OTセキュリティ資産の重要度評価は、制御システムを構成する資産が停止・破壊・改ざんされた場合に事業や安全に及ぶ影響の大きさを判断するプロセスです。評価は、社会的影響、事業継続への影響、安全性や品質への影響などを基準に行い、資産ごとに「高・中・低」といった区分で整理します。これにより、どの資産を優先的に保護すべきかが明確になり、効果的かつ効率的なリスク低減策の立案やセキュリティ対策の優先順位付けに直結します。
資産の重要度とは?
資産を洗い出した後は、それぞれの資産が「どれだけ事業やシステムにとって重要か」を評価します。これを 資産の重要度 と呼び、資産が損なわれた場合の影響度を数値化するものです。
資産の重要度とは、その資産が攻撃や障害で損なわれたときに事業へ与える被害の大きさを示す指標です。
制御システムにおいて、どの資産をどの程度のセキュリティ強度で守るべきかを判断するための基準になります。
評価は以下を考慮して行います:
- システム資産としての価値(その資産の機能・役割の重要性)
- 事業被害(売上・信用・法規制への影響)
- 事業継続性への影響(停止時間・サービス混乱など)
評価の基本観点
資産が攻撃された場合に起こり得る結果を想定し、次の観点で評価します。
- 事業停止・システム停止時間
- 情報漏えいによる損失額
- 人的・環境的被害
評価ランク(1〜3)
資産の重要度は3段階で表します。
- 重要度 3(高)
- システムが長期(例:1週間以上)停止する恐れがある
- 情報漏えいで巨額(例:5億円以上)の損失
- 死亡事故や大規模な環境被害につながる可能性
- 重要度 2(中)
- システムが中期間(例:24時間〜1週間未満)停止する恐れ
- 情報漏えいで中規模(例:500万円〜5億円未満)の損失
- 重傷事故や中規模の環境被害の可能性
- 重要度 1(低)
- システム停止は短期間(例:24時間未満)にとどまる
- 情報漏えいの損失は小額(例:500万円未満)
- 人的被害は軽傷や無影響にとどまる
IEC 62443-2-1 における典型的な尺度例
| カテゴリー | 事業継続性計画(製造停止) | 情報セキュリティ(コスト・法的・信頼) | 産業活動の安全性 | 環境的安全性 | 国民への影響 |
|---|---|---|---|---|---|
| 重要度 3(高) | ・1サイトで7日以上停止 ・複数サイトで1日以上停止 | ・損失:5億円以上 ・重い刑事犯罪 ・ブランドイメージ喪失 | ・サイト内:死亡 ・サイト外:死亡または重大な地域インシデント | ・地域機関/国家機関からの召喚 ・広範囲かつ長期間の重大損傷 | ・複数の事業分野に影響 ・地域サービスの大規模中断 |
| 重要度 2(中) | ・1サイトで2日以上停止 ・複数サイトで1時間以上停止 | ・損失:500万円以上 ・軽い刑事犯罪 ・顧客の信頼喪失 | ・サイト内:休職または重傷 ・サイト外:苦情や地域社会への影響 | ・地域機関からの召喚 | ・1社を超える事業分野に影響の可能性 ・地域サービスへの影響の可能性 |
| 重要度 1(低) | ・1サイトで1日未満停止 ・複数サイトで1時間未満停止 | ・損失:500万円未満 ・法的問題なし ・信頼失墜なし | ・サイト内:応急手当レベルの怪我 ・サイト外:影響なし | ・小規模・限定的な放出(報告限度額以下) | ・個々の会社を超える影響なし ・地域サービスへの影響なし |
実際の使い方
- 各事業者は、自社の業界特性(停止許容時間、損害額の規模、安全基準など)に応じて、評価基準を定性的(言葉で表現)または定量的(数値で表現)に設定します。
- 例)重要インフラ分野では「電力:数時間停止でも重大、製造:1日停止で重大」など、基準が異なる。
- ワークショップや関係者との議論で、各資産ごとに評価を決定します。
制御システムのセキュリティリスク分析ガイド 第2版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「制御システムのセキュリティリスク分析ガイド 第2版」に関する情報です。
www.ipa.go.jp
コメント