制御システムのセキュリティ関連文書(JPCERT/CC+IPA)
こんにちは、丸山満彦です。IPAとJPCERT/CCから制御システムのセキュリティ関連文書が公表されていますね。。。
IPAの報告書はおもに社会インフラの制御システムのセキュリティに関連するもので、前年度の調査報告書の課題を受けてのものとなります。
JPCERT/CCのものは2007年2月に米国アイダホ国立研究所から公表されたものを翻訳したものです。
昨日、ある会合で電機メーカーの方とお話をしたのですが、やはり家電のセキュリティと法的な責任の問題は大きな課題となりそうに思います。インターネットにつなげる機器が最低限満たさなければならないセキュリティ要件というものを検討する必要があるかもしれませんね。
■IPA
・2010.05.31 「制御システムセキュリティの信頼性とセキュリティへの取組み強化への提言」 ~「制御システムセキュリティの推進施策に関する調査報告書」の公開~
●「制御システムセキュリティの推進施策に関する調査報告書」(全99ページ)(7.02MB)
・委員名簿(133KB)
【参考】昨年度
・2090.03.30 重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書
●調査報告書 (全79ページ、2.08MB)
・委員名簿(97KB)
・付録(全32ページ、711KB)
■JPCERT/CC
・2010.05.31 制御システムセキュリティガイドライン(全般)
Comments
私も委員です。ご紹介ありがとうございます。
この問題は、なかなか現状把握が難しいところがあります。ただし、重要インフラの防護に直接につながるところですので、さらに検討が深まるといいと思います。
Posted by: 高橋郁夫 | 2010.06.02 at 18:19
高橋先生、コメントありがとうございます。
現状把握が難しいというところが課題ということも言えますね。適切な対策を計画することが困難になる可能性がありますね。。。
Posted by: 丸山満彦 | 2010.06.03 at 14:58
あと、正直いうと、インフラへの攻撃への現実性がよくわかりませんね。
米国だと、すぐ、インフラ攻撃サイバー戦争になるんですけど、シュナイアーは、そんなに簡単にできるわけじゃないというしね。
さらにそれが日本だとどうなのという問題もあるし。
Posted by: 高橋郁夫 | 2010.06.03 at 17:25
高橋先生、コメントありがとうございます。。。
> インフラへの攻撃への現実性がよくわかりませんね。
危機管理という観点からは、発生可能性はともかく影響が非常に大きなものについては、予防的な観点のみならず、発生した後の影響の最小化のための対策についても検討をする必要はあると思います。
今の問題だけでなく、将来のことも考えて。。。
今のフェーズとしてすべきことは、想定される影響度の大きな事象の識別でしょうね。。。
Posted by: 丸山満彦 | 2010.06.09 at 05:57