【アペルザTV_付録】経産省の工場セキュリティガイドラインをポイントをおさえて解説

【アペルザTV_付録】 経産省の工場セキュリティガイドラインを ポイントをおさえて解説 2023年5月 トレンドマイクロ株式会社

システム構成面での対策と トレンドマイクロ製品の対応

TP: Tipping Point ネットワークにおけるセキュリティ対策への対応 DD: Deep Discovery Inspector Edgeシリーズ: EdgeFire/EdgeIPS V1: Trend Vision One セキュリティ対策強度 対応する 対策カテゴリ トレンドマイクロ製品 トレンドマイクロ製品 対応有無 対応内容補足 最低限 中 高 IT環境 共用エリア ～共用エリア ～生産エリア 構成分割 － VLAN等による論理ドメイン細 分 物理ドメイン分割 〇 セキュリティ機器で対応できる範囲 は中レベルまでであるため〇とした。 EdgeFire 接続機器制限 － IP、MAC制限 ＋接続機器の論理証明 ＋接続機器の信頼性確保 △ IPによる接続制限のみ対応。 Edgeシリーズ 内部秘匿 － NAT、ステルス 不正通信防止（ゲートウェイ） 〇 FW/IPSの機能を有し、NATに対 応しているため〇とした。 EdgeFire 通信データ制限 送信元／宛先制限 ＋通信電文種別制限、 （FW） ＋電文内容解析・異常検知 ＋電文内容解析・ （IDS 異常通信遮断（IPS） 〇 FW/IPSの機能を有するため〇とし た。ただしTPはIPSのみ対応。 TP Edgeシリーズ ） 利用者制限 不要ユーザ削除、パスワードポリ ＋個人ID認証（1要素認 シー策 証） ＋多要素認証 △ セキュリティ機器へのログイン時に 定 ユーザ/パスワード認証まで対応。 TP, DD Edgeシリーズ 通信状況可視化・監視 通信監視・制御 － （NDR）、 ＋異常通信遮断 異常検知（IDS） （IPS、フィルタリング） 〇 高レベルまで対応するため〇とした。 TP, DD Edgeシリーズ 構成管理 － 接続機器管理・可視化 ＋機器内の構成管理・可視化 △ 一部資産情報の可視化が行える ため△とした。 Edgeシリーズ ＋ソフトウェア更新 脆弱性対策 脆弱性情報収集 ＋脆弱性診断、侵入可否検査 （セキュリティパッチ適用） ＋回避策 [or 仮想的な対策 (IPS、仮想 〇 仮想パッチにょるIPS機能を有する ため〇とした。 TP Edgeシリーズ パッチ等)] セキュリティ機器のログ取得、IDSで 検知した不審オブジェクトのIPS連 ログ取得 機器内ログ取得 （処理負荷への影響を考慮） ＋IDSログ連携 ＋ログ分析の仕組み整備 〇 携、XDRプラットフォームとのログ連 TP, DD, V1 Edgeシリーズ, 携が行えるため〇とした(Edgeシ (V1) リーズは将来的に連携予定)。 引用 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」 3 | Copyright © 2023 Trend Micro Incorporated. All rights reserved. 表を元にトレンドマイクロにより加筆 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

