IPAが、「制御システムのセキュリティリスク分析ガイド補足資料　インシデント事例」を更新した。

下記のページでPDFファイルの閲覧、ダウンロードが可能である。

https://www.ipa.go.jp/security/controlsystem/incident.html

本ガイドは、制御システムに対して重大な被害を与えうるサイバー攻撃に対し、「事業以外ベースのリスク分析手法」を紹介する資料である。

これは、システムで実現している事業やサービスに対して、事業被害とそのレベル、事業被害を引き起こす攻撃ツリーの発生可能性、攻撃に対する脆弱性の3つを評価指標として、リスクを評価する分析手法*1とされる。

2017年に第１版が公開され、2020年には細部の記載を修正するとともにインシデント事例等を追加した第２版が公開されている。

インシデント事例集はこのガイドの補足資料として、主要な制御システムに対するサイバー攻撃が行われた事例ごとに取り上げたものであり、実際の攻撃事例の中でも攻撃の手順＝攻撃ツリー、攻撃局面ごとの手法や対策等が実例に基づき詳しく解説されている。

今回はともに2021年に米国で発生した、

●　水道局への不正侵入事案*2

●　パイプラインへのランサムウェア攻撃*3

の２事案が取り上げられた。

どちらも最近米国で発生した制御系に対するサイバー攻撃事例であり、人々の生活に直結する基幹インフラが直接攻撃を受けて、場合によっては多くの人々の実生活や人命すら脅かしかねないような実害を生じた事例として、非常に注目を集めた。

制御システムは、従来固有の閉鎖的なシステムで構成され、インターネットやサプライチェーンのように攻撃対象となることは少なかったが、昨今、制御システムのネットワーク化、インターネットへの接続等に伴い攻撃が増加している。また攻撃手法の進歩やダークネット上での情報拡散等がこの傾向に拍車をかけているともいわれる。

今回の資料の公開は、昨今の重大なインシデントの事例を紹介しつつ、このような傾向に対する対策の必要性を周知するものである。