工場セキュリティへの原点回帰として、第2回で情報セキュリティとの違いを振り返りました。続く第3回では、あらためて工場セキュリティ対策までの道筋をたどりながら、リスクアセスメントの本質を追求します。

工場セキュリティの基本-3-図1

対策の進め方を振り返る

皆さんは、「なぜセキュリティ対策が必要なのですか?」と素朴に質問されたら、どう答えますか?
少し戸惑いながらも、「OTのシステム化が進んだから」「サイバー攻撃の被害が増えているから」「企業として対策は当然のことだから」などと答えるのが聞こえてきそうです。
このようにストレートに問われると、思わず返答に困るのではないでしょうか。

そこで、改めて考えてみましょう。
本来、セキュリティ対策を行うということは、その要因として対策が必要なリスクが存在するからです。「なんとなく心配だから…」といった曖昧な状況では、セキュリティ対策の実施には至らないのではないでしょうか?たとえば、「最近どうも体がだるい…」という理由だけでは風邪薬は飲まないことが多いように。喉の痛みを主とした風邪の症状があれば、初めて喉の痛みに効く風邪薬を選びます。さらに症状が悪化すれば、医療機関を受診することを考えます。つまり、リスクに応じて講じる対策は変わるのです。考えてみれば、ごく当たり前のことです。

しかし、実際にはどうでしょう。「同業他社も実施しているから」「セキュリティ侵害の事例を知って心配になった」「年度末にかけて予算を消化するため」などの声を聞くことがあります。また、セキュリティ対策のベストプラクティスを揃えて、「対策ありき」で実施を進める企業が多いのも事実です。
目的と手段が逆転し、対策を進めるのが目的にならないよう十分注意が必要です。

工場セキュリティの基本-3-図2

リスクの把握が原点

適切な対策を施すには、その要因となるリスクの把握が非常に重要となります。なぜなら、そもそもリスクを取り違えていると、対策は的外れになるからです。
そこで、効果的なセキュリティ対策を導くためのリスクアセスメントが欠かせません。以下にリスクアセスメントについて、少し踏み込んで説明をしていきます。
「リスクアセスメント=リスク分析」のように示されることも多いと思いますが、厳密にはリスクアセスメントとリスク分析は異なります。国際標準のISO31000(リスクマネジメントー指針)を参照すると、次のような図でプロセスが示されています。

工場セキュリティの基本-3-図3

つまり、リスクアセスメントとは、「リスク特定」、「リスク分析」および「リスク評価」を含む、プロセス全体を指すものなのです。

  • リスクの特定
    リスクを見つけてそれを認識することです。たとえば、「機器調整用に送られてきたUSBメモリを接続した際に、未知のランサムウェアに感染する」といったことです。
  • リスク分析
    リスクの内容を把握してそのレベルを決めることです。脅威や脆弱性、影響度などを、数段階のレベルで示してリスク値を求めます。
  • リスク評価
    リスク分析した結果(リスク値)をリスクの受容基準と比較し、受容する/しないを決めます。受容とは、リスクを受け入れる(現状のままにする)ことです。

そのようなプロセスを経て、リスクが受容できない場合には、現状のセキュリティ対策の見直しや、新たなセキュリティ対策の追加を検討します。

具体的な対策までの道筋

リスクアセスメントの結果からセキュリティ対策を検討するプロセスが、「リスク対応」です。リスク対応において、一般的に次の4つの選択肢から対策の方向性を選ぶことになります。

  • 低減
    リスクの発生可能性を下げる、もしくはリスクの顕在化時の影響を小さくする、またその双方の対策をとることです。受容できないリスクに対して低減策(対策)を講じます。
  • 回避
    リスクの発生要因を取り除くことです。たとえば、リモート保守にかかわるリスクであれば、リモート保守そのものを廃止するといったことです。
  • 移転(共有)
    リスクを他の組織に移すことです。たとえば、サイバー保険に加入し、被害が発生した際の補償を受けることなどです。
  • 受容
    リスクに対して対策を行わず、そのまま受け入れることです。リスクが受容基準より低い場合が該当しますが、リスクが高くても現実的に対策ができない場合に、そのリスクを十分認識した上で受容することもあります。

よって、セキュリティ対策の多くは、リスク対応としてリスクを下げる「低減」を選択し、具体的なセキュリティ対策へ落とし込んでいくわけです。その際に、活用するのが「管理策」というものです。管理策とは、セキュリティ対策の国際標準やガイドラインで示される対策の要件です。

たとえば、1つのネットワークセグメントの中に、重要性の異なる制御システムが混在しており、重要性の低いシステムへのセキュリティ被害が重要性の高いシステムへと波及するリスクがあるとします。このリスクを低減するには、システムの重要性に応じて適切にネットワークを分けることが必要です。

ここでは、産業制御システム等を対象にしたセキュリティマネジメントシステムの国際標準であるIEC 62443-2-1(Edition 1.0)から、該当する管理策を探してみます。すると、ネットワークの分割に関して、次の3つの管理策が存在します(ここでは項番と項目名だけを記載)。

  • 4.3.3.4.1 ネットワーク分割アーキテクチャの策定
  • 4.3.3.4.2 高リスクIACSの隔離又は分割の採用
  • 4.3.3.4.3 障壁装置による不要な通信のブロック

このように、リスクに対応する管理策の要求事項を参考にしながら、具体的な対策内容へ詳細化することで、リスクに対してより効果の高い対策を検討する必要があるのです。

工場セキュリティの基本-3-図4

第4回では、今まで振り返った基本を踏まえながら、応用へのステップアップについて説明します。

執筆者

KPMGコンサルティング
顧問 福田 敏博 ※掲載当時

いまさら聞けない工場セキュリティの基本

関連リンク

工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

 

お問合せ