セキュリティに配慮した製品ライフサイクル

産業サイバーセキュリティは製品開発から始まります。ピルツでは、製品ソリューションの安全とセキュリティを確保するために、細心の注意を払って包括的な製品ライフサイクルを確立しており、その取り組みによって、社内でセキュリティがしっかり考慮されていることを実証できます。PSIRTチームによる継続的なセキュリティ管理支援から、セキュリティアドバイザリとセキュリティに配慮したプロセスによる製品ライフサイクルまで、あらゆる場面でピルツがお客様をサポートします。

セキュリティは動く標的です。つまりセキュリティは、製品のライフサイクル中に変化します。攻撃者は防御策を破るため、さらに強力な方法を開発しています。製品に新たな脆弱性が発見されれば、攻撃のリスクが生じます。あるいは、新しいソフトウェアなどにより脅威の状況が変化することもあります。

そのため、サイバー脅威や不正操作に対する対策は定期的に見直す必要があります。この責任は、主にプラントの事業者に課されています。機械メーカや部品メーカは、新たなセキュリティ問題を速やかに事業者に報告する必要があります。顧客が脆弱性を修正できるよう、デバイスソフトウェアの適切なアップデートを提供しなければなりません。システムインテグレータがプロセスに関与していれば、製造業者と事業者の仲介役を果たします。関係者全員が、製品のライフサイクルを通じて、緊密に協力することが重要です。

産業サイバーセキュリティの標準に基づくピルツの製品開発

ピルツは安全のエキスパートです。当社にとって製品の安全性だけでなく、セキュリティも重要です。そのため当社は、開発プロセスの精査と、セキュリティに配慮した製品開発「セキュリティ開発ライフサイクルプロセス（SDLプロセス）を定義するIEC 62443-4-1に基づいた試験の実施をTÜV Südに委託しました。このアプローチによって、潜在的なセキュリティの問題を新製品の設計が進行中であっても分析できます。脅威のモデル化によって製品のすべてのセキュリティリスクを検出可能にし、理想的には、製品のリスクを開発中に修正することが目的です。

監査の結果、ピルツの開発は規格の要件を満たし、SDLプロセスに適合しています。ピルツの開発は安全であるだけでなくセキュリティも万全であることが裏付けられた形です。

TÜV Südによると、ピルツでは、IEC 62443-4-1に準拠するセキュリティに配慮した製品開発への真剣な取り組みが、その後の製品認証の強固な基盤となっています。

セキュリティ脆弱性管理

ピルツはハードウェアだけでなくソフトウェアソリューションも開発しています。ソフトウェアのセキュリティ欠陥を100 %防ぐのは不可能です。したがって、ユーザや管理者がこうした欠陥について迅速に情報を得て、被害が発生する前に必要な対策を講じることが重要です。当社の製品やサービスは最高の品質要件を満たしています。ピルツが製品の開発段階からセキュリティを考慮するのもそのためです。しかし、ソフトウェアのセキュリティ上の欠陥を100パーセント防ぐことはできません。そのため私たちはインシデント管理の観点から、潜在的な脆弱性に関するあらゆる報告を極めて重要なものとして受け止めています。被害が発生する前に必要な対策を講じられるよう、ユーザや管理者にはこうした欠陥についての情報を迅速に提供する必要があります。これが当社の製品の高い品質を維持する唯一の方法です。そのためには、製品セキュリティインシデント対応チーム (PSIRT) をはじめ、適切な管理システムを社内に確立することが重要です。ピルツPSIRTチームはセキュリティアドバイザリを発行し、検出された脆弱性の修正に使用できるアクションを提案します。