すべてのOT資産を可視化。運用コンテキストですべてのリスクをスコアリング。

セキュリティプログラムは、見えないものを守ることも、スコアリングできないものを優先することもできません。TXOne SenninReconは、行動につながる自動化されたOT資産の発見とリスク評価を提供します。

ほとんどのOTセキュリティプログラムは、率直な認識から始まります。何を保有しているかわからない、何がリスクにさらされているかわからない。SenninReconは、本番システムに触れることなく、この両方の問いに答えます。

従来の脆弱性スキャナーはOT環境では危険であり、従来の資産インベントリスプレッドシートは保存した瞬間から時代遅れになります。TXOne SenninReconは、運用を中断することなく数時間で導入できるハードウェアアプライアンスを通じて、OT資産の自動検出とリスクスコアリングを実現します。VSARは運用コンテキストで脆弱性をスコアリングします。仮想パッチが適用されたエアギャップシステム上の重大なCVEは、ネットワーク公開資産上の中程度のCVEよりも低くランク付けされます。すでにネットワーク可視化プラットフォームに投資されている場合、SenninReconはそのプラットフォームが提供できない資産レベルの評価と運用コンテキストスコアリングを追加します。アセスメントレポートは調査結果をIEC 62443およびNIST CSFの要件にマッピングするため、次回のセキュリティレビューは推測ではなく証拠に基づいて開始できます。

課題

OTで発見・評価が停滞する理由

OTチームは、ITに適応したツールが解決するよりも多くの課題を生み出す、発見・評価に関する問題に直面しています。

01 / 04

古いインベントリは古いリスクモデルと古い予算につながる

次回の監査前にすでに時代遅れになっている資産インベントリ

手動のスプレッドシートと定期的なウォークダウンは、機器の変更、ベンダーの交代、請負業者の作業に追いつきません。コンプライアンス監査員が到着した時点で、維持が義務付けられているインベントリはすでに誤った内容になっています。名前がわからない資産は保護できず、規模が把握できないセキュリティ投資は計画できません。

OTでのアクティブスキャンは、防ごうとしていた停止を引き起こす

ITの脆弱性スキャナーがOTシステムを破壊する

アクティブなITスキャナーはPLCをクラッシュさせ、フィールドバスネットワークを飽和させ、安全システムを誤作動させます。運用チームがそれを拒否するのは正しい判断です。セキュリティチームはITが当然とするアセスメントデータなしで対応を迫られます。データセンターでは安全なスキャナーも、工場フロアでは本番リスクになります。

分析麻痺が決断力ある修復の代わりに起こる

運用コンテキストのないCVSSスコアが修復を停滞させる

CVEリストはOT環境全体で数千件の脆弱性を特定します。CVSSは理論上の深刻度でランク付けしますが、どの資産がエアギャップされているか、どの資産に仮想パッチが適用されているか、どの資産がインターネットから1ホップの距離にあるかは考慮しません。すべての脆弱性が重大に見え、実態を反映していない場合、チームはどこから手をつければよいか判断できません。

単発のアセスメントが記録するのは過去の状況であり、現在のポスチャではない

時点スナップショットのアセスメントは時間とともに意味を失う

コンサルティング契約が提供するのはバインダー1冊です。6週間後に新しい請負業者がノートパソコンを追加し、ベンダーがコントローラーを交換すると、そのバインダーは誤った内容になります。変化し続ける状況のスナップショットに費用を払ったことになります。取締役会が現在のリスクポスチャを問いかけたとき、回答は6週間前のものになっています。

古いインベントリは古いリスクモデルと古い予算につながる

次回の監査前にすでに時代遅れになっている資産インベントリ

手動のスプレッドシートと定期的なウォークダウンは、機器の変更、ベンダーの交代、請負業者の作業に追いつきません。コンプライアンス監査員が到着した時点で、維持が義務付けられているインベントリはすでに誤った内容になっています。名前がわからない資産は保護できず、規模が把握できないセキュリティ投資は計画できません。

機能

発見・評価フレームワーク

未知のOT資産を優先度付きのアクションに変える3つの機能

01 / 03

OT資産の自動検出

SenninReconは、パッシブなネットワークリスニングと任意の安全なクエリを組み合わせて、OT環境全体の資産を発見します。アクティブな脆弱性スキャンは行いません。トラフィックストームも発生しません。PLCや安全システムへのリスクもありません。

