最近、セキュリティリスク分析に関するお問い合わせや資料のダウンロードが増えています。

セキュリティリスク分析とは

ここでいう「セキュリティリスク分析」というのは情報処理推進機構(IPA)が公開している『制御システムのセキュリティリスク分析ガイド』に基づく詳細リスク分析の事です。

制御システム?関係ない、と思われる方もいらっしゃるかもしれませんが、昨今制御システムばかりでなく重要インフラ等のITシステムにも適用が進んできています。例えば、内閣サイバーセキュリティセンター(NISC)の『重要インフラのサイバーセキュリティ部門における リスクマネジメント等手引書』やデジタル庁の『政府情報システムにおける セキュリティリスク分析ガイドライン』等でも参考資料として取り上げられています。

セキュリティリスク分析の目的

セキュリティリスク分析はもちろん、自組織のサイバーセキュリティ上の弱点を把握し、それを改善するために必須な作業で、ISO/IEC 27001やISA/IEC 62443といった国際規格でも必ず行うべし、とされています。また、特に制御システムの様にセキュリティ対策がそもそも難しく丸裸に近い状態のシステムに対して、どこからセキュリティ対策をおこなっていくべきなのかの客観的な判断するためにも用いられます。

これは、できうる限りの対策を行いたいがコストも時間もかかる、まずはどこが重要かを知り、その対策からはじめるための判断材料とする、という事です。裏を返すとセキュリティリスク分析のコストは、できうる限りの対策コストより低い必要があります(純粋にセキュリティ強度を上げる場合はこの限りではありませんが)。

『制御システムのセキュリティリスク分析ガイド』の弱点

『制御システムのセキュリティリスク分析ガイド』は、詳細リスク分析を行うための手順書となっています。本章が約400ページ。これを忠実に行うには相当のコストがかかります。文中には省力化のためのポイントも書かれていますが、適切な省力化が出来ないとセキュリティの穴を残してしまう事になりかねません。
『制御システムのセキュリティリスク分析ガイド』に沿ったリスク分析の工数は、資産ベース/事業被害ベース両方で、通常数十程度の資産の分析に絞って分析を行いますが、正攻法では10人月以上かかります。(絞った対象から外れた資産は次回、次々回と増強)
一方IPAのリスク分析ガイド以外の低コストの簡易的なリスク分析としてチェックリスト方式のリスク分析もありますが、汎用性に偏りがちで、自組織にどれだけ当てはまるかという観点からは難しいケースもあると思います。

INJANETのセキュリティリスク分析

弊社でも、出向先での重要インフラのリスク分析、制御システムのセキュリティリスク分析ガイドラインに則ったコンサルティングや、リスク分析ワークショップ参加等の多数の経験があります。弊社で行うリスク分析は、先に書いた『リスク分析におけるコストの低減』を大きな目標としています。その具体策が、「データフローまで考慮したリスク分析ツールの利用による省力化」と「経験に基づく攻撃ツリーと事業被害検討の効率化」にあると考えています。このような工夫と小回りの効くフレキシビリティによって、お客様からのヒアリングを元に、お客様が希望されるような現実的なコストに抑えつつ、かつお客様にもリスク分析の手順を学んでいただく事によって、さらなるコストダウンができるよう対応しています。

リスク分析を学ぶなら今

現在IPAでは、『制御システムのリスク分析ガイドオンラインセミナー』が開始されました。

https://www.ipa.go.jp/security/seminar/controlsystem/riskanalysis2024-1h.html

YouTubeで見る事ができる概要編の視聴回数を見ても、短期間に非常に多くの方がご覧になっている事がわかるかと思います。しかもこれで4年目のオンラインセミナーです。ご興味のある方は是非弊社にもご連絡ください。