HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「制御システム利用者のための脆弱性対応ガイド」や研究会報告書などを公開

本文を印刷する

情報セキュリティ

「制御システム利用者のための脆弱性対応ガイド」や研究会報告書などを公開

最終更新日:2015年3月26日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「情報システム等の脆弱性情報の取扱いに関する研究会」における2014年度の活動成果として、制御システム利用者が取るべきセキュリティ対策を解説した啓発資料と、平成26年経済産業省告示第110号(*1)に構成を合わせるとともに再整理した情報セキュリティ早期警戒パートナーシップ(*2)ガイドラインの改訂案などを公開しました。

「情報システム等の脆弱性情報の取扱いに関する研究会」2014年度報告書

 IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)の2014年度の活動成果として、告示の改正や国際標準への対応を睨んだ情報セキュリティ早期警戒パートナーシップガイドラインの全面的な見直しと概要版(日本語・英語)の作成を実施しました。
 さらに、制御システム利用者向け啓発資料の作成、ウェブサイトの脆弱性の対策促進や取扱終了、脆弱性情報の入手・展開に関する調査、脆弱性に起因する事件・事故に関する調査などに取り組み、2014年度 報告書としてまとめ公開しました。

■報告書の構成(目次)

1. 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1. 背景
 1.2. 運用の状況
 1.3. 本年度研究会における検討
2. 制御システムの利用者における脆弱性対応に関する調査
 2.1. 調査の概要
 2.2. ヒアリング調査
 2.3. 啓発資料の作成に関する調査
3. 国際標準への対応に関する調査
 3.1. 調査の概要
 3.2. ISO/IEC 29147の分析
 3.3. ヒアリング調査
4. ウェブサイトの脆弱性の対策促進や取扱終了、脆弱性情報の入手・展開に関する調査
 4.1. 調査の概要
 4.2. ウェブサイトの脆弱性に関する長期・不良案件の傾向や特徴等の分析・整理
 4.3. 脆弱性情報の入手・展開の検討
5. パートナーシップガイドラインの改訂等に関する調査
 5.1. 調査の概要
 5.2. パートナーシップガイドラインの見直しに関する調査
 5.3. パートナーシップガイドラインの概要版の作成に関する調査
6. 脆弱性に起因する事件・事故に関する調査
 6.1. 調査の概要
 6.2. 文献調査
 6.3. ヒアリング調査
 6.4. 調査のまとめ
参考1 情報システム等の脆弱性情報の取扱いに関する研究会 名簿
参考2 研究会の検討経緯
別紙1 情報セキュリティ早期警戒パートナーシップガイドライン改訂案

 IPAとしてはこれら調査報告書が有効利用され、IT分野に留まらず制御システムを含む広範なソフトウェアの脆弱性対策の普及が進むことを期待しています。

「制御システム利用者のための脆弱性対応ガイド」公開

 制御システムのセキュリティ問題は、経済産業的な損害だけでなく、社会インフラのの混乱に繋がりうるもので、事業継続計画(BCP)において想定する主要なリスクの一つであり、経営責任が問われる課題として捉える必要があります。
 脅威が高まっている制御システム分野のソフトウエア製品の脆弱性情報を、制御システムの利用者(中堅企業の利用者を含む)が受取った場合を想定し、脆弱性対策を含むセキュリティについてどのように対応すべきかを解説した「制御システム利用者のための脆弱性対応ガイド」を公開しました。
 当該ガイドは、制御システムを利用されている企業の経営層が、事業継続計画を策定する際に考慮すべき点、また調達担当・運用担当の管理者が具体的な対策として制御システムの安全な運用に求められる事項や運用時に注意すべき点についてまとめています。

■ガイドの構成(目次)

(経営者・役員 / 経営企画、リスク管理部門等のリスク管理担当者向け)
1.制御システムのリスク
 1.1. 制御システムとは
 1.2. 制御システムで今、起こっていること
 1.3. 制御システムのリスク
2.制御システムに関して経営者がすべきこと
 2.1. 実在する制御システムの被害事例
 2.2. 経営層が実施すべきポイント

(導入及び調達の担当者 / 運用・管理に携わる管理者向け)
3.制御システムのセキュリティ対策のポイント
 3.1. 制御システムの構成
 3.2. 制御システムの特徴
 3.3. 制御システムへの脅威と脆弱性
 3.4. 脆弱性対応とは
 3.5. 設計・開発・導入段階における対策と脆弱性対応
 3.6. 運用段階における対策と脆弱性対応

参考資料
 参考1. 制御システムのセキュリティに対する取り組み
 参考2. 情報セキュリティ早期警戒パートナーシップ
 参考3. 脆弱性対策情報データベース:JVN iPedia
 参考4. 制御システム製品の脆弱性
 参考5. CSMS(サイバーセキュリティマネジメントシステム)
 参考6. 制御システムを標的としたサイバー攻撃(Stuxnet、Havex)
 参考7. 参考URL

情報セキュリティ早期警戒パートナーシップガイドライン 改訂

 2014年に改正された告示の構成に基づきパートナーシップガイドラインの構成に関する修正方針をまとめ、脆弱性研究会の合意を得た上で、パートナーシップガイドラインの修正を行いました。また付録については、本編に組込むもの、付録として本編に添付するもの、別冊にするものに分類し構成しました。

●全体
 ・改正された告示に基づきガイドラインの構成を変更
 ・文書構成の把握を助ける説明を冒頭に新設
●ソフトウエア製品
 ・告示の構成を踏まえIPAとJPCERT/CCについて異なる節に
 ・IPA の対応は告示と同様の構成化(公表判定委員会フローをガイドライン本編中に)
●付録と別冊
 ・本編と常に共に取り扱われるべき情報(注釈や参考情報等)は付録
 ・本編とは独立した文書として取扱い可能なものは別冊
 ・別冊は本編の記述を必要最小限化
 ・「法的な論点」に関する付録を整理
 ・国際標準に準拠するための留意点を付録として新設
 ・マニュアル/ガイドは別冊化する(例:付録5、付録6、付録7、付録10)

 併せて、様々な立場の読者がパートナーシップガイドラインの全体像・概観を容易に把握できるようにするため、パートナーシップガイドラインのサマリー資料を作成するとともに、関係者が海外の取引先・調整先等への説明に活用できる英語版を作成しました。

脚注

(*1)「ソフトウエア等脆弱性情報取扱基準」(平成26年経済産業省告示第110号)

(*2)ソフトウェア製品及びウェブサイトに関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。

資料のダウンロード

■2014年度 新規公開資料
■過去公開資料の更新

ガイドライン改訂案に関するパブリック・コメント受付

 ガイドライン改訂案へのパブリック・コメントについては、2015年3月26日~2015年4月24日の期間で受け付けます。以下「本件に関するお問い合わせ先」のメールアドレス宛へお願いします。

関連資料

 前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7527までお問い合わせください。

更新履歴

2015年3月26日 掲載