安全設計

このでは、CRA（Cyber Resilience Act）に準拠させるための適合性評価プロセスについて解説します。このプロセスの最終成果物は、EU適合宣言（Declaration of Conformity）です。適合性評価の概要CRAで...

近年、スマート監視システムは企業や自治体で急速に普及しています。しかし、同時にサイバー攻撃や不正アクセスといったリスクも増大しており、製品のライフサイクル全体でセキュリティを確保することが不可欠です。そこで重要となるのが、ユーザー向けセキュ...

OT製品の脆弱性管理は、CRAおよびIEC 62443に基づき、特定・評価・修正・通知のプロセスで進められます。CVSSスコアで優先度を決定し、緊急は7日以内、クリティカルは30日以内など修正期限を設定。修正困難な場合はリスクレジスターに記...

ここでは、リスクレジスター（Risk Register）の重要性と活用方法を解説します。CRA（Cyber Resilience Act）法に準拠する上で、未緩和リスクを追跡・管理することは必須です。リスクレジスターの目的リスクレジスターは...

1. リスク値の定義リスク値 ＝ 「資産の重要度」 × 「脅威レベル」 × 「脆弱性レベル」各評価が 1〜3 の整数値であるため、リスク値は 最小 1、最大 27 になります。値が大きいほど、その資産は「リスクが高い」と判断されます。2. ...

現状の対策確認と対策レベル「対策確認」とは、脆弱性レベルを決定するために実施する重要な工程です。これは、対象となる資産やシステムに対して、実際にどのようなセキュリティ対策が導入され、どの程度有効に機能しているかを体系的に確認することを意味し...

脅威（攻撃）を特定機器（装置）に対する脅威 と 通信経路（ネットワーク）に対する脅威 に分け、各項目を簡単に説明します。機器（装置）に対する脅威（主なもの）不正アクセス（リモートからの侵入）説明：ネットワーク経由で機器に侵入し、操作や情報取...

OTセキュリティ資産の重要度評価は、制御システムを構成する資産が停止・破壊・改ざんされた場合に事業や安全に及ぶ影響の大きさを判断するプロセスです。評価は、社会的影響、事業継続への影響、安全性や品質への影響などを基準に行い、資産ごとに「高・中・低」といった区分で整理します。

OTセキュリティ資産の洗い出しは、制御システムに含まれるPLCやHMI、制御サーバ、ネットワーク機器などを網羅的に把握し、機能・設置場所・接続先ネットワーク・利用プロトコル・稼働形態・セキュリティ対策状況を整理するプロセスです。

リスク評価の考え方リスク ＝ 「資産の重要度」 × 「脅威レベル」 × 「脆弱性レベル」つまり、その資産がどれだけ重要か（損なわれたときの影響度）攻撃や脅威が発生する可能性攻撃を受け入れてしまう可能性（脆弱性の高さ）を掛け合わせて算出します...