情報セキュリティ
最終更新日:2023年8月7日
従来、サイバー攻撃の対象は企業の業務システムやウェブサイトなどの情報システムが主体であり、これらのシステムが保有する知的財産や個人情報を狙う攻撃が主流でした。しかし近年は、工場や発電所といったプラントやインフラの制御に用いられる制御システムが狙われ始めており、設備そのものや、サービスの提供や安全を維持するためのシステムが攻撃されることが懸念されています。
実際にサイバー攻撃によって、2010年にはイランの核施設でウラン濃縮用の遠心分離機が機能不全に陥る事件が、2014年にはドイツの製鉄所で溶鉱炉が損壊する事件が、2015年および2016年にはウクライナで大規模な停電が引き起こされる等の事件が発生しており、制御システムのセキュリティ対策の見直しが急務となっています。
このページでは、IPAにおける制御システムのセキュリティ向上のための取組みや、海外の取組みを紹介しています。
IPAでは、制御システムのセキュリティ強化のための取組みとして、ガイドの発行、調査研究の実施、脆弱性情報の提供、人材育成など、様々な活動を行っています。
IIoT(Industrial IoT)を含め、IoTに関するIPAの調査報告書やガイド、海外動向等については、IoTのセキュリティ で紹介しています。
IPAの「脆弱性対策情報データベース JVN iPedia」 では、米国のICS-CERTが公開している制御システムの脆弱性情報についても日本語で公開しています。また、直近の1ヶ月分については、「ICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月)」に概要を掲載しています。
日本国内でも、2014年に制御機器のセキュリティを認定する「EDSA認証」、および制御システム運用組織のセキュリティマネジメントシステムを認定する「CSMS適合性評価制度」が確立し、日本語で認証を取得することが可能となっています。
2017年1月に、IPA内に産業サイバーセキュリティセンターが発足しました。同センターでは、社会インフラ・産業基盤事業者において、自社システムのリスクを認識しつつ必要なセキュリティ対策を判断できる将来人材を育成するプログラムを提供します。
制御システムの脆弱性や、インシデントの報告を以下で受け付けています。
国内では、以下の機関も制御システムのセキュリティに取組んでいます。詳細は各機関のウェブサイトをご参照ください。
制御システムにおける攻撃やインシデント、被害に関する情報は、一般的な情報システムの場合に比べて情報があまり公開されない傾向にあります。そこで、制御システムの運用者が広く海外で公開される情報も活用できるよう、米国土安全保障省(DHS)Cybersecurity and Infrastructure Security Agency(CISA)の組織で、制御システムの脆弱性報告の受付や攻撃への対応支援を行っているICS-CERT(脚注1)や、EUの重要インフラ/制御システムセキュリティに関する取組みを推進しているENISA(脚注2)の活動報告や調査レポート等を日本語に概訳し、紹介しています。
なお、ICS-CERTが公開している制御システムの脆弱性情報は、IPAの脆弱性対策情報データベース JVN iPedia でも日本語で公開しています。合わせてご活用ください。
ICS-CERTが発行する公開文書から、注目文書を概訳して紹介しています。
ENISAが発行する制御システム等に関する公開文書から、注目文書を概訳して紹介しています。
文書の公開等、個々の掲載情報の更新は本欄に掲載いたしません。
個々の掲載情報の更新は、最新のものに「New」を付けていますので、ご参考にしてください。
IPA セキュリティセンター(IPA/ISEC)
2023年8月7日
「調査報告書・ガイド等」に新規報告書を追加しました。
2023年7月31日
「調査報告書・ガイド等」に新規報告書を追加しました。
2021年4月26日
ページレイアウト変更
2017年4月3日
ページレイアウト変更