本日メディア182社に向けて、「CSMS認証取得支援サービス」のプレスリリースを行いました。
世界に先駆けた「CSMS認証」の取得を目指す方々を、いち早くサポートいたします。
2014年5月23日金曜日
2014年5月22日木曜日
2014年5月20日火曜日
情報セキュリティ政策会議の第39回会合資料が発表されました
情報セキュリティ政策会議の第39回会合(平成26年5月19日)資料が発表されました。
その資料5-2「サイバーセキュリティ2014(案)」の中で、「制御システムのセキュリテイマネジメント認証」に対する経済産業省の取り組みが明確に掲げられています。
http://www.nisc.go.jp/conference/seisaku/
いよいよCSMS認証が熱くなりそうです!
また、今週「VEC第4回制御システムセキュリティ対策カンファレンス」が開催されます。
まだ申し込みできますので、ご興味あれば参加ください。
・6月22日、23日
http://www.vec-member.com/event/seminar201405/seminar201405_1.htm
私、両日ともミニ展示コーナーで説明員をしていますので、お越しの際にはお声掛けください。
ジェイティエンジニアリングでの「無料セミナー」も定期的に開催しています。
・6月25日
・7月23日
http://www.jte.co.jp/seminer/csms.html
その資料5-2「サイバーセキュリティ2014(案)」の中で、「制御システムのセキュリテイマネジメント認証」に対する経済産業省の取り組みが明確に掲げられています。
http://www.nisc.go.jp/conference/seisaku/
いよいよCSMS認証が熱くなりそうです!
また、今週「VEC第4回制御システムセキュリティ対策カンファレンス」が開催されます。
まだ申し込みできますので、ご興味あれば参加ください。
・6月22日、23日
http://www.vec-member.com/event/seminar201405/seminar201405_1.htm
私、両日ともミニ展示コーナーで説明員をしていますので、お越しの際にはお声掛けください。
ジェイティエンジニアリングでの「無料セミナー」も定期的に開催しています。
・6月25日
・7月23日
http://www.jte.co.jp/seminer/csms.html
2014年5月19日月曜日
CSMS認証取得支援サービス
日本が世界に先駆けて制度を開始した、「CSMS(制御システムセキュリティ・マネジメントシステム)認証」の取得を目指す方々に対して、いち早く支援サポートを始めました。
「無理なく」 「無駄なく」 「効果的な」 認証取得ができるよう支援する、コンサルティング・サービスです。
CSMS認証基準(IEC 62443-2-1)を適用範囲の状況に合わせて、わかりやすく解説することに関しては、どこにも負けないと自負しています。
制御システムを熟知し、情報セキュリティ・マネジメントを専門とするコンサルタント(CSMS認証取得アドバイザー)が、認証取得までのステップを併走しますので、安心してCSMS構築作業が進められます。
【無料セミナー】のお申し込みはこちらから↓↓↓
http://www.jte.co.jp/seminer/csms.html
「無理なく」 「無駄なく」 「効果的な」 認証取得ができるよう支援する、コンサルティング・サービスです。
CSMS認証基準(IEC 62443-2-1)を適用範囲の状況に合わせて、わかりやすく解説することに関しては、どこにも負けないと自負しています。
制御システムを熟知し、情報セキュリティ・マネジメントを専門とするコンサルタント(CSMS認証取得アドバイザー)が、認証取得までのステップを併走しますので、安心してCSMS構築作業が進められます。
【無料セミナー】のお申し込みはこちらから↓↓↓
http://www.jte.co.jp/seminer/csms.html
2014年5月16日金曜日
第4回VEC制御システムセキュリティ対策カンファレンス
5月22日(木)・23日(金)の「第4回VEC制御システムセキュリティ対策カンファレンス」、両日とも「展示コーナーで説明対応」していますので、ぜひご来場ください。
まだ、参加申し込み可能です。
http://www.vec-member.com/event/seminar201405/seminar201405_1.htm
なお、私の登壇は5月22日の朝一番ですので、よろしくお願いいたします。
また、ジェイティエンジニアリングでの「無料セミナー」も定期的に開催しています。
・5月21日
・6月25日
・7月23日
http://www.jte.co.jp/seminer/csms.html
まだ、参加申し込み可能です。
http://www.vec-member.com/event/seminar201405/seminar201405_1.htm
なお、私の登壇は5月22日の朝一番ですので、よろしくお願いいたします。
また、ジェイティエンジニアリングでの「無料セミナー」も定期的に開催しています。
・5月21日
・6月25日
・7月23日
http://www.jte.co.jp/seminer/csms.html
無料セミナーを開催しています。
本セミナーでは、「無理なく」 「無駄なく」 「効果的な」 認証取得ができるよう支援する、コンサルティング・サービスの概要をご説明いたします。
申し込みはこちらから↓↓↓
http://www.jte.co.jp/seminer/csms.html
申し込みはこちらから↓↓↓
http://www.jte.co.jp/seminer/csms.html
2014年5月14日水曜日
4.2.3.5 単純なネットワーク図の策定
【要求事項】
組織は、論理的に統合されたシステムのそれぞれについて、主要装置、ネットワークの種類及び機器の一般的な場所を示す単純なネットワーク図を策定しなければならない。
これはとてもわかりやすい要求事項です。
そんなこと当たり前といえば、それまでなのですが。
しかしながら実際の運用現場を見ると、実はネットワーク構築当初の図面のまま(現状が反映されていない)だったりすることが多々あります。
また、施工図・工事図そのままのイメージであり、どこに何が設置されているか非常にわかりづらいものもあります。
インシデント発生時の対応では、その影響範囲や被害拡大を防ぐために、一見してネットワーク構成が把握できるようにすることが重要になります。
また、リスクアセスメントの際にも、リスク値の分析・評価で頻繁にネットワーク図を参照することでしょう。
ぜひ、CSMSを運用する担当者が一目瞭然となるネットワーク図を作成・維持しましょう!
