今回は事業被害ベースのリスク分析の説明を始めます。

【事業被害を想定する】

自分のところでサイバー攻撃によっておこりうると考えられる事業被害を整理します。

これは分析する組織によって異なると思いますが、組織の運営を根底から揺るがしかねない経済的、社会的、人的な被害を想定されると良いのでは無いかと思います。例えば工場が長期にわたり使えなくなる、爆発などで死傷者が出る、産業廃棄物を拡散する等々、色々な背景から考えるのが良いでしょう。

事業被害はいくつか想定して事業被害レベルという被害の大きさを推定することになります。ただし、分析上では事業被害レベルが低い場合はその分析を行わないのも工数を減らすためには有効です。例えば事業被害レベルはレベル3またはレベル3〜2のもののみ分析対象とするのが良いでしょう。

 

【攻撃シナリオを考える】

事業被害をまとめたら、次は攻撃シナリオを考えます。

攻撃シナリオとは、何が起こったら想定した事業被害が起こるかという事です。例えば事業被害が「供給停止」の場合、「どこどこの重要データの値を改ざんされると、何々が誤動作し供給が停止してしまう」というようなものです。

これは各事業被害について複数出てくる場合もあります。制御システムの動作を考えながら攻撃されるとダメージが生じるシナリオをまとめます。

この攻撃シナリオによって、サイバー攻撃による、「攻撃対象」と「攻撃拠点」が明確になります。

これらの事業被害ベースのリスク分析ではとても重要な単語(+α)は次回詳しく説明しましょう。