No9 制御システムのリスク分析ブログ(ICSSブログ) -事業被害ベースのリスク分析その3
さて今回は事業被害ベースのリスク分析のコアな部分について説明します。
事業被害ベースでは攻撃シナリオを考えるとありますが、そのあたりです。
おさらいをしておくと、事業被害のリスクベース分析ではまず、事業被害を想定します。この事業被害というのは、分析対象(例えば会社)でサイバー攻撃によってどんな痛手をうけるのか、という内容です。例えば、何かの供給が止まるとか、製造装置が壊れるなどが考えられます。
【攻撃拠点と攻撃対象】
次にその事業被害はどうやってひきおこされるのかを考えるのが、攻撃シナリオです。攻撃シナリオでは、その事業被害が実際に引き起こされるというのは、どういう条件でおこりうるのかを考えるのです。例えば、このスイッチがOFFのまま製造が続くと装置が被害を受けるというような事でしょうか。その事業被害を生じさせる直接の要因。それが攻撃対象と呼ばれるものです。
制御システムの場合、攻撃対象はたいていは直接センサやバルブを操作するDCSとかPLCと呼ばれるコントローラが相当します。そしてその攻撃対象にコマンドを送る資産が攻撃拠点と呼ばれるものです。攻撃拠点はコントローラに指示を出す役割を担うHMI(Human Machine Interface)であったり、OPCサーバ(OLE for Process Control)の様な制御サーバであったりしますが、これはシステムによって異なります。
【侵入口と経由】
攻撃拠点と攻撃対象、更に事業被害でシナリオが完成しました。そこに実際の攻撃がひきおこされるトリガとなる部分が侵入口となります。侵入口はネットワーク経由の侵入のケースと物理的な侵入(例えばUSBメモリを刺すなど)に別れます。それぞれ可能性のある資産を侵入口として決めます。この侵入口から攻撃拠点に侵攻する途中にある資産が経由と呼ばれるものです。経由はFWや複数ポートのあるゲートウエイなどが相当します。この侵入口から経由を経て攻撃拠点が侵略され攻撃対象が操作されて事業被害が発生する。これで、攻撃ツリーと呼ばれる一連の攻撃〜被害の塊が出来ます。
攻撃ツリー:
侵入口→(経由)→(経由)・・・→攻撃拠点 → 攻撃対象
【事業被害ベースのリスク分析】
攻撃ツリーが決まったら、その[攻撃ツリーの]リスク値を算出します。リスク値の算出に必要なパラメータは、攻撃ツリーの脅威レベル、攻撃ツリーを構成する各資産の脆弱性(対策)レベル、攻撃ツリーの事業被害レベルの3つです。資産ベースの分析と大きく異なるのは攻撃ツリーで考えるという点です。リスク値の算出については次回詳しく説明をしましょう。