組織は、論理的に統合されたシステムのそれぞれについて、主要装置、ネットワークの種類及び機器の一般的な場所を示す単純なネットワーク図を策定しなければならない。
これはとてもわかりやすい要求事項です。
そんなこと当たり前といえば、それまでなのですが。
しかしながら実際の運用現場を見ると、実はネットワーク構築当初の図面のまま(現状が反映されていない)だったりすることが多々あります。
また、施工図・工事図そのままのイメージであり、どこに何が設置されているか非常にわかりづらいものもあります。
インシデント発生時の対応では、その影響範囲や被害拡大を防ぐために、一見してネットワーク構成が把握できるようにすることが重要になります。
また、リスクアセスメントの際にも、リスク値の分析・評価で頻繁にネットワーク図を参照することでしょう。
ぜひ、CSMSを運用する担当者が一目瞭然となるネットワーク図を作成・維持しましょう!
2014年5月7日水曜日
4.2.3.4 IACSの識別
【要求事項】
組織は、各種のIACSを識別し、装置に関するデータを収集してセキュリティリスクの特性を識別し、それらの装置を論理的システムにグループ化しなければならない。
詳細なリスクアセスメントを行う際には、まず関係する各種IACSの機器・ソフトウェア等の情報資産を洗い出し、情報資産台帳(リスト表)の作成を行う必要があります。
また、詳細リスクアセスメントを「資産ベース」で行う場合は、これが分析対象のキーとなります。
但し、情報資産をサーバー機器などの個別単位で管理すると、膨大な項目数のリストになってしまいます。
これでは管理が非常に煩雑になり、効果的なリスクアセスメントにも繋がりません。
よって、論理的なシステム範囲やセキュリティ領域などでグループ化してまとめ、より適切に管理することが求められています。
例えば、AとBの2つの生産工程ラインがあり、それぞれ専用のサーバー機器群で制御システムが構成される場合は、「Aライン制御システム」「Bライン制御システム」という論理範囲でグループ化すると効果的です。
組織は、各種のIACSを識別し、装置に関するデータを収集してセキュリティリスクの特性を識別し、それらの装置を論理的システムにグループ化しなければならない。
詳細なリスクアセスメントを行う際には、まず関係する各種IACSの機器・ソフトウェア等の情報資産を洗い出し、情報資産台帳(リスト表)の作成を行う必要があります。
また、詳細リスクアセスメントを「資産ベース」で行う場合は、これが分析対象のキーとなります。
但し、情報資産をサーバー機器などの個別単位で管理すると、膨大な項目数のリストになってしまいます。
これでは管理が非常に煩雑になり、効果的なリスクアセスメントにも繋がりません。
よって、論理的なシステム範囲やセキュリティ領域などでグループ化してまとめ、より適切に管理することが求められています。
例えば、AとBの2つの生産工程ラインがあり、それぞれ専用のサーバー機器群で制御システムが構成される場合は、「Aライン制御システム」「Bライン制御システム」という論理範囲でグループ化すると効果的です。
2014年5月1日木曜日
4.2.3.3 上位レベルのリスクアセスメントの実行
【要求事項】
IACSの可用性、完全性文は機密性が損なわれた場合の財務的結果及びHSEに対する結果を理解するために、上位レベルのシステムリスクアセスメントが実行されなければならない。
「上位レベル」でのリスクアセスメントでは、「業務プロセスを視点にしたシナリオベース」での実施をお勧めしています。
[4.2.2.1]で策定した「事業上の根拠」を踏まえ、IACSに関する業務プロセスの視点でリスクとなる事例をあげながら、可用性(A)・完全性(I)・機密性(C)と、健康(H)・安全性(S)・環境(E)の観点から、影響度合いを評価することになると思います。
また、業務プロセスでは、制御システムのライフサイクル(開発、導入、変更、更新、廃棄)を考慮することもポイントとなるでしょう。
IACSの可用性、完全性文は機密性が損なわれた場合の財務的結果及びHSEに対する結果を理解するために、上位レベルのシステムリスクアセスメントが実行されなければならない。
「上位レベル」でのリスクアセスメントでは、「業務プロセスを視点にしたシナリオベース」での実施をお勧めしています。
[4.2.2.1]で策定した「事業上の根拠」を踏まえ、IACSに関する業務プロセスの視点でリスクとなる事例をあげながら、可用性(A)・完全性(I)・機密性(C)と、健康(H)・安全性(S)・環境(E)の観点から、影響度合いを評価することになると思います。
また、業務プロセスでは、制御システムのライフサイクル(開発、導入、変更、更新、廃棄)を考慮することもポイントとなるでしょう。
登録:
投稿 (Atom)