その2では、制御システムのリスク分析とはざっくりとどんな事をするのかを紹介したいと思います。
「2つのリスク分析手法」
「制御システムのリスク分析ガイド」で提唱するリスク分析には、[資産ベースのリスク分析]と[事業被害ベースのリスク分析]の2つのやり方があります。これらは別のパートで詳しく説明しますが、ざっと以下の様な内容です。
・資産ベースのリスク分析:制御システム内のサーバや端末、コントローラなど個々の機器(資産)の重要度を加味したセキュリティ対策状況の分析
・事業被害ベースのリスク分析:サイバー攻撃によって引き起こされる制御システムの障害で生じる事業上の被害がいかにして起こるかをシナリオとして想定し、そのシナリオにおけるセキュリティ対策の分析
これらはどちらかをやるというより、資産ベースのリスク分析でもれなく全体を俯瞰したのちに、より具体的で実践的な事業被害ベースのリスク分析を行う、という手順になります。
資産ベースのリスク分析でも分析にはなるのですが、なかなか個々の資産に対策をうちにくい制御システムの性格上、事業被害ベースまで踏み込んで対策を考える方が時間はかかるのですがより効果的と考えています。ちなみにIPAのリスク分析ガイドでは、資産ベース/事業被害ベースの分析手法の詳しい比較は、表2-3に出ています。
[どれくらいかかるのか]
では、実際このリスク分析を行うのにどれくらいの時間がかかるのかという話をしましょう。
これもあくまで筆者のとてもざっくりとした感覚であることを改めて強調しておきます。
また、当然ですが分析対象の資産の数にも大きく依存します。
その感覚での話ですが、それなりに大きな制御システムで資産の数が10〜20前後の場合を想定すると(この見積については次回説明します)、はじめてのリスク分析トータルにかかる期間で3ヶ月〜半年、3〜10人月くらい、といった感じでしょうか。人数は、組織のシステムやセキュリティについてどれだけ知っている人がいるかによります。
ただし、ペネトレーションテスト(脆弱性や侵入のテスト)を実施する場合には、別途専門の業者に依頼し、3ヶ月前後の期間と費用が必要になります。
さらにその内訳は、(リスク分析を理解した前提で、)
- ネットワーク構成図やセキュリティ対策の実態調査に1ヶ月
- 資産ベースのリスク分析に1〜2ヶ月
- 事業被害ベースのリスク分析は資産ベースと同程度から1.5倍の時間
がかかるという感じでしょうか。
[分析コストは高いか安いか]
このコスト(+分析後の対策コスト)を高いと見るか安いと見るかは、想定される事業被害の大きさと比べてみて、分析を行うべきか不要かを考えるのが良いのではないでしょうか。
制御システムのサイバー攻撃では実質的な被害が発生します。それは例えばStuxnetによってイランで起きた機器の故障のようなケースやBlackEnergyによりウクライナで起きた数万以上もの世帯への電力供給停止のケース、それに伴う後処理と対策費など(いわゆる事業被害のシナリオ)。
そう考えると重い腰をあげることにも意義はあります。まずは最低限の事業被害の想定まで分析してみて、最悪の事業被害についてのみ、詳細なリスク分析を行うというやり方をしてみるのはいかがでしょうか?
[分析は大変か]
制御システムのリスク分析は、コンピュータにかかわるサイバー攻撃に対しての分析であるのですが、一般的なITとは異質です。
さまざまな機器の組み合わせで生産が行われる、停止出来ない、十数年更新出来ない、機器が特殊などITには無いさまざまな特徴があります。
ですから制御システムのリスク分析が出来るのは制御システムに精通している組織内の人か、制御システムのリスク分析を請け負っているコンサルティング会社にしかできないと考えた方が良いでしょう。
この手法は始まったばかりではありますが、コンサルティング会社では既に対応している所もあります。それなりの費用はかかりますが、それが手っ取り早い事は手っ取り早いです。ただしコンサルティング会社も、御社に対して制御システムやそのセキュリティについての詳細なヒアリングを行う事になると思うので、対応すべき工数は事前に捻出しておく必要があります。
次回以降は、具体的な分析の手順についてご紹介していきたいと思います。
