【特集2】官公庁や自治体など広く対象に 高い技術力で制御システムを守る
【東北電力グループ・トインクス】
トインクス(TOiNX)は、東北電力グループの一員として、情報システムおよび情報ネットワークに関するサイバーセキュリティーを担当する。トインクスが現在力を入れているのは、「制御システム」のセキュリティーだ。
個人情報などを取り扱う情報システムと異なり、発電所や工場など重要インフラで使用する制御システムはこれまで「インターネットから独立しており攻撃は受けない」と言われてきた。しかし2010年イラン核燃料施設攻撃を皮切りに、制御システムを狙った攻撃が問題化。監査の必要性が高まっている。
トインクスはその制御システムのセキュリティーに高い専門性を持つ。社内に制御システム対策の専門エンジニアを抱え、彼ら自身が顧客との営業も担う。セキュリティーの国際資格「グローバル・インダストリアル・サイバー・セキュリティー・プロフェッショナル(GICSP)」を持つ社員も在籍し「制御システムのセキュリティー分野では国内トップに食い込む技術を持っていると自負しています」と、営業本部営業企画部デジタルビジネス推進課・目黒有輝主任。東北電力グループ以外からも高い評価を得ており、他業種から監査依頼を受けることも多い。
トインクスではサイバー攻撃対策として、顧客に向けた「セキュリティー診断サービス」を提案している。企業の情報システム、制御システムの脆弱性を調べ、対策をアドバイスするサービスで、電力グループ以外に官公庁・自治体、企業も対象だ。診断では顧客の持つ課題に合わせ、社内の専門家がシステムへの疑似攻撃を行う「ペネトレーションテスト」や、ヒアリング、現地調査で診断する「リスクアセスメント」などの手法が使われる。
独自開発ツールで脆弱性発見 隠れたリスクを洗い出す
ペネトレーションテストは、システムの知識を善用するホワイトハッカーが企業のシステム情報を知らない状態で攻撃する実戦仕様が特徴だ。サイバー攻撃を念頭に独自開発したテストツールで、市販のツールでは通常見つからない脆弱性も発見できる。リスクアセスメントでは、文書調査と現地調査の両方を行うため、ルールで規定されても運用上で不備のある項目や、暗黙のルールで運用されているリスクを洗い出すことができる。設置機器やケーブルの保護、部屋の管理など物理的なセキュリティー問題にも対応が可能だ。
「当社は情報システムセキュリティーがメインですが、これからは制御システムにも取り組み、他社にないスキルでより幅広いサービスを提供していきたいですね」(同課・齋藤貴久副主任)
インフラ施設へのサイバー攻撃が現実の問題となった昨今、トインクスの持つ技術は企業のサイバーセキュリティーに欠かせないものとなりつつある。
