制御システムのセキュリティ

従来、サイバー攻撃の対象は企業の業務システムやウェブサイトなどの情報システムが主体であり、これらのシステムが保有する知的財産や個人情報を狙う攻撃が主流でした。しかし近年は、工場や発電所といったプラントやインフラの制御に用いられる制御システムが狙われ始めており、設備そのものや、サービスの提供や安全を維持するためのシステムが攻撃されることが懸念されています。
　実際にサイバー攻撃によって、2010年にはイランの核施設でウラン濃縮用の遠心分離機が機能不全に陥る事件が、2014年にはドイツの製鉄所で溶鉱炉が損壊する事件が、2015年および2016年にはウクライナで大規模な停電が引き起こされる等の事件が発生しており、制御システムのセキュリティ対策の見直しが急務となっています。

このページでは、IPAにおける制御システムのセキュリティ向上のための取組みや、海外の取組みを紹介しています。

• 調査報告書・ガイド等
• 脆弱性対策情報
• セキュリティ認証制度
• 人材育成
• 脆弱性／インシデント報告
• 国内関連組織
• 海外における取組み

IPAにおける取組み

IPAでは、制御システムのセキュリティ強化のための取組みとして、ガイドの発行、調査研究の実施、脆弱性情報の提供、人材育成など、様々な活動を行っています。

セキュリティ普及啓発

調査報告書・ガイド等

• 2023年8月7日： 米CISA発行 Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03)の翻訳の公開
• 2023年7月31日： スマート工場化でのシステムセキュリティ対策事例 調査報告書
• 2023年6月19日： 産業用制御システム向け侵入検知製品等の導入手引書
• 2023年3月1日： 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開
• 2022年12月5日： ドイツBSI「産業用制御システム（ICS）のセキュリティ -10大脅威と対策2022-」
• 2022年9月20日： 「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書
• 2022年6月15日： 「スマート工場のセキュリティリスク分析調査」調査報告書
• 2020年1月14日： ドイツBSI「産業用制御システム（ICS）のセキュリティ -10大脅威と対策2019-」
• 2019年10月21日： 米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシートの公開（更新：2019年10月23日）
• 2019年7月31日： 制御システムのセキュリティリスク分析ガイド補足資料「制御システム関連のサイバーインシデント事例」シリーズ（更新：2021年10月18日）
• 2018年10月15日： 制御システムのセキュリティリスク分析ガイド 第2版（更新：2023年3月27日）
• 2018年4月16日： 重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.1版（米NIST文書和訳）
• 2018年3月19日： 制御システム セーフティ・セキュリティ要件検討ガイド
• 2017年10月2日： 制御システムのセキュリティリスク分析ガイド（更新：2018年4月12日）
• 2017年3月30日： 制御システム利用者のための脆弱性対応ガイド「重大な経営課題となる制御システムのセキュリティリスク」 第3版(PDF:1.2 MB)
• 2016年6月21日： IPAニューヨーク事務所：米国における電力インフラとITをめぐる動向（2016年6月号）
• 2016年5月31日： IPAテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」
• 2016年3月31日： 制御システムユーザ企業の実態調査報告書
• 2013年4月26日：「制御システムのセキュリティ人材育成に関する調査及びモデルカリキュラム等の作成」報告書
• 2012年10月10日：制御システムにおけるセキュリティマネジメントシステムの構築に向けた解説書の公開
• 2011年5月9日： 2010年度 制御システムの情報セキュリティ動向に関する調査 調査報告書
• 2010年5月31日： 制御システムセキュリティの推進施策に関する調査報告書
• 2009年11月25日： 上水道分野用のSCADA セキュリティ グッド・プラクティス
• 2009年3月30日： 重要インフラの制御システムセキュリティとITサービス継続に関する調査

