独立行政法人情報処理推進機構(IPA)は10月2日、重要インフラや産業システムの基盤となっている制御システム向けにセキュリティリスク分析ガイド第2版を発行した。第1版は2017年10月に発行されていた。
同ガイドでは、各システムに対する精緻な評価、及び攻撃者視点からの攻撃シナリオの評価の観点から、「資産ベースのリスク分析」と「事業被害ベースのリスク分析」の2通りの詳細リスク分析手法を解説している。特に「事業被害ベースのリスク分析」については、過去に具体的なガイドがなく重要性が高い。
第1版からの改定内容は、「資産ベースのリスク分析」では、分析手法を簡略化し工数を削減した。具体的には、同様なシステム資産をグループ化し、各グループ毎に脅威と対策を抽出するプロセスに変更した。「事業被害ベースのリスク分析」では、攻撃が成功した場合の事業被害が大きく、攻撃者に狙われる可能性が高い重要な攻撃ツリーを選定し、優先的に分析することで工数を削減した。また、リスク分析における基本的な評価指標とその評価値、リスク分析を実施した結果得られるリスク値(リスクレベル)の意味も厳密に定義した。
同ガイドは、制御システムセキュリティの国際規格「IEC62443」を参照している。
【参照ページ】「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~」を公開
独立行政法人情報処理推進機構(IPA)は10月2日、重要インフラや産業システムの基盤となっている制御システム向けにセキュリティリスク分析ガイド第2版を発行した。第1版は2017年10月に発行されていた。
同ガイドでは、各システムに対する精緻な評価、及び攻撃者視点からの攻撃シナリオの評価の観点から、「資産ベースのリスク分析」と「事業被害ベースのリスク分析」の2通りの詳細リスク分析手法を解説している。特に「事業被害ベースのリスク分析」については、過去に具体的なガイドがなく重要性が高い。
第1版からの改定内容は、「資産ベースのリスク分析」では、分析手法を簡略化し工数を削減した。具体的には、同様なシステム資産をグループ化し、各グループ毎に脅威と対策を抽出するプロセスに変更した。「事業被害ベースのリスク分析」では、攻撃が成功した場合の事業被害が大きく、攻撃者に狙われる可能性が高い重要な攻撃ツリーを選定し、優先的に分析することで工数を削減した。また、リスク分析における基本的な評価指標とその評価値、リスク分析を実施した結果得られるリスク値(リスクレベル)の意味も厳密に定義した。
同ガイドは、制御システムセキュリティの国際規格「IEC62443」を参照している。
【参照ページ】「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~」を公開
独立行政法人情報処理推進機構(IPA)は10月2日、重要インフラや産業システムの基盤となっている制御システム向けにセキュリティリスク分析ガイド第2版を発行した。第1版は2017年10月に発行されていた。
同ガイドでは、各システムに対する精緻な評価、及び攻撃者視点からの攻撃シナリオの評価の観点から、「資産ベースのリスク分析」と「事業被害ベースのリスク分析」の2通りの詳細リスク分析手法を解説している。特に「事業被害ベースのリスク分析」については、過去に具体的なガイドがなく重要性が高い。
第1版からの改定内容は、「資産ベースのリスク分析」では、分析手法を簡略化し工数を削減した。具体的には、同様なシステム資産をグループ化し、各グループ毎に脅威と対策を抽出するプロセスに変更した。「事業被害ベースのリスク分析」では、攻撃が成功した場合の事業被害が大きく、攻撃者に狙われる可能性が高い重要な攻撃ツリーを選定し、優先的に分析することで工数を削減した。また、リスク分析における基本的な評価指標とその評価値、リスク分析を実施した結果得られるリスク値(リスクレベル)の意味も厳密に定義した。
同ガイドは、制御システムセキュリティの国際規格「IEC62443」を参照している。
【参照ページ】「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~」を公開
ここから先は有料登録会員限定のコンテンツとなります。有料登録会員へのアップグレードを行って下さい。
独立行政法人情報処理推進機構(IPA)は10月2日、重要インフラや産業システムの基盤となっている制御システム向けにセキュリティリスク分析ガイド第2版を発行した。第1版は2017年10月に発行されていた。
同ガイドでは、各システムに対する精緻な評価、及び攻撃者視点からの攻撃シナリオの評価の観点から、「資産ベースのリスク分析」と「事業被害ベースのリスク分析」の2通りの詳細リスク分析手法を解説している。特に「事業被害ベースのリスク分析」については、過去に具体的なガイドがなく重要性が高い。
第1版からの改定内容は、「資産ベースのリスク分析」では、分析手法を簡略化し工数を削減した。具体的には、同様なシステム資産をグループ化し、各グループ毎に脅威と対策を抽出するプロセスに変更した。「事業被害ベースのリスク分析」では、攻撃が成功した場合の事業被害が大きく、攻撃者に狙われる可能性が高い重要な攻撃ツリーを選定し、優先的に分析することで工数を削減した。また、リスク分析における基本的な評価指標とその評価値、リスク分析を実施した結果得られるリスク値(リスクレベル)の意味も厳密に定義した。
同ガイドは、制御システムセキュリティの国際規格「IEC62443」を参照している。
【参照ページ】「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~」を公開