昨今、ロシアによるウクライナへの侵攻や中東情勢などにより国際的な緊張が高まる中、サイバー攻撃に標的とされる範囲が、紛争の当事者だけでなく、その同盟国や支援者などへと広がっています。政府機関や医療機関、金融機関、製造のサプライチェーンを標的としたサイバー攻撃により引き起こされる社会インフラの機能停止や製品の供給不足といった事象は、人々の生活に甚大な影響を与えかねず、また社会問題へと発展する可能性があるものです。このようなことから、サイバーセキュリティは、企業において喫緊の経営課題といえます。ここでは、制御システムセキュリティをテーマに、その動向と、社会インフラや工場の制御システムに対するサイバーレジリエンスを高める東芝の取り組みについて、連載で解説します。
第1回では、昨今の制御システムのセキュリティを取り巻く環境やトレンド、そして東芝が目指す制御システムセキュリティ技術の方向性について説明しました。第2回では、制御システム向けのリスクアセスメント手法について解説します。
なぜ制御システムにリスクアセスメントが必要なのか?
これまで工場やプラントで稼働する制御システムの多くは、外部から隔離されたクローズドネットワークで運用されてきました。しかし、近年のデジタルトランスフォーメーション(DX)やIoT化への取り組みに伴い、運用状態の見える化やデータの分析をリアルタイムに行うことが求められ、情報システムやほかのシステムとネットワークを経由して接続された「つながる工場」へと変化しています。これにより、サプライチェーンの最適化や生産性の向上が期待できる一方で、不正アクセスやランサムウェアの感染など、サイバー空間における脅威への対策が必要な状況となりました。
実際に対策を行う場合について考えます。多くのケースにおいて、「守るべき資産は何か?」「どのような対策が必要なのか?」「どこから対策を始めれば良いのか?」など、さまざまな疑問が出てくるのではないでしょうか。これらの疑問に対して答えを出していくプロセスが、今回解説する「リスクアセスメント」です。
リスクアセスメントを行うことで、対象のシステムに潜んでいるリスクを把握し、各リスクの特性に応じた適切なセキュリティ対策を行えるようになります。裏を返せば、リスクアセスメントを実施していないと、本来は最優先とするべき対策が行えていなかったり、多大なコストをかけて行った対策にもかかわらず期待する効果が得られなかったりするなど、リスクに対して「適切でない対策」となる可能性があります。そのため、本来のセキュリティ対策の目的である「リスクを小さく(低減)する」観点からも、リスクアセスメントは、セキュリティ対策を講じる前に必ず実施するべきプロセスであるといえます。
リスクアセスメントの位置付けと3つのステップ
リスクアセスメントの解説に入る前に、リスクマネジメント(リスク管理)におけるリスクアセスメントの位置付けについて説明します。リスクマネジメントは、組織活動におけるセキュリティ上のさまざまなリスクを事前に分析して評価し、それらのリスクが顕在化しないように管理するプロセスです。リスクマネジメントの規格において代表的なISO31000では、リスクアセスメントは「リスクマネジメントの実践」における1つのプロセスに位置付けられており、また「リスク特定」「リスク分析」「リスク評価」という3つのステップで構成されています(図1)。
リスクアセスメントを構成する3つのステップについて解説します。
ステップ1:リスク特定
このステップの主な目的は、リスクマネジメントの対象となるシステムに潜んでいるリスクを発見し、認識することです。例えば、マルウェアに感染した保守用のパソコンを制御システムに接続したら、そのシステムもマルウェアに感染するということも、数あるリスクのうちの1つといえます。リスクを認識する前提として必要となる、対象のシステムが持つ資産の洗い出しや重要度の決定、そして脅威の洗い出しや識別といった現状の把握を、このステップに含めることもあります。
ステップ2:リスク分析
ステップ1で洗い出したリスクに対し、各リスクの特性を理解してリスクレベルを決めるステップです。リスクを分析する手法にはさまざまな種類が存在し、手法それぞれにメリットとデメリットがあります。各手法の解説とその特徴については次の章で解説します。
ステップ3:リスク評価
ステップ2の結果と、対象のシステムを保有する企業あるいは組織が定めるリスクの判定基準(リスク評価基準)を比較し、リスク値を算出するステップです。リスク値は、「資産の重要度×脅威×脆弱性(ぜいじゃくせい)」で計算します。算出したリスク値を活用することで、対応するリスクの優先順位や効果的な対策を、定量的に決められるようになります。
