リスク分析とセキュリティ脅威 制御システム(その3)

更新日

投稿日

 

【制御システム 連載目次】

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するとい...

 

【制御システム 連載目次】

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するというように、段階的に行われることになります。現場のコントローラなどはメーカ独自であっても、通信プロトコルがオープンなケースは多い ので、DoS攻撃によってネットワークを輻輳させ制御動作を妨害させるということは、比較的容易です。

 また、この表では、誤操作を含めています。この誤操作は不注意なオペレータ(例えば、生産管理用パソコンのウィルスチェックがずさんだったなど)によるインシデントが結構多いことから含めるのが妥当と考えているからです。

 次回に続きます。

   続きを読むには・・・


この記事の著者

石田 茂

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。


「情報マネジメント一般」の他のキーワード解説記事

もっと見る
データを活用する領域とは データ分析講座(その115)

◆ドメインは、データサイエンス成功に欠かせない  データサイエンスに対して、どのような印象があるでしょうか。「データサイエンス」の字面からだと「デー...

◆ドメインは、データサイエンス成功に欠かせない  データサイエンスに対して、どのような印象があるでしょうか。「データサイエンス」の字面からだと「デー...


解釈は事実と現場の頭の中にある現場感 データ分析講座(その141)

◆ データ分析: 過去を考える  前回のデータ分析講座(その140)データ分析は必ず「アクション」まで導き出す。では次のようなお話しをしました。 ...

◆ データ分析: 過去を考える  前回のデータ分析講座(その140)データ分析は必ず「アクション」まで導き出す。では次のようなお話しをしました。 ...


AI技術と現場の融合とは データ分析講座(その182)

  ◆ データサイエンス×感覚が、より良い未来をもたらす  「AIとカラー化した写真でよみがえる戦前・戦争」 (光文社新書、...

  ◆ データサイエンス×感覚が、より良い未来をもたらす  「AIとカラー化した写真でよみがえる戦前・戦争」 (光文社新書、...


「情報マネジメント一般」の活用事例

もっと見る
中小製造業とIoTの波

 「IoT(アイオーティー)」の波が、中小製造業にどのような影響をおよぼすのか、具体的にどのような変化がこの業界に訪れるのかについて、解説します。   ...

 「IoT(アイオーティー)」の波が、中小製造業にどのような影響をおよぼすのか、具体的にどのような変化がこの業界に訪れるのかについて、解説します。   ...


‐時代の流れを意識した開発テ-マの設定‐  製品・技術開発力強化策の事例(その5)

 前回の事例その4に続いて解説します。時代の流れに沿う開発テ-マとして、最近では、高齢者介護機器、環境関連機器、省エネ機器、情報技術(IT)等に関心が注が...

 前回の事例その4に続いて解説します。時代の流れに沿う開発テ-マとして、最近では、高齢者介護機器、環境関連機器、省エネ機器、情報技術(IT)等に関心が注が...


‐技術開発の目標について 第2回‐  製品・技術開発力強化策の事例(その16)

 技術開発の目標を解説する以下の項目4点について、前回は、1と2を解説しましたので、今回は、第2回として、3と4を記述します。          1....

 技術開発の目標を解説する以下の項目4点について、前回は、1と2を解説しましたので、今回は、第2回として、3と4を記述します。          1....