A1: Trend Micro Apex One 機器におけるセキュリティ対策への対応(1/2) DS: Trend Micro Deep Security TMPS3: Trend Micro Portable Security 3 セキュリティ対策強度 対応する レンドマイクロ製品 対策カテゴリ トレンドマイクロ製品 ト 対応有無 対応内容補足 最低限 中 高 IT環境 共用エリア ～共用エリア ～生産エリア 通信制限 不要サービス閉塞 ＋通信先制限 ＋FWの導入 〇 パーソナルファイアウォール 機能を有するため〇とした。A1, DS ＋ソフト閉塞 セキュリティソフトで対応で 不要ポート 端子キャップ （サービスの停止、USBク ＋ハード閉塞（完全に利 〇 きる範囲は中レベルのみと ラス制限等） 用不可） なり、USBデバイス制御が A1 Stellarシリーズ 行えるため〇とした。 持込媒体の検査 ＋持込媒体のシステム 持込端末のウイルスチェッ 利用ポート － （目視や管理票等で外形 チェック等（ウイルスチェック ク、端末に接続する外部 的に検査） 等でコンテンツやプログラム 〇 媒体のウイルスチェックが TMPS3 TMPS3 までを検査） 行えるため〇とした。 通信／接続機器認証 － IP、MAC、デバイスID認証 ＋相手機器の論理証明 （暗号による） - 送受信データ保護 － 暗号化、暗号鍵の管理 ＋暗号鍵の厳密な保護 - 利用者制限 不要ユーザ削除、パスワー ＋個人ID認証（1要素認 ドポリシー策定 証） ＋多要素認証 - 変更監視、プログラム改ざ 実行プログラム保護 － プログラム改ざん対策 ＋保護ツール活用 〇 ん防止が行えるため〇とし A1, DS Stellarシリーズ た。 アプリケーション制御により、 実行プログラム制御 不要プログラム停止・削除、 ＋グループ実行権限付与、 不要プログラム停止、許 ユーザグループ管理 ユーザ権限動作 ＋実行制御ツール活用 〇 可したプログラムのみ実行 A1, DS Stellarシリーズ が行えるため〇とした。 引用 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」 4 | Copyright © 2023 Trend Micro Incorporated. All rights reserved. 表を元にトレンドマイクロにより加筆 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

A1: Trend Micro Apex One 機器におけるセキュリティ対策への対応(2/2) DS: Trend Micro Deep Security TMPS3: Trend Micro Portable Security 3 セキュリティ対策強度 対応する 対策カテゴ トレンドマイクロ製品 トレンドマイクロ製品 リ 対応有無 対応内容補足 最低限 中 高 IT環境 共用エリア ～共用エリア ～生産エリア ファイル保護 ユーザグループ管理 ＋暗号化 ＋保護ツール活用 - 資源保護 (CPU,メモリ,ディスク) － 定期確認 ＋保護ツール活用 - 構成管理 － 機器内の構成管理・可視 一部情報(ホスト名、IP、 化 ＋設定情報管理・可視化 △ OSなど)の可視化が行える A1, DS TMPS3, Stellarシリーズ ため△とした。 ＋脆弱性診断、侵入可否 ＋ソフトウェア更新（セキュ 脆弱性対策 脆弱性情報収集 検査、 リティパッチ適用） 緩和策の適用 [or 仮想的な対策 (IPS、 〇 仮想パッチ機能を有するた め〇とした。 A1, DS ネットワーク製品で対策 EdgeIPS 仮想パッチ等)] セキュリティツールの操作ロ グ取得、ウイルススキャン結 システムログ取得 果ログ、XDRプラットフォーム ログ取得 （処理負荷への影響を考 ＋操作ログ取得・ログ連携 ＋ログ分析の仕組み整備 〇 とのログ連携が行えるため A1, DS, V1 TMPS3, Stellarシリーズ, 慮） 〇とした(TMPS3, Stellarシ (V1) リーズは将来的に連携予 定)。 バックアップ(データ、機器) － 定期オフライン データバックアップ ＋切替え機器の確保 - 電源可用性確保 － UPSの導入 ＋自家発電設備の導入 - 引用 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」 5 | Copyright © 2023 Trend Micro Incorporated. All rights reserved. 表を元にトレンドマイクロにより加筆 https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

