制御システムリスク分析ガイドが改訂 - 工数削減や解説拡充を実施

情報処理推進機構（IPA）は、「制御システムのセキュリティリスク分析ガイド」の第2版を公開した。作業工数を削減できるよう、分析手法を見直した。同機構のウェブサイトよりダウンロードすることができる。

同ガイドは、制御システムを利用する事業者において、セキュリティ上のリスク分析を行うための手順やノウハウなどを収録した資料。2017年10月に第1版を公開。「活用の手引き」なども提供している。

具体的には、資産、事業被害の側面からリスクを分析する手法について解説。一方のみを利用することもできるが、相互補完的に利用することでより充実した評価を行うことが可能。

資産ベースのリスク分析手法では、システムを構成する各資産を対象に、重要度や想定される脅威、脆弱性を指標として分析を実施。

また事業被害ベースの評価は、同ガイド独自の評価手法としており、制御システムが関わる事業被害の内容やレベル、攻撃が発生する可能性、脆弱性などを指標とし、リスクを分析できる。

今回リリースした第2版では、リスク分析手法の簡略化や、選定基準の提示などにより、従来から工数を削減。リスク分析の基本事項に関する説明を拡充したほか、第1版を活用する事業者からのフィードバックや意見を反映させている。

（Security NEXT - 2018/10/17 ）ツイート