リスク分析とセキュリティ脅威 制御システム(その3)

更新日 2023-03-01

投稿日 2019-09-12

 

【制御システム 連載目次】

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するとい...

 

【制御システム 連載目次】

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するというように、段階的に行われることになります。現場のコントローラなどはメーカ独自であっても、通信プロトコルがオープンなケースは多い ので、DoS攻撃によってネットワークを輻輳させ制御動作を妨害させるということは、比較的容易です。

 また、この表では、誤操作を含めています。この誤操作は不注意なオペレータ(例えば、生産管理用パソコンのウィルスチェックがずさんだったなど)によるインシデントが結構多いことから含めるのが妥当と考えているからです。

 次回に続きます。

   続きを読むには・・・

新規会員登録

この記事の著者

石田 茂

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

「情報マネジメント一般」の他のキーワード解説記事

もっと見る
データ活用の効用を得るには データ分析講座(その58)
データ活用の効用を得るには データ分析講座(その58)

◆ データ活用やAIで「効率化」すべきか、今までの「やり方」を変えるべきか。  IT化は、効率化のためだけでなく、やり方を変えるべきだ。このように従...

◆ データ活用やAIで「効率化」すべきか、今までの「やり方」を変えるべきか。  IT化は、効率化のためだけでなく、やり方を変えるべきだ。このように従...

最近多いケーススタディ③「お勧め商材のレコメンド」 データ分析講座(その190)
最近多いケーススタディ③「お勧め商材のレコメンド」 データ分析講座(その190)

    データを使い販売力を効率的に高めるセールスアナリティクスには、3つの典型的なテーマがあります。 新規顧客の獲得 既...

    データを使い販売力を効率的に高めるセールスアナリティクスには、3つの典型的なテーマがあります。 新規顧客の獲得 既...

分析に求められる洞察力の基礎とは データ分析講座(その55)
分析に求められる洞察力の基礎とは データ分析講座(その55)

◆ 目的無きデータ分析にも意味はある。遠回りかもしれないが、良いこともある  よくデータ分析するとき、目的を明確にせよ! と言います。正しいでしょう...

◆ 目的無きデータ分析にも意味はある。遠回りかもしれないが、良いこともある  よくデータ分析するとき、目的を明確にせよ! と言います。正しいでしょう...

「情報マネジメント一般」の活用事例

もっと見る
ソフトウェア特許とは(その1)
ソフトウェア特許とは(その1)

 色々と定義はありますが、ソフトウェア特許とは、よく言うビジネスモデル特許であり、情報システムの特許です。言葉に差はあると思いますが、我々実務家は、ソフト...

 色々と定義はありますが、ソフトウェア特許とは、よく言うビジネスモデル特許であり、情報システムの特許です。言葉に差はあると思いますが、我々実務家は、ソフト...

人的資源マネジメント:製品開発の滞留を引き起こすファイルとは(その2)
人的資源マネジメント:製品開発の滞留を引き起こすファイルとは(その2)

 今回は、PDM/PLMに代表される製品開発業務のIT化をどのように考え、進めるのがよいのかについて解説します。    前回まで続けていたテ...

 今回は、PDM/PLMに代表される製品開発業務のIT化をどのように考え、進めるのがよいのかについて解説します。    前回まで続けていたテ...

情報、常識の検証を考える
情報、常識の検証を考える

1、勝ち組と負け組を支配する情報  皆さんがご存じの大手予備校有名講師である林先生が、かつてテレビで「情報」に関して興味深いことをおっしゃっており、...

1、勝ち組と負け組を支配する情報  皆さんがご存じの大手予備校有名講師である林先生が、かつてテレビで「情報」に関して興味深いことをおっしゃっており、...