デジタル人材の育成
従来の制御システムはインターネットなどの外部の情報ネットワークから隔離されていました。しかし生産性向上のため、IoT機器やWebカメラ等が気軽に導入できるといった環境変化により、制御システムが情報ネットワークに接続する機会が増加しています。その結果、制御システムにおいても情報ネットワークと同様に「不正端末によるサイバー攻撃」「脆弱な端末を狙ったサイバー攻撃」といったサイバーセキュリティ上の懸念が高まっています。
増大するサイバーセキュリティリスクを最小限にするためにはリスクマネジメントの徹底が不可欠であり、リスクマネジメントを実施するにはISO31000で定義されている「組織の状況を確定」する必要があり、その中で内部状況の整理が必要となります。この整理を素早く、適切に実施することが、リスクアセスメントの質の向上につながり、さらにはリスクマネジメントの質の向上につながるため、最終的にはセキュリティ対策につながると考えています。資産管理とは、まさにこの整理を素早く、適切に意思決定するための土台と言えます。
しかし制御システムの資産管理について具体的にまとめた資料などが世の中で見受けられません。そこで中核人材育成プログラムを通して学んだ知見を活かし、制御システムにおける資産管理について理解向上に役立つ内容や、また自動化ツールや製品検証結果を通して、自動化の有効性や製品導入時の要件定義検討に役立つ内容をガイドラインにまとめました。
本ガイドラインが、皆様のセキュリティ対策向上に役立ていただければ幸いです。
第3期中核人材育成プログラム修了者(産業サイバーセキュリティエキスパート)
資産管理プロジェクトメンバー 一同
上記のような背景を受け、以下を目的としたガイドラインを作成しました。
本ガイドラインを活用することで、制御システムにおける資産管理の成熟度を向上させ、サイバーセキュリティリスクの低減と、より適切な管理を実現します。
本ガイドラインは資産管理を未実施の場合、各章毎に読んでいくことで理解しやすいように構成しています。資産管理を既に実施している場合、本章以降は以下の構成を参考に必要な章を読み、効率的に活用願います。
制御システムにおける資産管理の必要性や位置づけを概説し、セキュリティ対策における資産管理を理解する。
本ガイドラインの対象を定義し(5章)、制御システムにおける脅威(6章)と脅威を把握するために収集すべき資産情報を示し(7章)、脅威との関連付けを実施する事で脅威を迅速に検知する資産管理を理解する(8章)。
資産情報の収集方法と考え方を説明し(9章)、自動化ツール開発と自動化の有効具合の検証を通してツール紹介する(10章)。資産情報を収集できる製品の検証結果を述べる(11章)。ここでは具体的な収集方法について理解する。
セキュリティ対策の向上を目的に資産管理レベルを評価する成熟度モデルの定義(12章)とチェックリスト(13章)を紹介する。
制御システムにおける資産管理の手引きを述べる。
制御システムにおける資産管理ガイドライン
本ガイドラインおよびチェックリストについては制御システムにおける資産管理ガイドラインの免責事項・注意事項・著作権をご参照ください。
独立行政法人情報処理推進機構
産業サイバーセキュリティセンター 企画部
担当
花村、河合
TEL
(このメールアドレスに特定電子メール及びファイルを添付したメールを送信しないでください。)