MSD

ここでは、リスクレジスター（Risk Register）の重要性と活用方法を解説します。CRA（Cyber Resilience Act）法に準拠する上で、未緩和リスクを追跡・管理することは必須です。リスクレジスターの目的リスクレジスターは...

1. リスク値の定義リスク値 ＝ 「資産の重要度」 × 「脅威レベル」 × 「脆弱性レベル」各評価が 1〜3 の整数値であるため、リスク値は 最小 1、最大 27 になります。値が大きいほど、その資産は「リスクが高い」と判断されます。2. ...

現状の対策確認と対策レベル「対策確認」とは、脆弱性レベルを決定するために実施する重要な工程です。これは、対象となる資産やシステムに対して、実際にどのようなセキュリティ対策が導入され、どの程度有効に機能しているかを体系的に確認することを意味し...

脅威（攻撃）を特定機器（装置）に対する脅威 と 通信経路（ネットワーク）に対する脅威 に分け、各項目を簡単に説明します。機器（装置）に対する脅威（主なもの）不正アクセス（リモートからの侵入）説明：ネットワーク経由で機器に侵入し、操作や情報取...

OTセキュリティ資産の重要度評価は、制御システムを構成する資産が停止・破壊・改ざんされた場合に事業や安全に及ぶ影響の大きさを判断するプロセスです。評価は、社会的影響、事業継続への影響、安全性や品質への影響などを基準に行い、資産ごとに「高・中・低」といった区分で整理します。

OTセキュリティ資産の洗い出しは、制御システムに含まれるPLCやHMI、制御サーバ、ネットワーク機器などを網羅的に把握し、機能・設置場所・接続先ネットワーク・利用プロトコル・稼働形態・セキュリティ対策状況を整理するプロセスです。

リスク評価の考え方リスク ＝ 「資産の重要度」 × 「脅威レベル」 × 「脆弱性レベル」つまり、その資産がどれだけ重要か（損なわれたときの影響度）攻撃や脅威が発生する可能性攻撃を受け入れてしまう可能性（脆弱性の高さ）を掛け合わせて算出します...

資産(機器)ベースのリスク分析とは、組織やシステムの「資産(機器)」を中心にリスクを評価する手法です。資産には機器、情報、ソフトウェア、人材などが含まれ、それぞれの重要度や価値、脅威や脆弱性の可能性を評価します。分析の目的は、どの資産が攻撃...