リスク分析とセキュリティ脅威 制御システム(その3)

更新日 2023-03-01

投稿日 2019-09-12

 

【制御システム 連載目次】

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するとい...

 

【制御システム 連載目次】

 

1. リスク分析

 制御システムのセキュリティリスク分析はどのように行ったらいいのでしょうか。これまではいろいろな手順があるように思われてきましたが、最近IPAが出した制御システムのリスク分析ガイドというものがひとつの指針になるかと思います。

 このガイドでは、資産ベースの分析と、事業被害ベースの分析の2つが示されています。多くの場合資産ベースの分析が基本になりますので下図にその概要を示します。

情報マネジメント

 ここでポイントがいくつかありますが、まず最初の要点は、評価尺度を事前に決めるというところです。分析者によって評価の尺度が変わってしまいますと、リスク値が人によって大きく変動し 一貫性がとれなくなってしまいます。

 次のポイントは、重要資産の見極めです。全ての資産を片っ端から全部分析するのがベストなのかもしれませんが、広大な敷地にあるさまざまな設備、機器を全部同じ深さで分析作業できるかというと、それも現実的とはいえないでしょう。そこで、攻撃を受ける可能性と、受けた時のインパクトの程度により、重要な資産 はどれなのかを最初にみておくのがより現実性の高い活動になります。

2. セキュリティ脅威

 セキュリティ脅威としてはどのようなものがあるでしょう。制御(OT)系だからといってIT系と違い特別なものがあるのかというと、それほど変わりがあるわけでもありません。以下に対策の大分類を示しました。(なお分類にはいろいろな考え方があると思いますから、これが絶対に正しいということでもありません)

情報マネジメント

 盗難のようにこれらの脅威が単独で現出することもありますが、多くの場合組み合わされるといいますか、改ざんするためにIDやパスワードなどの情報を窃取するというように、段階的に行われることになります。現場のコントローラなどはメーカ独自であっても、通信プロトコルがオープンなケースは多い ので、DoS攻撃によってネットワークを輻輳させ制御動作を妨害させるということは、比較的容易です。

 また、この表では、誤操作を含めています。この誤操作は不注意なオペレータ(例えば、生産管理用パソコンのウィルスチェックがずさんだったなど)によるインシデントが結構多いことから含めるのが妥当と考えているからです。

 次回に続きます。

   続きを読むには・・・

新規会員登録

この記事の著者

石田 茂

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

ものづくりの基本は人づくりをモットーに、技術者の持つ力を会社の組織力につなげるための仕組みづくりの伴奏支援を行います。

「情報マネジメント一般」の他のキーワード解説記事

もっと見る
サイバーフィジカルシステム(CPS)とは?デジタルデータで分析するリスク管理の最前線
サイバーフィジカルシステム(CPS)とは?デジタルデータで分析するリスク管理の最前線

【目次】 ものづくり企業ではデータ分析の重要度が従来以上に増してきています。IoT(Internet of Things)によって製...

【目次】 ものづくり企業ではデータ分析の重要度が従来以上に増してきています。IoT(Internet of Things)によって製...

IoT「モノのインターネット化」とは(その2)
IoT「モノのインターネット化」とは(その2)

 前回のその1に続いて解説します。   2. IoT導入事例と導入の進め方  工場でIoTを活用するには何から始めたらいいでしょうか。今回は、下...

 前回のその1に続いて解説します。   2. IoT導入事例と導入の進め方  工場でIoTを活用するには何から始めたらいいでしょうか。今回は、下...

ビジネス効率化の鍵、コスト感応学習: リスクとリターンを見極める(その1):データ分析講座(その361)
ビジネス効率化の鍵、コスト感応学習: リスクとリターンを見極める(その1):データ分析講座(その361)

【目次】  ▼さらに深く学ぶなら!「データ分析」に関するセミナーはこちら! ▼さらに幅広く学ぶなら!「分野別のカリキュラ...

【目次】  ▼さらに深く学ぶなら!「データ分析」に関するセミナーはこちら! ▼さらに幅広く学ぶなら!「分野別のカリキュラ...

「情報マネジメント一般」の活用事例

もっと見る
‐情報収集で配慮すべき事項(第2回)‐ 製品・技術開発力強化策の事例(その10)
‐情報収集で配慮すべき事項(第2回)‐ 製品・技術開発力強化策の事例(その10)

 前回の事例その9に続いて解説します。ある目的で情報収集を開始する時には、始めに開発方針を明らかにして、目的意識を持って行動する必要があります。目的を明確...

 前回の事例その9に続いて解説します。ある目的で情報収集を開始する時には、始めに開発方針を明らかにして、目的意識を持って行動する必要があります。目的を明確...

‐社内の問題克服による開発活動‐ 製品・技術開発力強化策の事例(その14)
‐社内の問題克服による開発活動‐ 製品・技術開発力強化策の事例(その14)

 前回の事例その13に続いて解説します。社内における様々な問題を高いレベルで深く追及して解決することが、競争力のある技術を育成し、売れる製品を生み出す事に...

 前回の事例その13に続いて解説します。社内における様々な問題を高いレベルで深く追及して解決することが、競争力のある技術を育成し、売れる製品を生み出す事に...

システムトラブル、誰に相談したら良いか
システムトラブル、誰に相談したら良いか

 最近は、以下のように情報システム開発にかかわるトラブルに悩まされる企業が急増しています。ところが、トラブルが起きた時に誰に相談したらいいかわからなくて困...

 最近は、以下のように情報システム開発にかかわるトラブルに悩まされる企業が急増しています。ところが、トラブルが起きた時に誰に相談したらいいかわからなくて困...