HOMEIPAについて新着情報プレス発表 「制御システムのセキュリティリスク分析ガイド」第2版を公開

本文を印刷する

IPAについて

プレス発表 「制御システムのセキュリティリスク分析ガイド」第2版を公開

~ 制御システム保有者のリスクアセスメント工数を削減するため、分析手法を再考~

2018年10月15日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、本日「制御システムのセキュリティリスク分析ガイド 第2版」を公開しました。本ガイドは主に2017年10月公開の第1版で示した、リスク分析作業の工数を削減するため、手法を見直したものです。

 URL:https://www.ipa.go.jp/security/controlsystem/riskanalysis.html

 標的型攻撃などのサイバー攻撃への対策はかねてより、組織内の情報システム(IT)を中心に行われてきました。さらに昨今では、海外での大規模停電や国内工場での操業停止が発生し、制御システムの保有事業者において、運用・制御技術(OT(*1))への脅威と対策の必要性の認識が進んでいます。

 第1版を2017年10月に発行した同ガイドは、自組織でリスクアセスメント(*2)を実施し、セキュリティ対策を向上するための実践的な分析手法を解説したものです。IPAの産業サイバーセキュリティセンターの中核人材育成プログラムでも講義資料として活用されています。

 本日公開の第2版の特徴は、第1版で紹介した以下2種類のリスクアセスメントの作業工数を削減するため、手法を見直した点です。これにより2~3割程度の工数削減が期待できます。

1.資産ベース
・事前準備段階で資産のグループ化を一括実施
・資産種別(情報系、制御系、通信経路)のみで分類し、脅威と対策候補を抽出
2.事業被害ベース
・想定被害の度合いが大きい事業被害や攻撃者に狙われる可能性が高い侵入ルートを優先的に分析できるよう選定基準を提示

 また、リスク分析の基本的な評価指標とその評価値、リスク分析を実施した結果得られるリスクレベルを厳密に定義しました。これにより、分析結果のばらつきが低減され、的確な現状把握と対策向上が可能になります。

 なお、本ガイドの利用促進のため、事業者向けに有料セミナーをIPAにおいて実施する予定です。

    日 時 :2018年12月10日(月)14:00-16:30
    場 所 :独立行政法人情報処理推進機構(IPA)13階会議室
    申し込み:後日、IPAウェブサイトにて募集開始予定

 このほか、10月17日(水)には東京ビッグサイトで開催される日経 xTECH EXPO 2018展示会場内のオープンシアターにおいて、本ガイドの紹介を含む制御システムのセキュリティについて 講演します。

脚注

(*1) Operational Technology

(*2) ISO/IEC27000:2014(JIS Q 27000:2014)ではリスクの特定、分析、評価の3要素で構成されている。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター 辻/桑名

Tel: 03-5978-7527 Fax: 03-5978-7552 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報戦略グループ 白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。