制御システムのセキュリティ

　従来、サイバー攻撃の対象は企業の業務システムやウェブサイトなどの情報システムが主体であり、これらのシステムが保有する知的財産や個人情報を狙う攻撃が主流でした。しかし近年は、工場や発電所といったプラントやインフラの制御に用いられる制御システムが狙われ始めており、設備そのものや、サービスの提供や安全を維持するためのシステムが攻撃されることが懸念されています。
　実際にサイバー攻撃によって、2010年にはイランの核施設でウラン濃縮用の遠心分離機が機能不全に陥る事件が、2014年にはドイツの製鉄所で溶鉱炉が損壊する事件が、2015年および2016年にはウクライナで大規模な停電が引き起こされる等の事件が発生しており、制御システムのセキュリティ対策の見直しが急務となっています。

　このページでは、IPAにおける制御システムのセキュリティ向上のための取組みや、海外の取組みを紹介しています。

調査報告書・ガイド等│脆弱性対策情報│セキュリティ認証制度│人材育成脆弱性／インシデント報告│国内関連組織│海外における取組み

　IPAでは、制御システムのセキュリティ強化のための取組みとして、ガイドの発行、調査研究の実施、脆弱性情報の提供、人材育成など、様々な活動を行っています。

　国内では、以下の機関も制御システムのセキュリティに取組んでいます。詳細は各機関のウェブサイトをご参照ください。

　制御システムにおける攻撃やインシデント、被害に関する情報は、一般的な情報システムの場合に比べて情報があまり公開されない傾向にあります。そこで、制御システムの運用者が広く海外で公開される情報も活用できるよう、米国土安全保障省（DHS）Cybersecurity and Infrastructure Security Agency（CISA）の組織で、制御システムの脆弱性報告の受付や攻撃への対応支援を行っているICS-CERT(*1)や、EUの重要インフラ／制御システムセキュリティに関する取組みを推進しているENISA(*2)の活動報告や調査レポート等を日本語に概訳し、紹介しています。

　なお、ICS-CERTが公開している制御システムの脆弱性情報は、IPAの脆弱性対策情報データベース JVN iPedia でも日本語で公開しています。合わせてご活用ください。

　(*1) Industrial Control Systems Cyber Emergency Response Team
　　　 https://www.us-cert.gov/ics
　(*2) the European Union Agency for Cybersecurity（旧 European Network and Information Security Agency）
　　　 https://www.enisa.europa.eu/