セキュリティアセスメントとは? 3つの工程と実施のポイント
企業の事業活動では、基幹システムやIT関連機器などのIT資産に加えて、業務データ、顧客情報などのさまざまな情報資産を取り扱います。
IT資産・情報資産を守るには、外部からの攻撃や内部不正などのリスクを把握・分析して必要なセキュリティ対策を講じることが求められます。そこで重要となるのが“セキュリティアセスメント”です。
IT部門や情報セキュリティ部門、OTセキュリティ部門の管理者のなかには、「セキュリティアセスメントとは何なのか」「どのように取り組むのか」など疑問を持つ方もいるのではないでしょうか。
この記事では、セキュリティアセスメントの概要や取り組む流れ、実施する際のポイントについて解説します。
目次[非表示]
セキュリティアセスメントとは
セキュリティアセスメントとは、情報資産に対するリスクを特定・分析・評価するプロセスを指します。
工場・プラントなどの製造現場においては、稼働データや生産データだけでなく、設備機器・システムといったOT(※)領域に含まれるIT資産もセキュリティアセスメントの評価対象に含まれます。
▼セキュリティアセスメントを実施する主な目的
- 想定される脅威と発生の可能性を把握する
- 脅威が発生した場合の被害規模・影響を想定する
- IT資産・情報資産の重要度に応じたセキュリティ対策の優先順位を決める
セキュリティアセスメントを実施してIT資産・情報資産に対するリスクを可視化することによって、組織での共通認識を形成するとともに、セキュリティ対策の課題に応じた対策計画を立案できます。
なお、OTセキュリティについてはこちらの記事で詳しく解説しています。
※生産現場にある製造機器・設備などの制御システムを指す
セキュリティアセスメントにおけるリスクの考え方
セキュリティアセスメントでは、企業が保有するIT資産・情報資産に対して起こり得る脅威のリスクを特定・分析・評価します。
ここでいうリスクとは、3つのセキュリティ要素をどれくらいのレベルで確保する必要があるかを基準に考えることが一般的です。
▼セキュリティの3要素
要素 |
概要 |
機密性 |
機密情報へのアクセスを制限して、権限を持つユーザーのみが閲覧できるようにすること |
完全性 |
データの不正な改ざんを防いで正確性を確保すること |
可用性 |
IT機器・設備やデータを必要なときに利用できる状態であること |
工場でのセキュリティアセスメントを実施する流れ
セキュリティアセスメントを実施する際は、業務プロセスやITインフラの状況を把握してリスクの特定を行ってから、現状の問題点を踏まえて対策計画を策定する必要があります。
ここからは、経済産業省が発表した『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』を基に、工場のセキュリティアセスメントを実施する流れを解説します。
➀業務プロセスの全体像を可視化する
工場の製造機器・システムがどのように使用されているかを把握するために、業務プロセスの全体を可視化する必要があります。
各部門で発生する業務内容と部門間のつながり、データの流れなどを矢印で示した概略図を作成すると、全体の構成を分かりやすく把握できます。
▼概略図に含める項目
- 工場内で発生する業務の種別
- 各業務を担当する部門
- 業務を進行する流れ
- 製造物(製品や部品)の流れ
- データの流れ
- お金の流れ など
②ITインフラ環境の全体像を可視化する
工場内にあるIT関連機器やOTシステムの構成状況を一覧化して、ITインフラ環境の全体像を可視化します。
ITインフラ環境の構成要素を洗い出して、それぞれの関係性を示した管理台帳と模式図を作成することで、ネットワーク・装置・機器・データなどのIT資産・情報資産を見やすく整理できます。
▼ITインフラの管理台帳に記載する項目
- ITインフラの種別(ネットワーク・装置機器・データ など)
- 各種別の構成要素(設備機器やシステムの名称)
- 構築環境(物理・仮想)
- OS
- スペック
- バックアップの方法 など
▼ITインフラを示した模式図の例
画像引用元:経済産業省『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』
出典:経済産業省『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』
③OT領域のセキュリティ課題を特定する
工場内のIT資産を洗い出してITインフラの状況を可視化できたら、OT領域におけるセキュリティの課題を特定します。
当ガイドラインで示されているチェックリストを用いて、セキュリティ対策の達成度を段階的に評価することにより、現状の課題を明らかにできます。
これにより、発生の可能性が高いリスクを想定して、業務の重要度と脅威の影響度に応じたセキュリティの要求レベルを検討できます。
▼チェックリストの項目例
- 業務と保護対象となるIT資産の整理ができているか
- OT領域のセキュリティポリシーを策定・周知しているか
- 事業継続計画(BCP)を策定しているか
- OTシステムが攻撃を受けた際の事業に対するリスクを想定しているか
- ITインフラへの攻撃手法や脆弱性を特定して対策を講じているか
- OTシステムのベンダーや関連事業者との連携体制を構築しているか など
なお、OTセキュリティについてはこちらの記事で解説しています。
セキュリティアセスメントを実施する際のポイント
セキュリティアセスメントを実施する際は、工場の現場で起こり得るリスクをデータに基づいて分析・評価することが重要です。リスクの分析・評価方法には、以下が挙げられます。
▼リスクの分析・評価方法
- 過去のインシデント事例に基づいてシナリオ分析を行う
- ネットワークの監視による通信分析を行う
- セキュリティ診断(脆弱性診断)を実施する など
現状のリスクを可視化して、運用体制や技術的対策などに関する評価を行うことで、セキュリティの強化が求められる箇所を判断できるようになります。
まとめ
この記事では、セキュリティアセスメントについて以下の内容を解説しました。
- セキュリティアセスメントの意味
- 工場でのセキュリティアセスメントを実施する流れ
- セキュリティアセスメントを実施する際のポイント
セキュリティアセスメントを実施してIT資産・情報資産に対するリスクを特定・分析・評価することにより、現状の課題に応じた対策計画を立案できます。
工場のOT領域を含むセキュリティアセスメントを実施する際は、業務プロセスやITインフラ環境を洗い出して、セキュリティ対策の達成度を段階的に評価することがポイントです。
『萩原テクノソリューションズ』では、工場の製造工程を分析してリスクに応じたセキュリティ運用体制を構築するソリューションを提供しております。セキュリティアセスメントで得られた情報と貴社の課題を基に、現場に必要な対策を設計します。
詳しくは、こちらのページをご確認ください。