HOME情報セキュリティ情報セキュリティ対策制御システム制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ

本文を印刷する

情報セキュリティ

制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ

最終更新日:2020年9月8日

 制御システムを保有する事業者にとって、国内外で発生したサイバーインシデント事例の情報をもとに、自社の制御システムに対して同様の脅威が発生した場合のリスクアセスメント(リスクの特定・分析・評価)を実施することは、セキュリティリスク管理の強化につながります。

 IPA(情報処理推進機構)は、制御システムにおけるリスクアセスメントの具体的な手順を解説した「制御システムのセキュリティリスク分析ガイド」を公開しています。このガイドでは、制御システム保有事業者の事業に重大な被害を与えるサイバー攻撃からの回避に重点を置いた「事業被害ベースのリスク分析手法」を紹介しています。
 同分析手法でも、攻撃シナリオの検討時に過去の攻撃事例を参考にすることを提示しており、これによって、自社の制御システムに対して類似の脅威が発生した場合の事業への影響、脅威の発生可能性、発生した脅威の受容可能性/脅威に対するセキュリティ対策の有効性を分析することができます。

 この「制御システム関連のサイバーインシデント事例」シリーズは、事業被害ベースのリスク分析における攻撃事例の活用を支援するための補足資料です。過去の制御システムのサイバーインシデント事例をもとに、その概要と攻撃の流れ(攻撃ツリー)を紹介しています。
 これらの情報をもとに、事業被害ベースのリスク分析を実施する際に、事例に相当する攻撃ツリーの作成、セキュリティ対策の策定に活用することができます。

 現時点で、2015年と2016年にウクライナで大規模停電を引き起こした電力設備に対する攻撃事例(インシデント事例1,2)、2017年の中東のプラントで発生した安全計装システムへの攻撃事例(インシデント事例3)、制御システムを標的とした初めてのマルウェアStuxnetの攻撃事例(インシデント事例4)、2019年にランサムウェアによって操業が停止した攻撃事例(インシデント事例5)、2018年のサプライチェーンに関連するランサムウェアにより操業が停止した攻撃事例(インシデント事例6)、及び、2020年に医療関連企業で起きた情報暴露とランサムウェアによる組み合わせの攻撃事例(インシデント事例7)を取り上げています。今後、追加拡充を図る予定です。

資料のダウンロード

No. タイトル 公開日
【事例1】
2015年 ウクライナ 大規模停電 2019年7月31日
(2019年8月2日更新)
【事例2】
2016年 ウクライナ マルウェアによる停電 2019年7月31日
(2019年8月2日更新)
【事例3】
2017年 安全計装システムを標的とするマルウェア 2019年7月31日
(2019年8月2日更新)
【事例4】
Stuxnet:制御システムを標的とする初めてのマルウェア 2020年3月16日
【事例5】
2019年 ランサムウェアによる操業停止 2020年3月16日
New【事例6】
New2018年 半導体製造企業のランサムウェアによる操業停止 2020年9月8日
New【事例7】
New2020年 医療関連企業のランサムウェアによる業務停止 2020年9月8日

本ページに関するお問い合わせ

 IPA セキュリティセンター(IPA/ISEC)  E-mail:

更新履歴

2020年9月8日 事例6、事例7を公開しました。
2020年3月16日 事例4、事例5を公開しました。
2019年8月2日 事例1、事例2、事例3の誤字等を修正しました。
2019年7月31日 本ページ、事例1、事例2、事例3を公開しました。