従来、サイバー攻撃の対象は企業の業務システムやウェブサイトなどの情報システムが主体であり、これらのシステムが保有する知的財産や個人情報を狙う攻撃が主流でした。しかし近年は、工場や発電所といったプラントやインフラの制御に用いられる制御システムが狙われ始めており、設備そのものや、サービスの提供や安全を維持するためのシステムが攻撃されることが懸念されています。
実際にサイバー攻撃によって、2010年にはイランの核施設でウラン濃縮用の遠心分離機が機能不全に陥る事件が、2014年にはドイツの製鉄所で溶鉱炉が損壊する事件が、2015年および2016年にはウクライナで大規模な停電が引き起こされる等の事件が発生しており、制御システムのセキュリティ対策の見直しが急務となっています。
このページでは、IPAにおける制御システムのセキュリティ向上のための取組みや、海外の取組みを紹介しています。
調査報告書・ガイド等
│脆弱性対策情報│セキュリティ認証制度│人材育成脆弱性/インシデント報告│国内関連組織│海外における取組み
IPAでは、制御システムのセキュリティ強化のための取組みとして、ガイドの発行、調査研究の実施、脆弱性情報の提供、人材育成など、様々な活動を行っています。
IIoT(Industrial IoT)を含め、IoTに関するIPAの調査報告書やガイド、海外動向等については、
IoTのセキュリティ で紹介しています。
IPAの「脆弱性対策情報データベース JVN iPedia」 では、米国のICS-CERTが公開している制御システムの脆弱性情報についても日本語で公開しています。また、直近の1ヶ月分については、「ICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)」に概要を掲載しています。
日本国内でも、2014年に制御機器のセキュリティを認定する「EDSA認証」、および制御システム運用組織のセキュリティマネジメントシステムを認定する「CSMS適合性評価制度」が確立し、日本語で認証を取得することが可能となっています。
(確立の経緯はこちらをご参照ください:
CSMS適合性評価制度、
EDSA認証)
2017年1月に、IPA内に産業サイバーセキュリティセンターが発足しました。同センターでは、社会インフラ・産業基盤事業者において、自社システムのリスクを認識しつつ必要なセキュリティ対策を判断できる将来人材を育成するプログラムを提供します。
国内では、以下の機関も制御システムのセキュリティに取組んでいます。詳細は各機関のウェブサイトをご参照ください。
制御システムにおける攻撃やインシデント、被害に関する情報は、一般的な情報システムの場合に比べて情報があまり公開されない傾向にあります。そこで、制御システムの運用者が広く海外で公開される情報も活用できるよう、米国土安全保障省(DHS)Cybersecurity and Infrastructure Security Agency(CISA)の組織で、制御システムの脆弱性報告の受付や攻撃への対応支援を行っているICS-CERT(*1)や、EUの重要インフラ/制御システムセキュリティに関する取組みを推進しているENISA(*2)の活動報告や調査レポート等を日本語に概訳し、紹介しています。
なお、ICS-CERTが公開している制御システムの脆弱性情報は、IPAの脆弱性対策情報データベース JVN iPedia でも日本語で公開しています。合わせてご活用ください。
(*1) Industrial Control Systems Cyber Emergency Response Team
https://www.us-cert.gov/ics
(*2) the European Union Agency for Cybersecurity(旧 European Network and Information Security Agency)
https://www.enisa.europa.eu/
IPA セキュリティセンター(IPA/ISEC) 桑名/松島
Tel:03-5978-7527 Fax:03-5978-7552
E-mail: 