主要な機能

パッシブなOTプロトコル検出（180以上のプロトコルに対応）

ベンダー、モデル、ファームウェア、機能の識別

Purdueモデル全体にわたるシャドーデバイスの検出

本番システムに触れることなく数時間で導入可能

運

運用コンテキストに基づくVSARリスクスコアリング

VSARは、CVSSの重大度だけでなく、運用上のコンテキストによって脆弱性をスコアリングします。エアギャップの状態、仮想パッチの適用状況、ネットワークへの露出度、資産の重要度がすべてスコアに反映されます。修復リストは本当に重要な項目から始まります。

主要な機能

理論上の深刻度よりも運用上のコンテキストを重視

明確な担当者が紐付いた、資産リンク型の脆弱性チケット

仮想パッチの適用状況をリスクスコアリングに反映

チームが実際に実行できる修復優先順位

コンプライアンスとプログラム対応準備

SenninReconの調査結果は、IEC 62443の資産インベントリ要件、NIST CSFの特定機能、NERC CIPの資産識別管理にマッピングされます。アセスメントレポートは、次回のセキュリティレビューと次の保護投資の根拠となります。

主要な機能

IEC 62443資産インベントリへのマッピング

NIST CSF特定機能への対応

NERC CIP資産識別サポート

SIEMおよびGRCプラットフォームへのレポートエクスポート

OT資産の自動検出

SenninReconは、パッシブなネットワークリスニングと任意の安全なクエリを組み合わせて、OT環境全体の資産を発見します。アクティブな脆弱性スキャンは行いません。トラフィックストームも発生しません。PLCや安全システムへのリスクもありません。

主要な機能

パッシブなOTプロトコル検出（180以上のプロトコルに対応）

ベンダー、モデル、ファームウェア、機能の識別

Purdueモデル全体にわたるシャドーデバイスの検出

本番システムに触れることなく数時間で導入可能

特長

SenninReconが提供するもの

TXOne SenninReconは、従来の発見・評価ツールが引き起こすリスクなしに、OTの未知領域を優先度付きのアクションプランへと変えるハードウェアアプライアンスです。

01 / 05

インシデントにならないアセスメント

OTチームが受け入れるパッシブ検出

運用チームは、アクティブスキャナーが過去に本番環境をクラッシュさせた経験があることでしょう。SenninReconは、パッシブなネットワークリスニングにより資産を検出します。任意の安全なクエリも、明示的に承認された箇所にのみ使用します。トラフィックストームも、コントローラーのロックアップも、本番リスクもありません。アプライアンスは数時間で導入でき、次のメンテナンスウィンドウ内に資産の全体像の構築を開始します。

OTチームに受け入れられる、デフォルトでパッシブなアーキテクチャ

エージェントのインストール不要で導入できるハードウェアアプライアンス

180以上の産業用プロトコルを自動認識

通常のメンテナンスウィンドウ内での初期資産インベントリ取得

数千件のCVEから、実行可能な修復計画へ

VSAR：実態を反映した脆弱性スコアリング

VSARとは「脆弱性状況認識評価（Vulnerability Situational Awareness Rating）」であり、脆弱性を影響を受ける特定の資産のコンテキストで評価するスコアリング手法です。仮想パッチが適用されたエアギャップ環境はスコアが低くなり、補完的な管理策のないネットワーク公開環境はスコアが高くなります。修復キューは際限なく続くCVSSフィードではなく、今四半期にチームが実際に完了できる作業リストとして機能します。

理論上の深刻度に対して運用コンテキストを加味した評価

エアギャップ、露出度、補完的な管理策を考慮した評価

生産への影響に基づいて調整された資産の重要度

チームが実際に実行できる修復キュー

監査サイクルではなく、日単位で測る脆弱性管理

資産リンク型の修復と1日以内の対応

すべての調査結果は、影響を受ける特定の資産に紐付いたチケットとして起票されます。担当エンジニアは、どのHMI、どのPLC、どのコントローラーに問題があり、その脆弱性が運用にどのような影響を与えるかを把握できます。1日以内の対応サービスコミットメントが修復サイクルを維持し、監査証跡が実施内容とその理由を記録します。

