資産(機器)ベースのリスク分析とは、組織やシステムの「資産(機器)」を中心にリスクを評価する手法です。資産には機器、情報、ソフトウェア、人材などが含まれ、それぞれの重要度や価値、脅威や脆弱性の可能性を評価します。分析の目的は、どの資産が攻撃や障害による影響を受けやすいかを明確にし、リスク低減策や優先対策を決定することです。一般的には、資産ベースのリスク分析は 「資産ごとに脅威と対策を整理し、リスクを数値化して見える化」を行います。
- 目的
制御システムを構成する資産を網羅的に洗い出し、- 各資産の重要度
- 資産に想定される脅威(攻撃手法)
- 現行のセキュリティ対策と脆弱性
を整理・評価して、資産ごとのリスク値を算定する手法。
- 特徴
- 資産ごとのリスクを定量的に評価できる。
- 客観的・効率的に対策を検討する基盤となる。
- 必ず実施すべき基本手法(事業被害ベース分析よりも広範囲・網羅的)。
分析の流れ(5つのステップ)
資産ベースの分析は以下の手順で進める。
- 資産の列挙と重要度の決定
- 制御サーバ、HMI、EWS、コントローラ、ネットワーク機器、情報資産などをリスト化。
- 事前に定義した基準(例:事業影響が大・中・小の3段階)で「資産の重要度」を評価。
- 脅威(攻撃手法)と対策候補の記入
- IPAが整理した22種類の脅威分類を参照。
- 各資産に対し、想定される脅威と、それに対応するセキュリティ対策候補を整理する。
- 併せて「脅威レベル」(発生可能性の高さ)を評価。
- 現行セキュリティ対策の記入
- 実際に導入済みの対策をシートに記録(防御、検知/被害把握、事業継続の観点)。
- 対策候補にない独自対策も追記可能。
- 対策レベル/脆弱性レベルの評価
- 現行対策の有効性を「対策レベル」として数値化。
- その結果、各資産における「脆弱性レベル」を決定。
- リスク値の算定とまとめ
- 「資産の重要度 × 脅威レベル × 脆弱性レベル」でリスク値を計算。
- A~Eの5段階で評価(Aが最も高リスク)。
- 結果は「資産ベースのリスク分析シート」に整理。
アウトプット
- 資産ベースのリスク分析シート
- 各資産に対して、重要度・脅威・対策・脆弱性・リスク値を整理した表。
- IPAのサイトでひな型が公開されており、そのまま利用可能。
- リスク分布図(ヒストグラム)
- リスクの高い資産を視覚的に把握するために利用。
活用のポイント
- 資産ベース分析は「どの資産がどんな脅威に弱いか」を明確化し、
- 対策強化が必要な資産や脅威を抽出する。
- 工数削減のために「頻度の高い脅威に絞る」方法も有効。
- 事業被害ベース分析と組み合わせることで、網羅性と重点性を両立できる。
👉 要するに、資産ベースのリスク分析は 「資産ごとに脅威と対策を整理し、リスクを数値化して見える化する」 手法です。これを基盤として「どの資産の対策を優先するか」を判断し、次の「事業被害ベース分析」でより経営に直結する視点を補強していきます。
制御システムのセキュリティリスク分析ガイド 第2版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「制御システムのセキュリティリスク分析ガイド 第2版」に関する情報です。
www.ipa.go.jp
コメント