SecurityInsight | セキュリティインサイト

IPA、安全関連システムのセキュリティ向上にむけた「制御システム セーフティ・セキュリティ要件検討ガイド」を公開

情報処理推進機構のソフトウェア高信頼化センターは3月19日、制御システムの安全関連システムに関するセキュリティ向上を目的とした「制御システム セーフティ・セキュリティ要件検討ガイド」を公開した。

このガイドは、制御システムの設計・開発・運用に携わる開発者が検討すべき「安全性を確保しつつ、セキュリティ対策を講じるための検討ポイント」を整理し、その検討手順を具体的に示している。人命や環境など、社会活動に影響を及ぼすような制御システムを想定し、これらに関連する企業関係者すべてを対象にしている。

このガイドは、制御システムに関わる事業者やインテグレータが、システムのライフサイクルを通じて、セーフティを確保しながら制御システムのセキュリティ検討を行なう際に参考となる「セキュリティ検討の基本的な考え方・手順」の概要を示している。このガイドを作成するにあたり、事業のグローバル化に鑑み、セーフティ、セキュリティの国際規格・標準等を参照している(セーフティはIEC 61508、セキュリティはIEC 62443を参照)。

また、このガイドを参考に理解を深められるよう、ケーススタディによる解説も掲載し、脅威分析を実施する際の分析シートのテンプレートも添付している。

本書の具体的な内容は以下のとおり。

【基本編】
・セーフティ&セキュリティ検討の基本的な考え方
・セーフティ&セキュリティ検討のプロセス
・本ガイドを産業分野別に適用する際のポイント
(車載・電力・施設監視制御・鉄道・ヘルスケア・産業ロボットといった分野別に、環境と変化、関係者、分析範囲、想定される脅威と対策等などを紹介)
・用語定義、脅威分析手法、国際規格・業界標準・ガイドラインの紹介

【ケーススタディ編】
・抽象化された制御システムを対象に、セーフティ要件とセキュリティ要件を連携させ、すり合わせるための考え方について解説
・国内工場における、セーフティシステムを含む産業用ロボットを用いた稼働中のFA(Factory Automation)システムをモデルに解説
・基本編で示したStepに従い検討を行なうという一連のストーリーとして記述

IPAでは、セーフティなシステムを手がける企業がセキュリティ対応を進める際に、このガイドを手がかりとして取り組まれることを期待しているとしている。
 

関連リンク

プレスリリース