リスク分析とセキュリティ脅威 制御システム(その3)

更新日

投稿日

 

【制御システム 連載目次】

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するとい...

 

【制御システム 連載目次】

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するというように、段階的に行われることになります。現場のコントローラなどはメーカ独自であっても、通信プロトコルがオープンなケースは多い ので、DoS攻撃によってネットワークを輻輳させ制御動作を妨害させるということは、比較的容易です。

 また、この表では、誤操作を含めています。この誤操作は不注意なオペレータ(例えば、生産管理用パソコンのウィルスチェックがずさんだったなど)によるインシデントが結構多いことから含めるのが妥当と考えているからです。

 次回に続きます。

   続きを読むには・・・


この記事の著者

石田 茂

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。


「情報マネジメント一般」の他のキーワード解説記事

もっと見る
DXはIT投資ではなく人財投資へ データ分析講座(その232)

  【この連載の前回:データ分析講座(その231)DXを阻む「鉛筆を舐めておけ文化」へのリンク】 ◆関連解説『情報マネジメントとは』 ...

  【この連載の前回:データ分析講座(その231)DXを阻む「鉛筆を舐めておけ文化」へのリンク】 ◆関連解説『情報マネジメントとは』 ...


小売の売上分析 データ分析講座(その87)

  ◆ 小売の売上分析、2つの指標だけで考える小売業の「データ分析的な戦略」  実践的なデータ分析・活用の話題です。小売店対象のお話で1店舗...

  ◆ 小売の売上分析、2つの指標だけで考える小売業の「データ分析的な戦略」  実践的なデータ分析・活用の話題です。小売店対象のお話で1店舗...


営業データ分析で冒険的なチャレンジをやり続ける データ分析講座(その14)

  ◆ 営業データ分析で冒険的なチャレンジができるからワクワクする  「データから何か新しい発見したいのだけど」よくこのような質問をされ...

  ◆ 営業データ分析で冒険的なチャレンジができるからワクワクする  「データから何か新しい発見したいのだけど」よくこのような質問をされ...


「情報マネジメント一般」の活用事例

もっと見る
既存コア技術強化のためのオープン・イノベーション:富士フイルムの例

 2015年7月20日号の日経ビジネスに、富士フイルムの特集が掲載されました。富士フイルムは、既存コア技術強化のためにオープン・イノベーションを果敢に...

 2015年7月20日号の日経ビジネスに、富士フイルムの特集が掲載されました。富士フイルムは、既存コア技術強化のためにオープン・イノベーションを果敢に...


情報システム導入企業の悩みとは

        今回は、次の事例から、自社の生産システムにあった生産管理ソフトの選択をどうすべきかを解説します。   1. 想定事例  電...

        今回は、次の事例から、自社の生産システムにあった生産管理ソフトの選択をどうすべきかを解説します。   1. 想定事例  電...


中小製造業のウェブ戦略

 中小製造業がウェブサイトを立ち上げる際、その目的として「自社の信用力を高めるための会社概要的な役割」と考える経営者も少なくない。しかし、当社のクライアン...

 中小製造業がウェブサイトを立ち上げる際、その目的として「自社の信用力を高めるための会社概要的な役割」と考える経営者も少なくない。しかし、当社のクライアン...