リスク分析の手法とその特徴
リスクアセスメントの中核であるリスク分析にはさまざまな手法があります。東芝では、対象とするシステムの規模やお客さまからの要求に応じて、各手法を使い分けています。それぞれの手法の概要および、各手法を用いるときのメリットとデメリットは次のとおりです。
■ ベースラインアプローチ
対象のシステムに求められるセキュリティ対策の要件に対し、国際基準あるいは業界基準とされている既存のガイドラインとの適合性をチェックします。制御システムのセキュリティに関する代表的なガイドラインには、「IEC62443シリーズ」が挙げられます。
【メリット】
- ガイドラインに記載された対策要件をチェックするだけでよいため、作業の工数が比較的少ない
- 既存の基準をベースにするため、一定のレベルでの評価の目安として利用できる
【デメリット】
- ガイドラインの対策要件に対するチェックであり、システムの実態に沿った分析になっていない(システム固有のリスクを評価できない可能性がある)
- ガイドラインごとに対策要件の粒度が異なり、またリスクアセスメントを行う担当者によってガイドラインの要件の解釈が異なるため、チェック結果にばらつきが生じる
■ 詳細リスク分析アプローチ
対象のシステムが持つ資産あるいは実現する事業の「重要度」、想定される「脅威レベル」、そして対象のシステムが抱える「脆弱性レベル」の3つを評価指標として、リスク分析を行います。このアプローチでは、独立行政法人 情報処理推進機構(IPA)が発行する「制御システムのセキュリティリスク分析ガイド第2版」[1]を用いることが一般的です。
【メリット】
- 対象のシステムに対して正確なリスクアセスメントが行える
- セキュリティ対策の優先度の決定、およびリスクに対する効果的な対策の選定を客観的な視点で行える
【デメリット】
- 高度なセキュリティの専門家の確保が必要なうえ、リスク分析に多くのコストが掛かる
■ 非形式的アプローチ
組織や担当者の経験や判断を基に、対象となるシステムのリスク分析を行います。
【メリット】
- 経験値を活用するため、コストを低く抑えられる
【デメリット】
- 属人的なため、分析する担当者の配置転換や退職といった事由によって継続的にセキュリティレベルを向上することが難しい
■ 組み合わせアプローチ
ベースラインアプローチと詳細リスク分析アプローチを組み合わせてリスク分析を実施します。
【メリット】
- 対象のシステムの規模が大きい場合、重要な箇所には詳細リスク分析アプローチを、それ以外の箇所にはベースラインアプローチを用いることで、分析にかかるコストの最適化が図れる
【デメリット】
- 組み合わせる方法が対象システムや事業者によって異なり、その指針も示されていないため、汎用的な対応が難しい
リスクアセスメント結果により異なるリスクへの対応方法
このような各分析手法の特徴を理解し、分析対象のシステムごとに適切な手法を用いてリスクアセスメントを実施することで、システムに潜んでいるリスクの識別と評価を適切に行います。評価の後は、リスクアセスメントの結果を基にした「リスク対応」です。
リスク対応とは、リスクアセスメントで明確になったリスクに対処する計画の策定と、策定した対処方法を実行に移すプロセスになります。リスク対応の方法には、「リスク受容」「リスク低減」「リスク回避」「リスク移転」があり、どの方法で対処するのかは、リスクごとにリスクアセスメント結果を参考にして決めます。
・リスク受容
リスクが顕在化する可能性が低い場合、あるいはリスクが顕在化してもシステムや事業への影響が小さい場合に、対策を行わずにリスクを受け入れることです。対策するためのコストなども考慮して、総合的に判断します。現実的に対策できないリスクなど、リスクの特性により受容する場合もあります。
・リスク低減
リスクが顕在化する可能性、あるいは顕在化した際の影響を小さくするために、セキュリティ対策を行うことです。例えば、マルウェア対策ソフトを機器に導入するという対策は、機器がマルウェアに感染するリスクを低減するための対策といえます。
・リスク回避
リスクが発生する要因自体を取り除くことです。例えば、リモートからメンテナンスを行うことで生じるリスクに対しては、メンテナンスをリモートから行わないことでリスクを排除できます。
・リスク移転
リスクをほかの組織や企業に移すことです。例えば、リスクが顕在化した際の損失を保険会社に補填してもらうために、サイバー保険に加入することなどが挙げられます。
