制度管理システムをご利用の方は 同システムのマニュアルをご参照ください 第 1.3 版 初版作成 : 2015/8/28 最終更新 : 2018/5/9

研究レポート表紙.PDF

2. 機能 ( 標準サポートプロトコル ) NTT ドコモの Android スマートフォン / タブレットでは標準で対応している VPN プロトコルがあります 本章では 動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-to-

マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

ISO/IEC ファミリー規格の最新動向 ISO/IEC JTC1/SC27 WG1 小委員会主査 ( 株式会社日立製作所 ) 相羽律子 Copyright (c) Japan ISMS User Group

IoT JNSA IoT Security WG IoT Security Working Group (

Microsoft PowerPoint - MCATraining_Qualification.pptx

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

ISO/IEC 27000ファミリーについて

Oracle Java 標準ライブラリ AtomicReferenceArray クラスにおけるデシリアライズに関する脆弱性

Transcription:

Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2016.12.13 18:18:59 +09'00' 制御システムセキュリティ アセスメントサービス 一般社団法人JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ

目次 1. はじめに 2. 背景 3. 概要 4. アセスメントの流れ 5. SSATによるセキュリティ全般のアセスメント (SSAT) 6. 技術的な視点によるアセスメント (TR) 1

はじめに : メリットその 1 制御システムのセキュリティ 何から手をつけたらいいのか分からない現状把握の必要性はわかるが 評価時間があまりかけられない JPCERT/CC によるセキュリティアセスメント セキュリティ対策の第一歩として現状把握ができる 第三者評価による気付きが得られる 結果の有効活用 2

はじめに : メリットその 2 中立組織 制御システムセキュリティ専門チーム JPCERT/CC によるセキュリティアセスメント 2 種類のアセスメントを提供 JPCERT/CC の事業 ( 現状把握と関係構築 ) として実施 ( 無償 ) 3

背景 アセスメント実施の背景 サイバーセキュリティ対策の第一歩として アセスメント実施の必要性が言われています アセスメントにより 組織の現状を把握し 明らかになったリスクを評価することにより 必要な対策を検討することが可能になります JPCERT/CC では自己評価ツール ( 日本版 SSAT, J-CLICS) を提供していますが 第三者による評価を行うことにより 自己評価では得られない気付きを得ることができます このため JPCERT/CC によるオンサイトのアセスメントをご提案いたします 日本版 SSAT (SCADA Self Assessment Tool) https://www.jpcert.or.jp/ics/ssat.html J-CLICS (Check List for Industrial Control Systems of Japan) https://www.jpcert.or.jp/ics/jclics.html 4

概要 ベースラインアプローチ英国政府の CPNI (Centre for the Protection of National Infrastructure) が開発した SSAT をベースに開発した日本版 SSAT または 制御システムセキュリティのガイドラインとして用いられる米国の NIST 文書に基づいてアセスメントを行います *NIST: National Institute of Standard and Technology オンサイトアセスメント JPCERT/CC の担当者がアセットオーナーのサイトを訪れ ヒアリングを行い 可能な範囲で証跡の確認を行います その後 結果をまとめレポートとして提出します 対象制御システムを利用されている国内のアセットオーナー様 メリット現状のセキュリティの評価が行え 第 3 者評価による気付きを得ることができます 5

アセスメントの流れ JPCERT/CC 申込書 アセットオーナー NDA 締結 事前確認シート 事前打ち合わせ オンサイトアセスメント 1 週間程度 事前確認シート入力 1 か月 レポート作成 評価レポート 結果説明打ち合わせ 6

アセスメントの流れ ( 詳細 ) 事前打ち合わせ 事前確認シート記入 オンサイトアセスメント 所要時間約 2 時間約 4 時間約 8 時間 1 か月 内容 アセットオーナー アセスメント詳細説明 事前確認シートの記入方法説明 オンサイトアセスメント 証跡の確認 ラップアップ会議 JPCERT/CC レポート作成 スコア 主要ポイントに対するコメント 7

2 種類のアセスメントをご提供 (SSAT と TR) SSAT または TR のいずれかを選択いただきます SSAT:SCADA Self Assessment Tool TR: Technical Review 導入から運用までの全般のアセスメントを行いたい場合は SSAT ファイアウォールの設定内容等の技術面の詳細なアセスメントを行いたい場合は TR を選択してください SSAT アプローチベースラインベースライン 基準 日本版 SSAT NIST SP800-53 NIST SP800-82 分野 TR 全般 ( デザイン 購買 技術的 ( 設計 運用 ) 導入 運用 ) NIST SP800-53 連邦政府情報システムにおける推奨セキュリティ管理策 NIST SP800-82 産業用制御システム (ICS) セキュリティガイド 8

SSAT ベースのアセスメント (SSAT) 日本版 SSAT の項目に基づいてヒアリングを行い JPCERT/CC が判定します 可能な範囲で証跡の確認を行います 結果レポートとしては SSAT のスコア および 主要項目に対するコメントになります サイトヒアリングは 1 日 /1 システム 9

SSAT 詳細 リスクと脅威の理解継続した統制の確立セキュア アーキテクチャーの実装意識とスキルの改善対応能力の確立サード パーティ リスクの管理プロジェクト参画調達 10

NIST ベースの技術的アセスメント (TR) アセスメント基準 : NIST SP800-53 の技術項目 および NIST SP800-82 のガイドラインに基づいてヒアリングを行います ネットワークの評価 セキュリティ対策の評価 IT と OT の連携状況 ベンダのサポート状況 モニタリング ネットワークアーキテクチャ図面などの確認を行います 結果レポートは 各評価項目に基づくスコア および 主要項目に対するコメントになります サイトヒアリングは 1 日 /1 システム 11

TR 詳細 NIST SP800-53 技術管理策 AC(20) アクセス制御 (Access Control) AU(11) 監査および責任追跡性 (Audit and Accountability) IA(7) 識別および認証 (Identification and Authentication) SC(23) システムおよび通信の保護 (System and Communications Protection) NIST SP800-82 ネットワークアーキテクチャー セキュリティ管理策 12

評価レポートイメージ (*) 評価結果に関しては 匿名化および統計化して公開する場合があります 13

申し込み方法 お問合せ先 別紙申し込み書に記入の上 下記に送付ください JPCERT コーディネーションセンター 制御システムセキュリティ対策グループ Email:icsr_reg@jpcert.or.jp お問い合わせ先担当 : 落合 中谷 Email:icsr@jpcert.or.jp 14

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック