OT資産の脆弱性レベルを評価(ステップ4)

現状の対策確認と対策レベル

「対策確認」とは、脆弱性レベルを決定するために実施する重要な工程です。これは、対象となる資産やシステムに対して、実際にどのようなセキュリティ対策が導入され、どの程度有効に機能しているかを体系的に確認することを意味します。単に存在の有無を確認するだけでなく、運用実態や維持管理状況まで含めて把握することが求められます。なぜなら、導入されているはずの対策が不十分に運用されていたり、更新が滞っている場合、脆弱性レベルは大きく変わるためです。

この「対策確認」は、資産ごとのリスク評価の前提となる重要ステップであり、セキュリティの強度を測るための基準点となります。

具体的なチェック観点

技術的対策

システムやネットワークに直接関係する防御策です。

  • ネットワーク防御
    ファイアウォールの設置状況や、そのルール設定が最新かどうかを確認します。また、IDS/IPS(侵入検知/防御システム)が導入されているか、単一層なのか多層防御構造なのかも評価対象です。例えば、外部からの攻撃を防ぐファイアウォールと、内部の異常挙動を監視するIDSを組み合わせることで、防御力が大きく向上します。
  • 認証・アクセス制御
    アカウント管理の適切性を確認します。パスワードポリシーが強制されているか、多要素認証が導入されているか、権限分離(管理者権限の濫用防止)ができているかなどが重要です。特に制御システムの場合、不要な管理者アカウントの放置が大きなリスクにつながります。
  • 暗号化の実装
    通信経路でVPNやTLSが利用されているか、重要データが保存時に暗号化されているかを確認します。暗号化が欠けていると、情報漏えいのリスクが高まり、脆弱性レベルも上がります。
  • システム更新とパッチ管理
    ソフトウェアやOSのセキュリティパッチ適用状況を確認します。自動更新が可能か、あるいは定期的な手動更新プロセスが運用されているかが評価のポイントです。更新が遅れると既知の脆弱性を抱え込むことになり、脆弱性レベルが上がります。

物理的対策

物理的アクセスに関連する防御策です。

  • 入退室管理
    サーバルームや制御装置を設置している場所への入退室管理が適切か確認します。ICカードや生体認証などの導入があればリスクは低減します。逆に「鍵一本」で管理している場合はリスクが高いと評価できます。
  • 監視・記録
    監視カメラや入退室ログの運用状況を確認します。形だけのカメラで録画や監視が行われていなければ意味が薄く、脆弱性レベルは高いままとなります。
  • 機器の物理的保護
    制御機器やサーバの筐体が施錠されているか、外部から容易に持ち出せないかを確認します。装置の盗難や改ざんが可能であれば、重大な脆弱性となります。

運用的対策

日常運用や組織的な対応力に関する防御策です。

  • セキュリティログの監視と分析
    ログを収集しているだけでなく、定期的にレビューや分析が実施されているかが重要です。監視が形骸化していれば攻撃の兆候を見逃しやすく、脆弱性レベルは上昇します。
  • インシデント対応手順(CSIRT)
    事故発生時の報告ルート、対応マニュアル、復旧体制が整備されているかを確認します。体制が整っていれば被害を最小化できますが、未整備なら小さなインシデントでも大きな事故につながります。
  • バックアップと復旧手順
    データやシステム構成のバックアップが定期的に取得され、復旧テストが行われているかを確認します。バックアップがあっても復元できない場合は実質的に対策なしと同じです。

対策レベルから脆弱性レベルへの判定

この「対策確認」の結果を総合し、以下のように対策レベル(1~3)を判定します。

対策レベル 1(なし)
ほぼ無防備か、形骸化した対策のみ。 → 脆弱性レベルは 3(高)

対策レベル 3(十分)
多層的かつ適切な対策が導入・運用されている。 → 脆弱性レベルは 1(低)

対策レベル 2(一部)
基本的な対策はあるが、抜けや不十分な部分がある。 → 脆弱性レベルは 2(中)

脆弱性レベルの求め方について整理すると次のようになります。

脆弱性レベル

脆弱性レベル とは、資産に対して脅威が発生した場合に、その攻撃を受け入れてしまう可能性、つまり攻撃が成功する可能性を示す評価値です。

脆弱性レベルは 1~3の3段階評価 で表します。

脆弱性レベル

  • 脆弱性レベルとは、脅威(攻撃手法)が発生したときに「受け入れてしまう可能性」、つまり攻撃が成功する可能性を表す評価値です。
  • 3段階(1~3)で評価する。
    • 3:脅威を受け入れる可能性が高い(=攻撃が成功しやすい)
    • 2:受け入れる可能性が中程度
    • 1:受け入れる可能性が低い(=攻撃が成功しにくい)

評価の仕組み

脆弱性レベルは、直接評価するのではなく 「対策レベル」との双対関係 から求める。

対策レベルの定義

  • 脅威に対してどの程度のセキュリティ対策が実施されているかを3段階で評価する。
    • 3:対策が十分、攻撃成功の可能性は低い
    • 2:一部対策あり、攻撃成功の可能性は中程度
    • 1:対策なし、攻撃成功の可能性は高い

対策レベルと脆弱性レベルの対応表

対策レベル脆弱性レベル
3(十分な対策あり)1(脆弱性は低い)
2(対策はあるが不十分)2(脆弱性は中程度)
1(対策なし)3(脆弱性は高い)

評価の実務手順

  1. 脅威(攻撃手法)を特定する。
  2. 現状のセキュリティ対策状況を確認する。
    • 防御、検知、事業継続などの観点から、導入済みの対策を洗い出す。
  3. 対策レベルを評価する(1~3)。
  4. 脆弱性レベルを算出する(上表の対応関係に従う)。
  5. 脆弱性レベル一覧表に記入し、リスク分析シートに転記する 。

✅ まとめると:
脆弱性レベルは「攻撃成功の可能性」を表す指標で、セキュリティ対策がどの程度有効かを示す「対策レベル」から逆算して求めます。

コメント