脆弱性IDではなく特定のOT資産に紐付いたチケット

運用上の責任に紐付いた明確な担当者

フラグが立てられた調査結果への1日以内の対応コミットメント

修復判断を記録した監査証跡

CFOが実際に読むアセスメントレポート

次のセキュリティ投資の根拠となるアセスメント

セキュリティプログラムが、包括的なOTセキュリティへの無制限の予算から始まることはほとんどありません。SenninReconは、次のステップを正当化するための根拠を生み出します。アセスメントレポートは、実際に保護が必要な資産を対象として、組織が受け入れられないリスクに見合ったスコープで、ネットワーク保護、エンドポイント保護、またはインスペクション投資へのビジネスケースとなります。

Edge、Stellar、Elementへの投資に向けた根拠に基づいたスコーピング

ビジネスへの影響として表現された調査結果

取締役会や監査レビューに対応したレポート形式

アセスメントから優先度付き保護への明確な道筋

前四半期のバインダーではなく、現在のポスチャを把握

スナップショットではなく、継続的なポスチャ管理

コンサルティング契約が提供するのはバインダー1冊です。SenninReconが提供するのは継続的な検出と再評価です。請負業者が新しいノートパソコンを接続したとき、ベンダーがコントローラーを交換したとき、ファームウェアアップデートで資産のフィンガープリントが変わったとき、そのポスチャは即座に反映されます。次回の監査での対話は、前四半期のスナップショットではなく、現在の状態から始まります。

ネットワーク変更を跨ぐ継続的な検出

資産やファームウェアの変更に伴う再評価

監査向けに常に最新の状態を保つ資産インベントリ

現在稼働中のシステムを反映したセキュリティポスチャ

インシデントにならないアセスメント

OTチームが受け入れるパッシブ検出

運用チームは、アクティブスキャナーが過去に本番環境をクラッシュさせた経験があることでしょう。SenninReconは、パッシブなネットワークリスニングにより資産を検出します。任意の安全なクエリも、明示的に承認された箇所にのみ使用します。トラフィックストームも、コントローラーのロックアップも、本番リスクもありません。アプライアンスは数時間で導入でき、次のメンテナンスウィンドウ内に資産の全体像の構築を開始します。

OTチームに受け入れられる、デフォルトでパッシブなアーキテクチャ

エージェントのインストール不要で導入できるハードウェアアプライアンス

180以上の産業用プロトコルを自動認識

通常のメンテナンスウィンドウ内での初期資産インベントリ取得

S

SenninRecon

OTアセスメントアプライアンス

OTセキュリティプログラムを開始または拡大する組織向けの、ハードウェアによるOT資産の発見とVSARリスクスコアリング

SenninReconは、OTの未知領域を優先度付きのアクションプランへと変えるハードウェアアプライアンスです。180以上の産業用プロトコルにわたるデフォルトパッシブの検出、運用コンテキストでのVSARリスクスコアリング、1日以内の対応サービス付き資産リンク型修復チケット、IEC 62443およびNIST CSFにマッピングされたアセスメントレポートを提供します。OTセキュリティプログラムを開始または拡張する組織にとって自然な入口となります。

SenninRecon

OTアセスメントアプライアンス

OTセキュリティプログラムを開始または拡大する組織向けの、ハードウェアによるOT資産の発見とVSARリスクスコアリング

SenninReconは、OTの未知領域を優先度付きのアクションプランへと変えるハードウェアアプライアンスです。180以上の産業用プロトコルにわたるデフォルトパッシブの検出、運用コンテキストでのVSARリスクスコアリング、1日以内の対応サービス付き資産リンク型修復チケット、IEC 62443およびNIST CSFにマッピングされたアセスメントレポートを提供します。OTセキュリティプログラムを開始または拡張する組織にとって自然な入口となります。

お客様の成功事例

組織がSenninReconを活用して証拠に基づいたOTセキュリティプログラムを開始する方法をご覧ください

Chris Thompson
Director of Brewery OT Security at Carlsberg Group, Carlsberg Group

Giampaolo Tacchini
Group CISO & Quality Manager, Edison, Edison Group

現状から始めましょう。修正すべきリスクをスコアリングします。

OTセキュリティプログラムは、現状の正確な把握から始まります。SenninReconのアセスメントをご依頼いただくと、すべての資産を可視化し、運用コンテキストでリスクをスコアリングして、チームが実際に実行できる優先度付きの修復計画をご提供します。

OTアセスメントを依頼する OTアセスメントの専門家に相談する