プレス発表　「制御システムのセキュリティリスク分析ガイド」第2版を公開

2018年10月15日
独立行政法人情報処理推進機構

標的型攻撃などのサイバー攻撃への対策はかねてより、組織内の情報システム（IT）を中心に行われてきました。さらに昨今では、海外での大規模停電や国内工場での操業停止が発生し、制御システムの保有事業者において、運用・制御技術（OT^(脚注1)）への脅威と対策の必要性の認識が進んでいます。

第1版を2017年10月に発行した同ガイドは、自組織でリスクアセスメント^(脚注2)を実施し、セキュリティ対策を向上するための実践的な分析手法を解説したものです。IPAの産業サイバーセキュリティセンターの中核人材育成プログラムでも講義資料として活用されています。

本日公開の第2版の特徴は、第1版で紹介した以下2種類のリスクアセスメントの作業工数を削減するため、手法を見直した点です。これにより2～3割程度の工数削減が期待できます。

1.資産ベース

・事前準備段階で資産のグループ化を一括実施

・資産種別（情報系、制御系、通信経路）のみで分類し、脅威と対策候補を抽出

2.事業被害ベース

・想定被害の度合いが大きい事業被害や攻撃者に狙われる可能性が高い侵入ルートを優先的に分析できるよう選定基準を提示

また、リスク分析の基本的な評価指標とその評価値、リスク分析を実施した結果得られるリスクレベルを厳密に定義しました。これにより、分析結果のばらつきが低減され、的確な現状把握と対策向上が可能になります。

このほか、10月17日（水）には東京ビッグサイトで開催される日経 xTECH EXPO 2018展示会場内のオープンシアターにおいて、本ガイドの紹介を含む制御システムのセキュリティについて講演します。

• 脚注1 Operational Technology
• 脚注2 ISO／IEC27000：2014（JIS Q 27000：2014）ではリスクの特定、分析、評価の3要素で構成されている。