2022-12-05 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、国内の産業用制御システム保有事業者のセキュリティ対策を促進するために「産業用制御システムのセキュリティ -10大脅威と対策 2022-」を発表しました。これはドイツ連邦政府 情報セキュリティ庁(BSI)が作成したものをIPAが許可を得て翻訳したものです。
産業用制御システム(ICS)のセキュリティ -10大脅威と対策2022-
産業用制御システムは、電力、ガス、水道、鉄道等の社会インフラや、石油、化学、鉄鋼・自動車・輸送機器、精密機械、食品、製薬、ビル管理等の工場・プラントにおける監視・制御や生産・加工ラインにおいて用いられています。
現在の制御システムは我々の社会や産業の基盤を支えており、サイバー攻撃等で稼働が阻害された場合、社会的な影響や事業継続上の影響が大きいため、セキュリティ対策の向上が急務となっています。
2022年5月、ドイツ連邦政府 情報セキュリティ庁(BSI)は、産業用制御システムにおける危険度の高い10種類の脅威とその対策をまとめて、「産業用制御システムのセキュリティ -10大脅威と対策2022-」(英語版)(脚注1)として公開しました。
IPAは、BSIの許可を得て、同資料の日本語訳を作成しました。
本書で示されている脅威は、日本国内でも共通の事項が多く、事業者にとってこれらの脅威とその発生要因、具体的な手口、および対策を体系的に理解することに役立ちます。
2022年版では、多くの脅威が2019年版から変化はありませんが、サプライチェーンにおけるソフトウェアとハードウェアの脆弱性がもたらす脅威が追加されています。
なお、資料には、制御システムを保有する事業者のセキュリティレベルの自己評価に役立つ、セルフチェックリストが含まれています。また、チェックリスト実施後に得られたスコアに対して、実施すべき推奨事項を示しています。これらを材料に自組織の現状把握ができ、対策の方針検討の着手が可能です。
(脚注1)これまで2014年、2016年、2019年に公開されている。
産業用制御システムのセキュリティ 10大脅威(2022年)(脚注2)
2019年からの傾向
| 産業用制御システムのセキュリティ 10大脅威(2022年)(脚注2) | 2019年からの傾向 |
| リムーバルメディアや外部機器経由のマルウェア感染 | → |
| インターネットやイントラネット経由のマルウェア感染 | ↑ |
| ヒューマンエラーと妨害行為 | → |
| 外部ネットワークやクラウドコンポーネントの攻撃 | ↗ |
| ソーシャルエンジニアリングとフィッシング | → |
| DoS/DDoS攻撃 | → |
| インターネットに接続された制御コンポーネント | ↗ |
| リモートメンテナンスアクセスからの侵入 | ↗ |
| 技術的な不具合と不可抗力 | → |
| サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性 | ↑ |
(脚注2)産業用制御システムにとって最も危険度の高い10種類の脅威を順不同で列挙しており、脅威の順序は、1位~10位といった順位を表しているものではない。
資料には、BSIの許可を得て、IPAが脅威の概要を示すイラストを追加しています。
[イラスト例] サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性
資料のダウンロード
■ドイツBSI「産業用制御システム(ICS)のセキュリティ -10大脅威と対策2022-」
(PDFファイル 2.3MB)
翻訳原文(英語)
※ドイツBSIのサイト
■Industrial Control System Security :Top 10 threats and countermeasures 2022 [English] v1.5
(PDFファイル 1.0MB)
産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2019-
■産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2019-
本ページに関するお問い合わせ
IPA セキュリティセンター(IPA/ISEC)
