IPA、「制御システムのセキュリティリスク分析ガイド」第2版を公開
- 2018/10/17 10:00
- SecurityInsight
IPA(情報処理推進機構)は10月15日、「制御システムのセキュリティリスク分析ガイド 第2版」を公開したことを発表した。このガイドは、主に2017年10月公開の第1版で示したリスク分析作業の工数を削減するため、手法を見直したものとなっている。
第1版を2017年10月に発行したこのガイドは、自組織でリスクアセスメントを実施し、セキュリティ対策を向上するための実践的な分析手法を解説したもの。IPAの産業サイバーセキュリティセンターの中核人材育成プログラムでも講義資料として活用されている。
第2版の特徴は、第1版で紹介した以下2種類のリスクアセスメントの作業工数を削減するため、手法を見直した点。これにより2~3割程度の工数削減が期待できる。
1.資産ベース
・事前準備段階で資産のグループ化を一括実施
・資産種別(情報系、制御系、通信経路)のみで分類し、脅威と対策候補を抽出
2.事業被害ベース
・想定被害の度合いが大きい事業被害や攻撃者に狙われる可能性が高い侵入ルートを優先的に分析できるよう選定基準を提示
また、リスク分析の基本的な評価指標とその評価値、リスク分析を実施した結果得られるリスクレベルを厳密に定義。これにより、分析結果のばらつきが低減され、的確な現状把握と対策向上が可能になるとしている。