NRIセキュアテクノロジーズは2016年11月8日、カナダWurldtech Security Technologies(Wurldtech)社との協業を発表した。Wurldtechは、米GE Digital社の傘下にあり、産業用機器のセキュリティ認証プログラム「Achilles Certification(アキレス認証)」を策定した企業だ。アキレス認証は、産業機器向けのセキュリティ認証プログラムとしては世界的な権威があるもので、産業自動化メーカー上位10社のうち8社が取得している。日本国内では18社が認証を受けている。
IoTの時代を迎え、工場の産業機器もインターネットにつながり始めている。ITの世界では、攻撃を受けると情報漏えいが発生し、企業の社会的信用が棄損してしまうが、IoTの世界では信用の棄損では済まない。産業機器などが攻撃を受けて、攻撃者が自由に制御できるようになってしまうと、人や施設などが物理的に傷つけられてしまう可能性がある。制御機器のセキュリティでは、ITのセキュリティに加えて「安全」も重視しなければならないのだ。
NRIセキュアテクノロジーズはこれまで産業用機器を扱う企業に向けて、「セキュリティ動向調査の実施と分析」「セキュリティ対策状況の第三者評価」「セキュリティガイドラインの作成」「セキュリティ対策に関する実行支援」などのコンサルティングサービスを提供してきたが、今回の提携でこのサービスをGE Digitalの顧客にも提供していくことになった。
またNRIセキュアテクノロジーズは、アキレス認証が定める検証を実施する第三者機関となった。これは日本初のことだ。NRIセキュアテクノロジーズが検証を実施し、その結果をWurldtechに送り、審査を経て認証という流れになる。これに合わせてNRIセキュアテクノロジーズは、社内に制御機器の検証ラボを設置し、中立的で信頼性が高く、秘匿性の面でも信頼できる検証サービスを提供していく。
アキレス認証には産業用機器のセキュリティ強度を見る「Achilles Communication Certification」と、産業用機器の導入からメンテナンス、廃止の各段階におけるセキュリティ強度を見る「Achilles Practices Certification」の2種類がある。NRIセキュアテクノロジーズが検証できるのはAchilles Communication Certificationのみとなる。
図 アキレス認証のロゴマーク。左がAchilles Communication Certificationで、右がAchilles Practices Certification
出所 Wurldtech
NRIセキュアテクノロジーズは、アキレス認証の検証だけでなく、企業がアキレス認証を取得するための支援もするとしている。先述の産業用機器を扱う企業に向けたコンサルティングサービスや、2011年から提供している組み込み機器向けセキュリティ診断サービスで得た知見を生かして、アキレス認証取得のための助言などの支援をしていく。
