こんにちは、さとうです。

2018年10月15日にIPAから
「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~
が公開されています。

本ガイドは、2017年に初版が公開されて以降、IPAが実際にリスク分析を支援してきた結果、得られたフィードバック等を反映したものです。
第2版では主にリスク分析手法の見直しによるリスク分析作業に要する工数の削減について更新しています。

67


主なリスク分析工数削減方法は以下の通りです。

1.資産のグループ化と資産種別に応じた脅威と対策候補を抽出(資産ベースのリスク分析)
2.優先度の高い攻撃シナリオ等の選定基準の決定と選定(事業被害ベースのリスク分析)


本ガイドではそれぞれのリスク分析工数削減方法について詳細に説明が記載されています。

<資産ベースのリスク分析>
1.資産のグループ化と資産種別に応じた脅威と対策候補を抽出
第2版では、事前準備段階で資産のグループ化を一括して実施する方法を紹介している。また、資産を資産種別(情報系資産・制御系資産・通信経路)のみで分類し、資産種別に応じた脅威と対策候補を抽出する方法を紹介している。

具体的には以下の手順となっています。

(1)ネットワーク資産のグループ化
 -同じネットワークに直列に接続されているネットワーク機器を一つにまとめる。

(2)非定常稼働機器の除外の検討
 -一時的にしか稼働しない非定常稼働機器を、分析対象に含めるか除外するかを検討する。

(3)情報系資産・制御系資産のグループ化
 -下記、①~③の条件を全て満たす情報系資産・制御系資産をグループ化する。
① 接続先ネットワークが同一
② 設置場所のセキュリティレベルが同一
③ 同一機能、類似機能を有する資産

本ガイドの事例では、例えば以下のように資産がグルーピングされています。

監視端末1,2,3 ⇒監視端末(接続先NW同一、設置場所同一、同一/類似機能のため)
ルータ、ファイアウォール ⇒ファイアウォール(ネットワーク資産のグループ化のため)
DMZ、SW(DMZ) ⇒DMZ(ネットワーク資産のグループ化のため)
パッチサーバ ⇒ 対象外(非定常稼働機器のため)
ヒストリアン、生産管理サーバ ⇒ヒストリアン(接続先NW同一、設置場所同一、同一/類似機能のため)
制御サーバA,B ⇒制御サーバ(接続先NW同一、同一/類似機能のため)
制御ネットワーク(情報側)、SW(制御ネットワーク) ⇒制御ネットワーク(情報側)(ネットワーク資産のグループ化のため)
コントローラ1,2,3 ⇒コントローラ(接続先NW同一、設置場所同一、同一/類似機能のため)

結果として、事例上では20の資産が12にグルーピングされています。


<事業被害ベースのリスク分析>
2.優先度の高い攻撃シナリオ等の選定基準の決定と選定
第2版では、攻撃ツリーの検討の基となる攻撃シナリオ、侵入口、攻撃者、攻撃ルートの検討の工程において、優先度の高い攻撃シナリオ、侵入口、攻撃者、攻撃ルートを選ぶための選定基準を提示し、分析対象とする攻撃ツリーを選定する方法を紹介している。

具体的には以下の手順となっています。

(1)攻撃シナリオは、事業被害レベルが最も大きい事業被害のケースを優先する。
 -事例では、事業被害レベルが最大の3のケースから優先する
 -初回の事業被害ベースのリスク分析では、分析する攻撃シナリオの数は、全部で10シナリオ程度を目安に、投入可能な予算や人員に応じて適宜決める
 ※攻撃シナリオの優先度の判断の例は以下の通りです。
表 6-5 攻撃シナリオの選定における優先度の判断例
 1 過去のインシデントにおける該当または類似するシナリオの有無。
 2 過去の事故事例やニアミス事例における該当または類似するシナリオの有無。
  ・ 重要な値や設定を過失により変更してしまい、問題が発生した事例がないか
 3 システム構成、仕様、運用を鑑み、攻撃が成功する可能性の高低。
  ・最終攻撃を、外部(事業者の社内ネットワーク、サプライヤーの社内ネットワーク、インターネット等)から実行することが可能か
  ・最終攻撃を防止/抑止する対策が、攻撃拠点で実施されているか 等

(2)侵入口として、最終攻撃に有利な機器を優先する。
 -初回の事業被害ベースのリスク分析では、最終攻撃に有利な機器を優先して分析することを推奨する。
 ※侵入口の優先度判断の例は以下の通りです。
表 6-7 物理アクセスによる攻撃の侵入口の選定における優先度の判断例
 1 機器に以下があり、使用可能か。
  ・ USB ポート
  ・ 通信インタフェース
  ・ 無線機能
 2 機器に以下を接続する定常運用があるか。
  ・ USB メモリ
  ・ DVD
  ・ ノートPC 等
 3 機器が攻撃拠点か。
 4 機器に操作インタフェースがあるか。
  ・ キーボード
  ・ タッチパネル
  ・ スイッチ 等
 5 機器が定常機器か。

(3)攻撃者は、細かくし過ぎずグルーピングして選定する。
 -事例では、初回の事業被害ベースのリスク分析では、まずは「悪意のある第三者」「内部関係者」のレベルで大別する。また、攻撃者の侵入可能性に応じて、攻撃者と侵入口による分析範囲の選定を行う。
表 6-10 攻撃者と侵入口による分析範囲の選定の一例
 事業者敷地内
  ・NW経由 ←悪意のある第三者
  ・物理アクセス ←内部関係者(過失)
 フィールド(敷地外)
  ・NW経由 ←対象外
  ・物理アクセス ←悪意のある第三者
 ※内部関係者(故意)は、有権限者による故意の攻撃は技術対策では防御が難しいため、本書の内部不正対策(付録B.3)にて対応する

(4)攻撃ルートについては、攻撃の難易度を考慮して選定する。
 -初回の事業被害ベースのリスク分析では、まずは、攻撃コストが低い攻撃ルートを適当数(20~100程度)選定して分析する
 ※攻撃ルート優先度の判断基準の例は以下の通りです。
表 6-13 攻撃ルートの選定における優先度の判断例
 1 侵入口から攻撃拠点までの正規のデータフローの有無。
 2 侵入口から攻撃拠点までの以下の状況。
  ・不正に突破する(認証情報の窃取、権限の昇格、設定の改ざん等を行う)必要がある経由の数
  ・機器間のアクセス制御の有無
 3 当該または類似ルートが、過去のインシデントで狙われた(使われた)ことの有無(自社のシステム構成、仕様、運用に照らして、狙われる可能性の高低)
 4 事業者から見た重要性(是が非でも攻撃を回避したいルート)。
  ・単一障害点(single point of failure)やそれに類する存在の有無 等


実際のリスク分析の現場では暗黙的もしくは例外ルールを設けて実施していると推察される方法を、本ガイドではわかりやすく実例を示しながら解説してくれています。

リスク分析を行う際は、どうしても網羅性や正確性が求められてしまいがちですが、人員も時間も限られている状況では、優先度を決めて進め、少しずつ検討範囲を広げていくのが実戦的といえます。


さとう