サイバーセキュリティ
- プログラム名
-
サイバーセキュリティ講座
- 担当講師
-
名古屋工業大学 名誉教授 橋本 芳宏
合同会社Forehacks 代表 佐々木 泰斗 -
講座の目的
-
工場等の制御システムが攻撃されるサイバーリスクを把握し、自社のサイバーセキュリティ対策を主導できる人材を育成する。
-
受講対象者
-
重要インフラ事業者の情報システム担当者・現場責任者
OT/IT の両領域に関わるセキュリティ管理者
制御システムの設計・運用に携わる技術者
ICS/OT セキュリティに関心を持つ情報システム部門の担当者
制御システムや重要インフラのサイバーセキュリティに関心を持つ方 -
学修到達目標
-
- 1. OT セキュリティの必要性を説明できる。
- 2. サイバーセキュリティフレームワークをもとに、中核人材の必要性とその役割を説明できる。
- 3. 中核人材の候補となることを意識して、社内のメンバーにセキュリティを自分の課題と認識してもらうことの難しさとそれを解決するためのアプローチの例を紹介できる。
- 4. 自社へのサイバー攻撃のシナリオを検討できる。
-
オープンバッチ授与基準
-
全講義を受講した上で、理解度確認テストに合格すること
-
講座概要
-
本講座では、特に、工場や設備を対象にしたサイバーセキュリティ対策について広範囲に学ぶ。
はじめに 、最新のサイバー攻撃の事例や、ビジネスを取り巻く規制面から、安全を意識したサイバーセキュリティ対策の必要性を理解する。そして、サイバーセキュリティ対策の基本としてのNIST CyberSecurityFrameworkを学び、組織としての取り組みのあり方を考える。サイバー攻撃を、その手口を分析して考えるとともに、実際の攻撃手口を動画で学び、攻撃を身近なものとして感じる工夫も学ぶ。
サイバーセキュリティ対策は、開発から保守、廃棄までのライフサイクルにわたって求められるものであり、セーフティの破綻にもつながるものなので、それらを一貫して管理・議論するためのアプローチについても学ぶ。
サイバー攻撃には想定外がつきもので、守り切れないという観点で、インシデント対応演習によるレジリエンス強化が求められる。インシデント対応演習のあり方、企画の仕方について、具体例を示しながら、自ら企画できるように学ぶ。
最後に、自社のみならず、サプライチェーンも対象にしたセキュリティ対策についても学ぶ。 -
スケジュール・内容
-
方法 内容 第1回 対面/オンライン 講座のオリエンテーションと参加者交流
8月4日(火)15:00~16:30 場所:4号館110室 または オンライン参加
講座の受講意義や修得できる知識・スキル、受講後の活用方法等を説明し、講師および受講者が顔をあわせて、お互いに学びを進めるうえでの交流をする。第2回 オンデマンド サイバー攻撃の最新動向とOTセキュリティの必要性
サイバー攻撃は、情報の搾取・破壊だけでなく、操業の停止、設備の損傷、人命や環境の破壊にもつながる。その脅威がどのような状況になっているかを紹介し、すでに、他人事では許せない脅威であり、安全を念頭においたOT(Operational Technology)のサイバーセキュリティに取り組む必要があることを示す。第3回 オンデマンド ビジネスの規制面からのOTセキュリティの必要性
EUのNIS2やCRAなど高額の罰金が設定されたサイバーセキュリティに関する規制が施行されており、日本でも、経済安全保障推進法、高圧ガス保安法などで、セキュリティ対策が必須とされるようになっている。10億円もの損害賠償が発生したサプライチェーンでの被害もある。ビジネスの面でもOTセキュリティが不可欠であることを示す。第4回 オンデマンド OTセキュリティの基本:CyberSecurity Framework (CSF)
2014年にアメリカで提案されたCyberSecurity Framework(CSF)をOTセキュリティの基本として紹介する。CSFは様々なガイドラインの基本ともなっているものある。その重要なポイントを、理解しやすく解説する。第5回 オンデマンド サイバー攻撃の手口のCyber Kill Chainによる理解と工場へのサイバー攻撃のデモ動画
サイバー攻撃が成功するためには、多くの段階が必要である。Cyber Kill Chainをもとに、サイバー攻撃の手口を解説するとともに、工場へのサイバー攻撃のデモを示し、サイバー攻撃の脅威を身近に感じることができることをめざす。第6回 オンデマンド サイバーセキュリティにおけるリスクベースアプローチ(安全と対比して)
セキュリティ対策のチェックにはチェックシートが利用されることが多いが、その対策は、企業としてのリスクを低減していると評価することは難しい。安全においては、リスクベースが基本になっているが、サイバーセキュリティにおいてもリスクベースで検討することが望まれる。そのためのアプローチとしてCS-HAZOP, CS-LOPAを紹介する。第7回 オンデマンド サイバーセキュリティとセーフティのライフサイクル管理のためのアプローチ
EU CRAのように、世界的に、製造責任として、ライフサイクルにわたってのセキュリティ管理の責任を追及されるようになっていくと考えられる。セキュリティの破綻はセーフティの破綻にもつながり、セーフティも同時に、開発から構築、保守、廃棄まで連動させる必要がある。そのためのアプローチとして、共通モデルを用いた議論を提案する。第8回 オンデマンド インシデント対応演習
サイバー攻撃による人命被害とか深刻な環境被害はまだ発生していない。起こってからでは遅いという観点で、疑似体験によるサイバーセキュリティ対策の検証が必要である。そのために有効なのは、具体的なシナリオを想定したインシデント対応演習である。想定外は不可避であるが、繰り返し課題を洗い出すことで、レジリエンスの強化をはかる。第9回 オンデマンド サプライチェーンリスクへの対応
コジマプレスからトヨタ、給食センターから大阪急性期・総合医療センターなど関係者からの攻撃侵攻は重要な課題となっている。この課題に対して現在、進行している取り組みを紹介し、さらなる検討の参考にしほしい。第10回 オンライン まとめ
受講者の課題に対する回答を共有し、受講者から提出された質問などに応える。 -
テキスト・参考資料
-
講師プロフィール
-
-
名古屋工業大学 名誉教授
OTセキュリティ / 制御、システム工学 / プロセスシステム工学橋本 芳宏 -
セキュリティの変化は激しく、被害も自社にとどまらず広がっています。今必要なのは、目的を明確にし、粘り強く取り組む姿勢です。重要性が高まるこの難題に、確かな指針を持って共に立ち向かいませんか?
ご参加を楽しみにしています。
-
-
-
合同会社Forehacks 代表
システムエンジニア / サイバーセキュリティコンサルタント / セキュリティ教育佐々木 泰斗 -
守るためには、まず『攻め方』を知ることから。
攻撃者の視点で手口を学びつつ、法規制やリスク評価、セキュア開発など、組織が取り組むアクションを一緒に紐解きましょう。現場を変える一歩を踏み出したい方、お待ちしております!
-