これら4つの対応方法を、リスクが顕在化する可能性の度合い(縦軸)と、リスクが顕在化した場合の影響の大きさ(横軸)でマッピングすると、以下のようになります(図2)。
期間とコストを圧縮できる簡易リスクアセスメント
リスクアセスメントを実施する際には、いずれの分析手法を用いたとしても、セキュリティの専門家や対象のシステムに関する知識を持つ担当者といった人材の確保や、2か月から半年間にわたる実施期間の確保が必要なうえ、一定のコストが生じます。そのため製造業や社会インフラ分野をはじめとするお客さまにおいては、リスクアセスメントを実施すること自体に、業務的な、そして金銭的な負担がかかります。
このような背景から、当社では、対象のシステムにおけるセキュリティ対策の状況を簡易的に診断するツールとして、「簡易リスクアセスメント」を提供しています(図3)。お客さまのシステムの現状を把握したり、本格的なリスクアセスメントの必要性を判断したりするための最初の取り組みとして使えるように、当社のノウハウを基に開発したものです。
簡易リスクアセスメントは現在、製造業および社会インフラ事業のお客さまに対し、無償で提供しています。診断を行うために準備したのが、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が提供している産業制御システム向けの自己評価ツール「J-CLICS」※をベースにした技術的な観点からの設問に、当社が独自に設定した組織的な観点による設問を加えた、合計14問の設問から成るアンケートです。
※https://www.jpcert.or.jp/ics/jclics.html
お客さまは設問に答えることで、診断したいシステムのセキュリティ対策の状況を「成熟度」という指標により、自身で判定できます。さらに、アンケートを基に、システムが抱えるリスクや、必要な対策とソリューションの提案といった、当社のセキュリティの専門家が総合的に評価した結果をレポートとして受け取ることができます。そのレポート例は次のようなものになります(図4)。
DXやIoTの進展により、オープン化されたネットワーク環境でサイバー攻撃による脅威が高まるなか、リスクアセスメントは、自社の制御システムを守るために非常に重要なプロセスです。また、リスクは外的要因だけでなく、システムの導入・更新など内的要因によっても変化するため、基本的には1年に1回などの定期的な実施を、最低でもシステム構成に変更が発生した場合には必ず実施することをおすすめします。
当社は、各業界のガイドラインに対応したベースライン分析や詳細リスク分析、さらには無償の簡易リスクアセスメントといった豊富なバリエーションで、お客さまのリスクアセスメントの要望にお応えすることができます。ぜひ、東芝デジタルソリューションズへご相談ください。
今回は、制御システムにおけるリスクアセスメントの必要性とその特徴について説明しました。連載の第3回では、東芝独自の環境で検証している攻撃および防御の技術について解説します。どうぞご期待ください。
参考文献
[1] 独立行政法人 情報処理推進機構(IPA)「制御システムのセキュリティリスク分析ガイド 第2版(2023年3月版)」
https://www.ipa.go.jp/security/controlsystem/ssf7ph00000098vy-att/000109380.pdf (PDF形式)
[2] 東芝レビュー77巻3号(2022年5月)「CPSのセキュリティを担保するリスクアセスメント手法」
https://www.global.toshiba/content/dam/toshiba/jp/technology/corporate/review/2022/03/a08.pdf (PDF形式)
射水 亮(IMIZU Ryo)
株式会社 東芝 サイバーセキュリティ技術センター セキュリティ運用推進部
東芝デジタルソリューションズ株式会社 デジタルエンジニアリングセンター 制御セキュリティ事業推進部 サイバーセキュリティ第一担当
入社後、制御システムセキュリティの研究開発に従事するとともに、電力や社会インフラ、製造業の分野のお客さまに向けた、セキュリティに関するコンサルティング業務を担当している。
- この記事に掲載の、社名、部署名、役職名などは、2024年6月現在のものです。
- この記事に記載されている社名および商品名、機能などの名称は、それぞれ各社が商標または登録商標として使用している場合があります。
