制御システムにおける資産管理の効率化

背景

従来の制御システムはインターネットなどの外部の情報ネットワークから隔離されていました。しかし生産性向上のため、IoT機器やWebカメラ等が気軽に導入できるといった環境変化により、制御システムが情報ネットワークに接続する機会が増加しています。その結果、制御システムにおいても情報ネットワークと同様に「不正端末によるサイバー攻撃」「脆弱な端末を狙ったサイバー攻撃」といったサイバーセキュリティ上の懸念が高まっています。

増大するサイバーセキュリティリスクを最小限にするためにはリスクマネジメントの徹底が不可欠であり、リスクマネジメントを実施するにはISO31000で定義されている「組織の状況を確定」する必要があり、その中で内部状況の整理が必要となります。この整理を素早く、適切に実施することが、リスクアセスメントの質の向上につながり、さらにはリスクマネジメントの質の向上につながるため、最終的にはセキュリティ対策につながると考えています。資産管理とは、まさにこの整理を素早く、適切に意思決定するための土台と言えます。

しかし制御システムの資産管理について具体的にまとめた資料などが世の中で見受けられません。そこで中核人材育成プログラムを通して学んだ知見を活かし、制御システムにおける資産管理について理解向上に役立つ内容や、また自動化ツールや製品検証結果を通して、自動化の有効性や製品導入時の要件定義検討に役立つ内容をガイドラインにまとめました。

本ガイドラインが、皆様のセキュリティ対策向上に役立ていただければ幸いです。

第3期中核人材育成プログラム修了者(産業サイバーセキュリティエキスパート)
資産管理プロジェクトメンバー　一同

概要

目的

上記のような背景を受け、以下を目的としたガイドラインを作成しました。

• 制御システム関係者が制御システムの資産管理に関する理解を深め、その取り組みが促進されること
• 制御システムの資産管理を具体的に実施するための手引きを示すこと
• 制御システムの資産管理のチェックリスト及び成熟度モデルを示し、ギャップ分析の一助となること

効果

本ガイドラインを活用することで、制御システムにおける資産管理の成熟度を向上させ、サイバーセキュリティリスクの低減と、より適切な管理を実現します。

• 資産管理を未実施の場合は、実施方法を提供し、次工程（リスクアセスメント等）へ繋げられるようにする
• 資産管理をセキュリティの観点で実施していない場合は、適切な手引きを示し、セキュリティ対策に繋げられるようにする
• 資産管理を手作業で実施している場合には、自動化の方法を提供し、資産管理の効率化を支援する

構成

本ガイドラインは資産管理を未実施の場合、各章毎に読んでいくことで理解しやすいように構成しています。資産管理を既に実施している場合、本章以降は以下の構成を参考に必要な章を読み、効率的に活用願います。

資産管理概説（4章）

制御システムにおける資産管理の必要性や位置づけを概説し、セキュリティ対策における資産管理を理解する。

脅威情報と資産情報（5章、6章、7章、8章）

本ガイドラインの対象を定義し（5章）、制御システムにおける脅威（6章）と脅威を把握するために収集すべき資産情報を示し（7章）、脅威との関連付けを実施する事で脅威を迅速に検知する資産管理を理解する（8章）。

資産情報の収集方法（9章、10章、11章）

資産情報の収集方法と考え方を説明し（9章）、自動化ツール開発と自動化の有効具合の検証を通してツール紹介する（10章）。資産情報を収集できる製品の検証結果を述べる（11章）。ここでは具体的な収集方法について理解する。

自組織の資産管理レベルの評価と向上（12章、13章）

セキュリティ対策の向上を目的に資産管理レベルを評価する成熟度モデルの定義（12章）とチェックリスト（13章）を紹介する。

資産管理の手引き（14章）

制御システムにおける資産管理の手引きを述べる。

ダウンロード

制御システムにおける資産管理ガイドライン

• 制御システムにおける資産管理ガイドライン（2020年6月版）(PDF:4.7 MB)
• 添付：制御システムにおける資産管理チェックリスト（2020年6月版）(Excel:26 KB)
• 資産情報自動収集ツール（2020年6月版）
  • （利用方法は「資産情報自動収集ツールの利用方法について」をお読みください。）

利用上の注意

本ガイドラインおよびチェックリストについては制御システムにおける資産管理ガイドラインの免責事項・注意事項・著作権をご参照ください。