制御システム(その3) リスク分析とセキュリティ脅威

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するというように、段階的に行われることになります。現場のコントローラなどはメーカ独...

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するというように、段階的に行われることになります。現場のコントローラなどはメーカ独自であっても、通信プロトコルがオープンなケースは多い ので、DoS攻撃によってネットワークを輻輳させ制御動作を妨害させるということは、比較的容易です。

 また、この表では、誤操作を含めています。この誤操作は不注意なオペレータ(例えば、生産管理用パソコンのウィルスチェックがずさんだったなど)によるインシデントが結構多いことから含めるのが妥当と考えているからです。

 次回に続きます。

  残り20% 続きを読むには・・・


この記事の著者

石田 茂

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。


「情報マネジメント」の他のキーワード解説記事

もっと見る
見積システムによるDX(その3)

  ここでの「DX(デジタルトランスフォーメーション)」は、企業がデジタル技術を用いて、過去の技術や仕組みで構築されているシステムから業務...

  ここでの「DX(デジタルトランスフォーメーション)」は、企業がデジタル技術を用いて、過去の技術や仕組みで構築されているシステムから業務...


データ分析講座(その184)自動機械学習

    ◆ 古くて新しい自動機械学習 似たような数理モデルあり、その中から数理モデルを選択してモデル構築する場合のことです。この...

    ◆ 古くて新しい自動機械学習 似たような数理モデルあり、その中から数理モデルを選択してモデル構築する場合のことです。この...


データ分析講座(その222)「相関」は曲がったことが大っ嫌い

    【この連載の前回:データ分析講座(その221)誰かが困っているところで、循環経済を起こせ!へのリンク】 データ分析では、...

    【この連載の前回:データ分析講座(その221)誰かが困っているところで、循環経済を起こせ!へのリンク】 データ分析では、...


「情報マネジメント」の活用事例

もっと見る
システムトラブル、誰に相談したら良いか

 最近は、以下のように情報システム開発にかかわるトラブルに悩まされる企業が急増しています。ところが、トラブルが起きた時に誰に相談したらいいかわからなくて困...

 最近は、以下のように情報システム開発にかかわるトラブルに悩まされる企業が急増しています。ところが、トラブルが起きた時に誰に相談したらいいかわからなくて困...


ソフトウェア特許とは(その2)

4.ソフトウェア特許のとり方    前回のその1に続いて解説します。    ソフトウェア特許の取得方法にはノウハウがあります。特許のことを知らない...

4.ソフトウェア特許のとり方    前回のその1に続いて解説します。    ソフトウェア特許の取得方法にはノウハウがあります。特許のことを知らない...


製品・技術開発力強化策の事例(その16)‐技術開発の目標について 第2回‐

 技術開発の目標を解説する以下の項目4点について、前回は、1と2を解説しましたので、今回は、第2回として、3と4を記述します。          1....

 技術開発の目標を解説する以下の項目4点について、前回は、1と2を解説しましたので、今回は、第2回として、3と4を記述します。          1....