チェックリストと トレンドマイクロ製品の対応

ガイドライン 付録E チェックリストによる達成状況の確認 【システム構成面での対策】を中心に抜粋 カテゴリ 番号 確認項目 達成度 参照 対応する トレンドマイクロ製品 運用的対策 情報資産の検出ツールを利用するなど、工場ネットワークに接続している機器（サーバ、クライアント端末、ネット （システム関連等） 2-6 ワーク機器、設備等）の台帳を作成し、システム構成図を作成している。 3.1.4 Edgeシリーズ、TMPS3、 保護対象の整理 DD 3.1.4 2-7 工場内に無線LANを導入している場合、ネットワークへの接続を許可された機器の台帳を作成し、無許可の機 保護対象の整理 器を拒否する仕組みがある。 3.2.2(1) システム構成面での対策 システムへの侵入を可能とする攻撃手法や脆弱性を特定し、脆弱性へ対応している、又は緩和策を講じている。 2-8 （脆弱性を特定する手法の例：定期的な脆弱性診断やペネトレーションテスト（侵入可否検査）、組込機 3.2.2(1) 器（PLCやIoT機器など）のモデル情報やファームウェア情報の把握及び脆弱性情報の定期的な確認等） システム構成面での対策 工場内のシステムのパスワードの強度や有効期限等のパスワード設定の考え方を定めたルールがある。（安全 2-10 に関わる緊急対応を必要とする表示器などの端末は除く） 3.2.2(1) システム構成面での対策 2-11 工場内のシステムへのアクセス権で使用していない古いアカウント（退職者・異動者など）を速やかに削除して 3.2.2(1) いる。 システム構成面での対策 2-12 工場ネットワーク内の接続機器について、事前にそれらがウィルスに感染していないことを確認する手順がある。 3.2.2(1) システム構成面での対策 TMPS3 システム機能の完全な復旧を想定したバックアップを行い、バックアップデータは保護された場所に格納するととも 2-13 に、定期的にバックアップデータからの復旧テストを行っている。また、その手順が明確化されている。 3.2.2(1) システム構成面での対策 引用 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」 付録E チェックリストを元にトレンドマイクロにより編集 7 | Copyright © 2023 Trend Micro Incorporated. All rights reserved. https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

ガイドライン 付録E チェックリストによる達成状況の確認 【システム構成面での対策】を中心に抜粋 カテゴリ 番号 確認項目 達成度 参照 対応する トレンドマイクロ製品 技術的対策 インストールできる端末にはアンチウィルスソフト又はアプリケーションホワイトリスト（許可リスト）を導入し、インストー A1, DS, Stellarシリーズ 3-1 ル不可能な端末では何らかの代替策（USB型のアンチウィルスなど）を導入している。 3.2.2(1) システム構成面での対策 インストール不可端末 TMPS3, Edgeシリーズ アプリケーション／オペレーティングシステム（OS）の重大な脆弱性については可能な限り速やかにセキュリティパッチ 3-2 を適用している。もしくは代替策を講じている。 3.2.2(1) A1, DS システム構成面での対策 Edgeシリーズ 端末のオペレーティングシステムの使用サービスやアプリケーションは必要最小限とし、未使用のサービスやポートは停 3-3 止・無効化している。 3.2.2(1) システム構成面での対策 A1, DS, Stellarシリーズ 3-5 工場ネットワーク内において、セキュリティレベルに応じたネットワークセグメント管理を行っている（VLAN等）。 3.2.2(1) システム構成面での対策 EdgeFire 工場システムのリモートメンテナンスなどを目的とした外部からのインターネットアクセスが可能な場合、認証（２要素 3-6 認証等）やリモートユーザ毎の接続対象機器の制限、接続可能時間の制限、メンテナンス期間外の機器接続等 3.2.2(1) の異常検知、ネットワーク侵入防護などの保護対策を行っている。 システム構成面での対策 Edgeシリーズ 工場内のネットワーク（情報システムとの境界やリモートアクセスを含む）の不審な通信を特定するためのネットワーク 3-7 検知／防護システムを導入している。 3.2.2(1) システム構成面での対策 DD, Edgeシリーズ 工場内のシステムのログイン、操作履歴などのイベントログを取得している。それらのログは定期的に分析し、必要日 3-8 数保存している。 3.2.2(1) システム構成面での対策 引用 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」 付録E チェックリストを元にトレンドマイクロにより編集 8 | Copyright © 2023 Trend Micro Incorporated. All rights reserved. https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline_ver1.0.pdf

Thank you © 2023 Trend Micro Incorporated. All rights reserved.