映像教材

• 2013年3月29日： 今、制御システムも狙われている！ － 情報セキュリティの必要性 －

• 過去の一覧

IoTに対する取組み

IIoT(Industrial IoT)を含め、IoTに関するIPAの調査報告書やガイド、海外動向等については、IoTのセキュリティ で紹介しています。

脆弱性対策情報

IPAの「脆弱性対策情報データベース JVN iPedia」 では、米国のICS-CERTが公開している制御システムの脆弱性情報についても日本語で公開しています。また、直近の1ヶ月分については、「ICS-CERTが公開した制御システムの脆弱性情報（直近の1ヶ月）」に概要を掲載しています。

• 脆弱性対策情報データベース JVN iPedia（IPA）
• ICS-CERTが公開した制御システムの脆弱性情報（直近の1ヶ月）（IPA）
• ICS Advisories/Alerts（ICS-CERT）

セキュリティ認証制度

日本国内でも、2014年に制御機器のセキュリティを認定する「EDSA認証」、および制御システム運用組織のセキュリティマネジメントシステムを認定する「CSMS適合性評価制度」が確立し、日本語で認証を取得することが可能となっています。

• 確立の経緯はこちらをご参照ください
  • CSMS適合性評価制度
  • EDSA認証

• CSMS適合性評価制度（JIPDEC）： FAおよび制御システムを対象としたサイバーセキュリティマネジメントシステム
• EDSA認証（CSSC）： 制御機器のセキュリティ認証制度

人材育成

2017年1月に、IPA内に産業サイバーセキュリティセンターが発足しました。同センターでは、社会インフラ・産業基盤事業者において、自社システムのリスクを認識しつつ必要なセキュリティ対策を判断できる将来人材を育成するプログラムを提供します。

• 産業サイバーセキュリティセンター

脆弱性／インシデント報告

制御システムの脆弱性や、インシデントの報告を以下で受け付けています。

• 脆弱性関連情報の届出受付
• 制御システムのインシデント報告（JPCERT/CC）

国内の制御システムセキュリティ関連組織

国内では、以下の機関も制御システムのセキュリティに取組んでいます。詳細は各機関のウェブサイトをご参照ください。

経済産業省

• 制御システムセキュリティ検討タスクフォース

JPCERTコーディネーションセンター（JPCERT/CC）

• 制御システムセキュリティとは
• 制御システム用製品の開発ベンダにおける脆弱性対応について

制御システムセキュリティセンター（CSSC）

• 事業内容
• 制御システムセキュリティの脅威と対策の動向およびCSSCの研究概要について(PDF:15.1 MB)

海外における取組み

 制御システムにおける攻撃やインシデント、被害に関する情報は、一般的な情報システムの場合に比べて情報があまり公開されない傾向にあります。そこで、制御システムの運用者が広く海外で公開される情報も活用できるよう、米国土安全保障省（DHS）Cybersecurity and Infrastructure Security Agency（CISA）の組織で、制御システムの脆弱性報告の受付や攻撃への対応支援を行っているICS-CERT(脚注1)や、EUの重要インフラ／制御システムセキュリティに関する取組みを推進しているENISA(脚注2)の活動報告や調査レポート等を日本語に概訳し、紹介しています。

なお、ICS-CERTが公開している制御システムの脆弱性情報は、IPAの脆弱性対策情報データベース JVN iPedia でも日本語で公開しています。合わせてご活用ください。

1. (脚注1)
   Industrial Control Systems Cyber Emergency Response Team

   • https://www.us-cert.gov/ics
2. (脚注2)
   the European Union Agency for Cybersecurity（旧 European Network and Information Security Agency）

   • https://www.enisa.europa.eu/

米国ICS-CERTによる公開情報（日本語概訳）

ICS-CERTが発行する公開文書から、注目文書を概訳して紹介しています。

• 米国CISA（旧ICS-CERT）による公開情報（日本語概訳）

ENISAによる公開情報（日本語概訳）

ENISAが発行する制御システム等に関する公開文書から、注目文書を概訳して紹介しています。

• ENISAによる公開情報（日本語概訳）

文書の公開等、個々の掲載情報の更新は本欄に掲載いたしません。
個々の掲載情報の更新は、最新のものに「New」を付けていますので、ご参考にしてください。