アーカイブ
最終更新日:2022年7月12日
産業用制御システムは、電力、ガス、水道、鉄道等の社会インフラや、石油、化学、鉄鋼・自動車・輸送機器、精密機械、食品、製薬、ビル管理等の工場・プラントにおける監視・制御や生産・加工ラインにおいて用いられています。
IPAでは、2017年10月「制御システムのセキュリティリスク分析ガイド」を発刊。制御システムの資産や事業被害のリスクレベルを明確化するリスクアセスメント手法を解説しています。また、2019年7月には、過去のサイバー攻撃の事例をもとに、その概要と攻撃の流れを紹介する「「制御システム関連のサイバーインシデント事例」シリーズを公開しています。
現在の制御システムは我々の社会や産業の基盤を支えており、サイバー攻撃等で稼働が阻害された場合、社会的な影響や事業継続上の影響が大きいため、セキュリティ対策の向上が急務です。
IPAは、ドイツ連邦政府の情報セキュリティ庁(BSI)が作成・公開した「産業用制御システムのセキュリティ -10大脅威と対策2019-」(英語版)(*1)を、BSIの許可を得て翻訳しました。
ランクインした脅威は、日本国内でも共通の事項が多く、事業者にとってこれらの脅威とその発生要因、具体的な手口、および対策を体系的に理解することに役立ちます。
2019年の順位は、2016年に比べて、制御システムにおける利用増加に伴い、クラウドコンポーネントや外部ネットワークへの攻撃の脅威が上昇しています。一方で、ソーシャルエンジニアリングやフィッシングの脅威は、相対的に降下しています。
なお、資料には、制御システムを保有する事業者のセキュリティレベルの自己評価に役立つ、セルフチェックリストが含まれています。また、チェックリスト実施後に得られたスコアに対して、実施すべき推奨事項を示しています。これらを材料に自組織の現状把握ができ、対策の方針検討の着手が可能です。
(*1)ランキングはこれまで2014年、2016年に出されている。
産業用制御システムのセキュリティ 10大脅威(2019年) | 2016年 | |
1位 | リムーバルメディアや外部機器経由のマルウェア感染 | 2位 |
2位 | インターネットやイントラネット経由のマルウェア感染 | 3位 |
3位 | ヒューマンエラーと妨害行為 | 5位 |
4位 | 外部ネットワークやクラウドコンポーネントの攻撃 | 8位 |
5位 | ソーシャルエンジニアリングとフィッシング | 1位 |
6位 | DoS/DDoS攻撃 | 9位 |
7位 | インターネットに接続された制御機器 | 6位 |
8位 | リモートアクセスからの侵入 | 4位 |
9位 | 技術的な不具合と不可抗力 | 7位 |
10位 | スマートデバイスへの攻撃 | 10位 |
資料には、BSIの許可を得て、IPAが脅威の概要を示すイラストを追加しています。
[イラスト例] 1位 リムーバルメディアや外部機器経由のマルウェア感染
■ドイツBSI「産業用制御システム(ICS)のセキュリティ -10大脅威と対策2019-」 (PDFファイル 2.6MB) 翻訳原文(英語) ※ドイツBSIのサイト ■Industrial Control System Security :Top 10 Threats and Countermeasures v1.3 (PDFファイル 1.3MB) |
2022年7月12日 | ドイツBSIのサイトのリンク修正 |
---|---|
2021年10月5日 | ドイツBSIのサイトのリンク修正 |
2020年3月18日 | アンケート終了 |
2020年1月14日 | 掲載 |