IPA情報処理推進機構がリリースした「制御システムのセキュリティリスク分析ガイド ~セキュリティ対策におけるリスク分析実施のススメ~」はもうお読みになったでしょうか?
本書は経済産業省が率先してプレスリリースをしたくらい国を挙げての勢いで注目されているものの、中身は350ページもあるんですよね。

350ページの厚さがこれ

おそらくダウンロードしたもののざっとしか目を通していない方がほとんどではないかと思います。
リスク分析の大切さはわかるけど、大変そう。そこがホンネではないでしょうか?
それは良くわかります。
ここではこれからマジメに(仕方なく?)、リスク分析にとりかかろうとする方々にリスク分析の肝やコツについてご紹介して、少しでもお役に立てればとブログを書き綴ってみたいと思います。

申し遅れましたが私、IPAにお世話になりまして、このガイドの執筆についても関わらせていただきました。
詳しくはお話しできませんが、様々な重要インフラのセキュリティリスク分析にも関わってきました。
その中で、分析しようとする側の視点から何がわからず、何に困っているのかも多少なりともわかってきました。
こんそブログではそのあたりを踏まえて色々書いていこうと思います。
*これは、公的な組織とは無関係にあくまで筆者一個人の考えを元に書いています。ご理解ください。

まずはこのあたりから。

「制御システムはITと同じか?」
制御システムのセキュリティってITと一緒じゃないかという事は良く質問で出てきますが、最も異なるところは、制御システムでは可用性、つまり稼働し続ける事が最優先(もちろん安全にですが)と考えられています。また、情報が盗まれる事よりも、制御システムに異常な動作が生じて、爆発や供給停止など組織や社会に混乱をきたす事が大きな関心事となります。
ここを読まれている方には常識かもしれませんが、Stuxnet、ウクライナの電力施設へのサイバー攻撃など、今までITでは想定もされていなかったようなさまざまな事象が制御システムではサイバー攻撃によって起こり得ます。
そこを良く考えて、どうしたらそういったサイバー攻撃から制御システムを守るのかを考えていくのが、このリスク分析の役割となっています。

そしてもう一つ、制御システムの資産はセキュリティ対策が非常に難しい事です。
制御システムは10年どころか20年、25年と稼働させる事がよくあります。当然ハードウエアもOSも既にサポート対象外となっていることが多々あります。また連続的に稼働していて止められない、何かを対策入れて制御のタイミングが狂うと何が起こるかわからないなど、多くの問題が懸念されます。
そのために制御システムのリスク分析があるのです。

「リスク分析ってISO27001などと似たようなものか?」
違います。この制御システムのリスク分析によって、実際の制御システムの構成や資産のセキュリティをチェックして、サイバー攻撃によってどんな事業被害が発生しうるかを知ることが出来て、どのように対策が出来るかを知る事ができます。
他のほとんどのリスク分析では、運用がきちんと出来ているか、ルールは守られているかといった確認を行う程度で、システムのデータの流れやセキュリティ対策を客観的に分析してはいないでしょう。
どうしてそんな分析が必要になるか、というと、制御システムは先に書いたように個々の資産への対策が困難な場合が多々有り、制御システム全体の挙動のバランスが重要視されるからです。そのためには個々の資産のセキュリティ対策のみならず、攻撃ツリーと呼ばれるサイバー攻撃の流れを想定してどこに対策をどのような対策を打てば良いのか、多層防御はできないか、などの検討を行うために分析するのです。
つまり、この制御システムのリスク分析では、より実践的な現実的なセキュリティ対策を効率良く施す事が出来るのです。
そのためには、・・手間はかかります。
その分析を効率良く楽して的確に行えるようになればしめたもの。

まずは、ガイドの要約版、「活用ガイド」には目を通していただく事をお勧めします。
こちらは本書の1/10以下の28ページしかありませんので。

次回はどれくらいかかるのか?何につっかえるのか?等について書いていこうと思います。