「起こってほしくない」を起点とした対策、制御システム向けセキュリティ対策検討手法「CCE」とは | ScanNetSecurity
2023.02.08(水)

「起こってほしくない」を起点とした対策、制御システム向けセキュリティ対策検討手法「CCE」とは

 日本電気株式会社(NEC)は11月18日、米国アイダホ国立研究所が開発したセキュリティ対策検討手法の Consequence-driven Cyber-informed Engineering(CCE)について、同社セキュリティブログで紹介している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 日本電気株式会社(NEC)は11月18日、米国アイダホ国立研究所が開発したセキュリティ対策検討手法の Consequence-driven Cyber-informed Engineering(CCE)について、同社セキュリティブログで紹介している。

 CCEは、米国アイダホ国立研究所が2016年に公開した制御システム向けセキュリティ対策検討手法の一つで、「発生してほしくない事象」を基点として制御システム向けのセキュリティ対策を検討する。「リスク値の計算が不要」「4ステップで検討が可能」「制御システムの関係者の連携が必要」といった特徴がある。

 CCEは、想定できた事象に対し効果的にその対策を実施することはできるが、想定外の被害は防げないことが課題として挙げられ、各種業界ガイドラインや規制によって多層的なセキュリティ対策を実施しつつ、そのうえでCCEを用いた対策を進める必要がある。

 制御システムをターゲットとして作成されたCCEのITセキュリティへの応用として、下記の2つの例を紹介している。

・従業員訓練・教育への応用
 金融業界で注目される脅威ベースのペネトレーションテスト(TLPT:Threat-Led Penetration Testing)では、対象組織への「脅威シナリオ」を作成し、シナリオベースに運用中のシステムに対し実際に攻撃を行うが、TLPT実施前の、自組織で「発生してほしくない脅威」を基点とした対策状況を確認するのにCCEを利用。

・セキュリティ対策状況の検討範囲を拡大するために利用
 例として「サーバのランサムウェア被害」を発生してほしくないセキュリティインシデントとして考えた場合、CCEの残りのステップを検討することでランサムウェアの対策の検討が進められる可能性がある。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

    教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

  2. ファイル誤添付メール送信で戒告の懲戒処分

    ファイル誤添付メール送信で戒告の懲戒処分

  3. 不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

    不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

  4. 尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

    尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

  5. 三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

    三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

  6. 給油所でシステム障害発生 8時間給油停止に

    給油所でシステム障害発生 8時間給油停止に

  7. 東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

    東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

  8. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  9. 国内発が多数を占め増え続けるSMSフィッシング、携帯キャリアの対策は? ~ JPAAWG 5th General Meetingレポート-3

    国内発が多数を占め増え続けるSMSフィッシング、携帯キャリアの対策は? ~ JPAAWG 5th General Meetingレポート-3

  10. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

    「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

ランキングをもっと見る