No6 制御システムのリスク分析ブログ(ICSSブログ)- 資産ベースのリスク分析その2
[資産ベースのリスク分析の意味]
今回は資産ベースのリスク分析の意味を補足します。この分析で何がわかるの?と言うことを知っていただきたいからです。
先に説明したように、資産ベースのリスク分析では、各資産のさまざまな脅威(攻撃手法)に対するセキュリティ対策の広い意味での完成度が求められます。たとえば、この資産は、不正アクセスに対するリスク値は高いが過失操作に対するリスク値は低い、といった分析結果が得られます。
こういった各資産の弱点を強化していくのに有効なのが資産ベースのリスク分析なのです。
全部の資産に対策が必要か?との疑問があるかと思いますが、サイバー攻撃の中でもマルウエアを持ち込み、どこか穴を見つけて入り込み、弱い所弱い所とだんだんと浸食を続けるタイプの攻撃に対しては、弱点を埋めていくのが有効です。そういう観点から資産ベースのリスク分析は重要と言えます。
ただ、制御システムで十数年も前の古い資産すべてに対策ができるか?という声も良くわかります。制御システムの要所要所を押さえてサイバー攻撃を途中で止めるのも、確かな一つの防御策となるでしょう。
そのためのもう一つの分析方法が、事業被害ベースのリスク分析になります。
次回は、事業被害ベースのリスク分析について説明をしたいと思います。