IPA(情報処理推進機構)は12月5日、ドイツ連邦政府 情報セキュリティ庁(BSI)の「産業用制御システムのセキュリティ -10大脅威と対策2022-」の日本語訳を公開した。
同書は、産業用制御システムにおける危険度の高い10種類の脅威とその対策をまとめたもの。産業用制御システムは、電力、ガス、水道、鉄道などの社会インフラや、あらゆる産業で利用されているため、サイバー攻撃などで稼働が阻害された場合、社会的な影響や事業継続上の影響が大きい。そのため、セキュリティ対策の向上が急務となっている。
IPAは、「本書で示されている脅威は、日本国内でも共通の事項が多く、事業者にとってこれらの脅威とその発生要因、具体的な手口、および対策を体系的に理解することに役立つ」と、日本語訳公開の狙いを説明する。
産業用制御システムへのサイバー攻撃は、最初の攻撃を起点として拡散する特徴がある。
そして2次攻撃には、下記が含まれる。
・権限昇格
・他の内部システムへの不正アクセス
・フィールドバス通信の不正操作
・ネットワークコンポーネントの不正操作
・ランサムウェアの展開
そのため最初の攻撃を検知し後続の攻撃を断つことがきわめて重要になるが、最初の攻撃を見逃したり防御に失敗すると、「システムのクリーンアップと復旧も困難になる」と、警鐘を鳴らしている。
それゆえに多層防御の考え方に基づく対策が必要になるが、同書は10大脅威の各脅威について「問題と原因の説明」「想定される脅威のシナリオ」「対策」を詳細に説明し、多層防御のための考え方、脅威のスコープ、対策への示唆を示している。さらに「セルフチェック」欄が設けられており、自己採点できるようになっている。
今回の10大脅威は下表のとおり。右列は2019年からの変動で、「サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性」が初登場した。
下図は、セルフチェックのやり方を説明したものである。
・ドイツBSI「産業用制御システム(ICS)のセキュリティ -10大脅威と対策2022-」
https://www.ipa.go.jp/files/000104648.pdf
・「Industrial Control System Security :Top 10 threats and countermeasures 2022」(原文)
https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_005E.pdf?__blob=publicationFile&v=5
[i Magazine・IS magazine]