独立行政法人情報処理推進機構(IPA)は10月2日、重要インフラや産業システムの基盤となっている制御システム向けにセキュリティリスク分析ガイド第2版を発行した。第1版は2017年10月に発行されていた。
同ガイドでは、各システムに対する精緻な評価、及び攻撃者視点からの攻撃シナリオの評価の観点から、「資産ベースのリスク分析」と「事業被害ベースのリスク分析」の2通りの詳細リスク分析手法を解説している。特に「事業被害ベースのリスク分析」については、過去に具体的なガイドがなく重要性が高い。
第1版からの改定内容は、「資産ベースのリスク分析」では、分析手法を簡略化し工数を削減した。具体的には、同様なシステム資産をグループ化し、各グループ毎に脅威と対策を抽出するプロセスに変更した。「事業被害ベースのリスク分析」では、攻撃が成功した場合の事業被害が大きく、攻撃者に狙われる可能性が高い重要な攻撃ツリーを選定し、優先的に分析することで工数を削減した。また、リスク分析における基本的な評価指標とその評価値、リスク分析を実施した結果得られるリスク値(リスクレベル)の意味も厳密に定義した。
同ガイドは、制御システムセキュリティの国際規格「IEC62443」を参照している。
【参照ページ】「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~」を公開
無料会員に登録すると、
有料記事の「閲覧チケット」を毎月1枚プレゼント。
登録後、すぐにご希望の有料記事の閲覧が可能です。
【無料会員向け】有料記事の閲覧チケットの詳細はこちら
または
有料会員プランで
企業内の情報収集を効率化
- 2000本近い最新有料記事が読み放題
- 有料会員継続率98%の高い満足度
- 有料会員の役職者比率46%
有料会員プランに登録する
Skip navigation