Loading

블로그

Recent ActivityRecent Activity

産業セキュリティの名もなき英雄: 研究者

産業制御システムに脆弱性が存在する場合、善良な人が最初にそれを発見することが重要です。

だからこそ、サイバーセキュリティのほとんど知られていない英雄である研究者たちが行なった仕事に感謝しています。

これらの人々は、産業セキュリティの脆弱性を発見することに熱心に取り組んでいます。彼らが悪者の前でそれを行ない、私たちのような会社に警告すると、私たちはそれらを修正することができます。彼らの行為は重大なセキュリティインシデントになる可能性のあるものを防ぐのに役立っています。

ロックウェル・オートメーションでは、研究者を受け入れています。私たちは、規格に沿った脆弱性処理および調整された開示プロセスの一環として、積極的に彼らと協力しています。そして、感謝の気持ちを示すために、認めるべき内容を評価しています。

システムのテスト

外部の研究者は、敵と同じ方法で産業用制御製品をテストします。彼らは、システムと通信プロトコルの欠陥を探し、その方法を模索します。

研究者が当社製品に脆弱性を発見した場合、製品セキュリティ・インシデント・レスポンス・チーム(PSIRT)に通知できます。その後、検証済みの脆弱性を特定して解決するために彼らと協力します。

セキュリティアドバイザリで調査結果を開示する場合、調査結果を見つけた研究者を感謝のしるしとして認識します。また、研究者に個人的なコミュニケーションを送信し、感謝の意を表明します。それは感謝の印ですが、私たちにとって重要なものです。そして、多くの場合、感謝は双方向に行きます。

例えば、テナブル社の主任研究エンジニアであるジェイコブ・ベインズ氏は、最近、セキュリティ開示について協力し、次のことを伝えました。

「ロックウェル・オートメーションのPSIRTは、私が脆弱性を公開した最も専門的なセキュリティグループの1つです。私の経験では、ロックウェル・オートメーションは開示関連の電子メールに迅速に対応し、エコシステムをセキュアに保つために、常にタイムラインを非常に真剣に考えてきました。」

「さらに、開発者の進捗状況であろうと公開予定日であろうと、ロックウェル・オートメーションは情報を共有するという素晴らしい仕事をしています。これは、効果的な協調的開示の鍵です。 彼らは事前に助言テキストも共有しています。私の考えでは、ロックウェル・オートメーションのPSIRTは、ベンダーが調整された開示について研究者と協力している方法の良い例です。」

予防的なセキュリティを優先する

脅威に先んじることは、ロックウェル・オートメーションの産業セキュリティ業務で私たちが行なうことの中心となっています。外部の研究者と協力することは、そのための1つの方法です。また、欠陥を探すために製品を積極的にテストする独自の研究者もいます。そして、積極的に対処するために他の手段を講じます。

例えば、当社のAllen-BradleyのControlLogix 5580コントローラは、今日の最も厳しい制御システムセキュリティ規格であるIEC 62443-4-2への準拠が認められた世界初のコントローラです。また、ロックウェル・オートメーションのセキュリティ開発ライフサイクル(SDL)をIEC 62443-4-1規格に認定しました。

私たちにとって、産業セキュリティとは製品とサービスを保護することだけではありません。私たちが協力している企業が人、生産性、知的財産を保護するのを支援することです。

当社の産業セキュリティ戦略、サービス、およびソリューションについては、こちらをご覧ください。


Megan Samford
Megan Samford
Director, Product Security, Rockwell Automation
Megan Samford
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommended For You