SQオンライン

＜IPAの記事から抜粋＞

制御システムを保有する事業者にとって、国内外で発生したサイバーインシデント事例の情報をもとに、自社の制御システムに対して同様の脅威が発生した場合のリスクアセスメント（リスクの特定・分析・評価）を実施することは、セキュリティリスク管理の強化につながります。


IPA（情報処理推進機構）は、制御システムにおけるリスクアセスメントの具体的な手順を解説した「制御システムのセキュリティリスク分析ガイド」を公開しています。このガイドでは、制御システム保有事業者の事業に重大な被害を与えるサイバー攻撃からの回避に重点を置いた「事業被害ベースのリスク分析手法」を紹介しています。
同分析手法でも、攻撃シナリオの検討時に過去の攻撃事例を参考にすることを提示しており、これによって、自社の制御システムに対して類似の脅威が発生した場合の事業への影響、脅威の発生可能性、発生した脅威の受容可能性／脅威に対するセキュリティ対策の有効性を分析することができます。


この「制御システム関連のサイバーインシデント事例」シリーズは、事業被害ベースのリスク分析における攻撃事例の活用を支援するための補足資料です。過去の制御システムのサイバーインシデント事例をもとに、その概要と攻撃の流れ（攻撃ツリー）を紹介しています。
これらの情報をもとに、事業被害ベースのリスク分析を実施する際に、事例に相当する攻撃ツリーの作成、セキュリティ対策の策定に活用することができます。


先ずは、2015年と2016年にウクライナで大規模停電を引き起こした電力設備に対する攻撃事例（インシデント事例1,2）、及び2017年の中東のプラントで発生した安全計装システムへの攻撃事例（インシデント事例3）を取り上げました。今後、追加拡充を図る予定です。

本記事の詳細は、IPAのページをご覧ください。

＜出典：独立行政法人 情報処理推進機構のウェブサイトを加工して作成＞