独立行政法人情報処理推進機構(IPA)は3月27日、「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~」を公開した。2023年3月版として3年ぶりに、本冊、別冊、活用の手引きを公開している。
同ガイドは、制御システムは社会や産業における重要なインフラとしての位置付けが高まる一方で、WindowsやUNIXといった汎用のプラットフォームや通信プロトコルの活用、ネットワークや外部メディアの利用といった環境の変化によって、セキュリティ脅威の増大と実際のサイバー攻撃事案の発生が増加していることを受けたもの。
制御システム分野や重要インフラに関わる多くの事業者における「リスク分析の具体的な手法や手順が分からない」「リスク分析には膨大な工数を要する(と言われている)ので回避したい」といった課題に対応するため、同ガイドでは各組織におけるセキュリティレベルの抜本的な向上と継続的な維持見直しが達成されることを目的としている。
新版では、リスク分析手法に攻撃ツリー解析、イベントツリー解析を追記し、分析用システム構成図に「論理構成の検討」を追加、また構成図に「他拠点のネットワークへ」「IoTデバイス」「無線機器」「無線ゲートウェイ」を追記している。さらにMITRE ATT&CK for ICS と「リスク分析ガイド」への対応など、全体にわたり追記が行われており、説明も詳細になっている。
