HOME情報セキュリティ資料・報告書・出版物調査・研究報告書水道・ガス・電力等の重要インフラ制御システムのセキュリティ向上に関する報告書を翻訳・公開

本文を印刷する

情報セキュリティ

水道・ガス・電力等の重要インフラ制御システムのセキュリティ向上に関する報告書を翻訳・公開

掲載日 2009年11月25日
独立行政法人 情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、水道・ガス・電力等の重要インフラ制御システムにおける情報セキュリティ対策を推進するため、上水道分野用の監視制御システム(以下、監視制御システムをSCADA:Supervisory Control And Data Acquisitionと呼ぶ)のセキュリティ対策推進に関する文書(原題:SCADA Security Good Practices for the Drinking Water Sector)を翻訳し、「上水道分野用のSCADA セキュリティ グッド・プラクティス」としてIPAのウェブサイトで公開しました。

 本書は、上水道分野用SCADAのセキュリティ水準向上のため、オランダ政府とTNO Defence, Security and Safety(※1)社が実施した調査の報告書を翻訳したものです。本書には、自組織のセキュリティの現状を把握することができる39の対策項目(グッド・プラクティス)がチェックリストとして収められています。このチェックリストは上水道分野のセキュリティ対策の成功事例に基づき作成されていますが、水道・ガス・電力等の上水道分野以外の重要インフラ分野にも活用できます。

 従来の重要インフラSCADAは専用の機器やソフトウェアによって構成されていましたが、近年は、多様なサービスを効率的に実現するため、システム構築に標準プロトコルや汎用製品の利用、あるいは情報システムとの接続などが行われるようになってきました。これにより、重要インフラSCADAでも、情報システムと同様に、脆弱性を狙った攻撃やウイルス感染などのリスクが高まっています。そのためIPAではこれらに備えることを目的として、重要インフラSCADAのセキュリティに関する調査(※2)を実施しており、今回の翻訳もその一環として行いました。

 また、39の対策項目(グッド・プラクティス)はセキュリティポリシーの作成等に関する企業経営者向け(11件)と、重要インフラシステムの管理に関する技術者向け(28件)の2種類に分類されており、自組織内でそれぞれの職位、職種に合った対策項目(グッド・プラクティス)を活用し、セキュリティ対策の実践に役立てることができます。
 例えば重要インフラSCADAと情報システムの接続に関しては「SCADA環境とOA環境の分離」といった具体的な指針が得られます。

 今まで重要インフラSCADAのセキュリティ対策について詳しく示した書籍は多くありませんでした。原書は上水道という特定の分野における報告書ですが、その内容は具体的な対策が示唆され、他の重要インフラ分野でも十分に適用可能です。

39の対策項目(グッド・プラクティス)

(経営者向け)
・企業のセキュリティポリシーとSCADAセキュリティポリシー
・リスク管理
・セキュリティ意識
・監査
・SCADAシステムとサービスの調達ポリシー

(技術者向け)
・多層防御
・SCADA環境とOA環境の分離
・SCADA環境へのセキュアな接続
・SCADAシステムとネットワーク機器のセキュリティ対策
・SCADA環境の保護
・SCADA環境のパスワードポリシー
・事業継続とSCADAシステム及びネットワーク
・SCADA環境における情報媒体の管理

 以下は経営者向けのチェック項目です。#10では「セキュリティ要件を調達プロセスに入れているか。」とあり、SCADAの調達段階から、セキュリティに配慮する必要があることが判ります。

大項目 グッド・プラクティス JPG
企業のセキュリティポリシー #1 全般的な情報セキュリティポリシーがSCADAセキュリティポリシーと関連づけられているか。  
#2 「情報セキュリティマネジメントの実践のための規範」及び関連するセキュリティ標準を参照しているか。  
#3 SCADAセキュリティポリシーが全般的な(情報)セキュリティポリシーの論理的な拡張となっているか。  
#4 SCADAセキュリティポリシーに物理的セキュリティが含まれているか。  
#5 職務内容、責任、権限が文書化されているか。  
リスク管理 #6 SCADAのリスクを企業(経営)レベルのリスク管理の一部としているか。  
セキュリティ意識 #7 継続的なセキュリティ意識教育を実施しているか。  
監査 #8 SCADA環境を対象に、少なくとも年一回のEDP監査(会計システムを対象とする監査)を実施しているか。  
調達ポリシー #9 調達や契約時に災害条項が含まれているか。  
#10 セキュリティ要件を調達プロセスに入れているか。  
#11 保守や作業を行う第三者との契約に、セキュリティ要件が含まれているか。  



 「上水道分野用のSCADA(監視制御システム) セキュリティ グッド・プラクティス」は、以下のURLをご覧下さい。