« 気象庁 「震度階級関連解説表」が新しくなりました。。。 | Main | 金融庁 「内部統制報告制度に関するQ&A」の再追加について »

2009.04.01

IPA 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書

 こんにちは、丸山満彦です。ちょっと世の中に遅れ気味ですわ。。。IPAが「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」を公表していますね。。。

 
【IPA】
・2009.03.30 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書

=====
概要
 従来、専用の機器やソフトウェアを使用していた重要インフラ の制御システムにおいても、近年標準プロトコル(TCP/IPやイーサネット等)や汎用製品が導入され、情報システムとの接続や連携が進んでいます。このため、今後、制御システムにおいても、情報システムで発生している脆弱性を狙った攻撃やワームの脅威などの情報セキュリティ上の課題が顕在化する可能性があります。
 IPAでは、制御システムの情報セキュリティに関する国内外の動向を調査し、サービス継続を重視した上での適切なセキュリティ対策について検討するため、重要インフラの制御システムに係わる有識者による検討会(ICS(Industrial Control Systems)セキュリティ&サービス継続検討会、委員長:渡辺 研司 長岡技術科学大学准教授)を設置し、制御システムセキュリティの調査を行いました。
=====

調査報告書
委員名簿
付録

(参考)
プレスリリース全文

目次です。。。

=====
1. はじめに
 1.1. 本調査の背景と目的
  1.1.1 調査の背景
  1.1.2 調査の目的
 1.2. 本調査の概要
  1.2.1 調査の内容
  1.2.2 本調査における用語の定義
  1.2.3 調査の方法
  1.2.4 調査の対象
 1.3. 用語および略語の定義
  1.3.1 用語定義一覧
  1.3.2 略語一覧

2. 重要インフラの制御システムセキュリティに関する調査
 2.1. 米国における状況
  2.1.1 重要インフラの制御システムセキュリティに対する取り組み体制
  2.1.2 制御システムのオープン化の状況
  2.1.3 制御システムのセキュリティ課題の顕在化
  2.1.4 制御システムのセキュリティ対策状況
  2.1.5 制御システムに対するセキュリティ基準・規格等の策定状況
  2.1.6 制御システムに関する脆弱性関連情報の公開状況
 2.2. 国内における状況
  2.2.1 制御システムにおけるオープン化の状況
  2.2.2 制御システムのセキュリティ課題と対策
  2.2.3 セキュリティ標準規格への対応
  2.2.4 制御システムに関する脆弱性関連情報の公開状況

3. 制御システムと情報システムとの連携でのサービス継続とセキュリティの調査
 3.1. 制御システムと情報システムとの連携の拡大
 3.2. 制御システムから見た情報システムとの連携によるセキュリティリスク
 3.3. サービス継続を可能とするためのセキュリティ対策の現状と方向性
 3.4. 日米における対応状況の違い

4. 調査結果から明らかになった制御システムセキュリティの特徴と課題
 4.1. 日本と米国の現状についての考察
 4.2. 制御システムの捉え方に関する考察
  4.2.1 「広義の制御システム」の一部としての「狭義の制御システム」の考え方
  4.2.2 制御システムにおける「オープン化」の考え方
  4.2.3 制御システムと情報システムにおけるセキュリティの考え方
  4.2.4 制御システムのセキュリティ対策を向上させるための環境の考え方
 4.3. 調査結果から導き出される制御システムセキュリティの課題の整理

5. 今後に向けた提言
 5.1. さらなる調査深耕の必要性
  5.1.1 制御システム全体像の調査と現状把握
  5.1.2 欧州における制御システムセキュリティに対する取り組みの調査
  5.1.3 政府における取り組みの方向性の調査
 5.2. 調査を踏まえたセキュリティ対策のあり方の検討
  5.2.1 日本としての制御システムセキュリティのガイドライン確立
  5.2.2 制御機器ベンダおよび事業者に対する啓発
  5.2.3 セキュリティ検証環境の整備
  5.2.4 国際協調の必要性

〔調査資料一覧〕
〔図表一覧〕
=====

|

« 気象庁 「震度階級関連解説表」が新しくなりました。。。 | Main | 金融庁 「内部統制報告制度に関するQ&A」の再追加について »

Comments

お久しぶりです。
中堅企業のJ-SOX担当者のtonchanです。

 これは当たり前のことです。前職でシステムのPMをしていた経験からすると、
これまでは情報システム部門が管理する「ビジコン」と設備部門が管理する
「プロコン」に分かれていました。
この「プロコン」と呼ばれていた部分に管理機能(生産管理、原価管理等)
の機能が盛り込まれ、「財務諸表の信頼性」に影響を与える可能性が発生しているのです。

 実施基準から考えるとこの「プロコン」部分に対してもIT全般統制は及びますが、
これまで設備の延長として考えられた部分に対してどのような統制を考えるかが問われている、と考えます。

 今回の基準はその意味で当然であると思います。更に今後の統制に対する展開を期待しております。
この部分はシステム監査の対象領域かどうかにも、個人的な興味があります。

Posted by: tonchan | 2009.04.02 at 10:12

tonchanさん、コメントありがとうございます。
 たとえば、従来はどうであれば現在の状況で判断するしかないわけですよね。制御系システムがIPネットワークにつながって外部からの攻撃にさらされているのであれば対応する必要があるわけですし、生産系システムが財務報告に影響をおよぼす影響が大きいのであれば、内部統制の評価が必要になるでしょうね。
 CO2等の排出量を生産系システムからの情報に基づいて計算する必要があれば、そのコントロールも重要となりますね。。。

Posted by: 丸山満彦 | 2009.04.04 at 20:41

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/44537363

Listed below are links to weblogs that reference IPA 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書:

« 気象庁 「震度階級関連解説表」が新しくなりました。。。 | Main | 金融庁 「内部統制報告制度に関するQ&A」の再追加について »