安全のFTA(Fault Tree Analysis)と制御システムセキュリティ
このような現状から、「制御セキュリティ対策投資は本当に必要か」という社内の経営層からの問いに対して、セキュリティ担当者は、明確に「安全のために必要な投資です」と、確信をもって説得しなければならない。
FTA(Fault Tree Analysis)注10は、製造現場の事故分析を行う際に用いられる手法であるが、それに制御システムセキュリティの視点を入れたものが図3である。
図3 安全のFTAと制御システムのセキュリティ
出所 ICS研究所作成
図3は、赤い箱の事象への必要な対策を青い箱の中に示している。eICS注11の講義の一例ではあるが、このようなFTAを各現場に照らし合わせて行い、安全操業に活かしていくという内容(講義)になっている。
制御システムセキュリティ対策のポイント
制御システムセキュリティ対策は、産業別に対象となる生産製品や製造プロセスが異なるため、危険回避や事業責任によって対処の仕方が異なっている(図4)。特に重要インフラや社会インフラを支えている産業において要求されることである。
図4 制御システムセキュリティ対策のポイント
出所 ICS研究所作成
そのうえで、サイバーリスクの特定・分析・評価・低減・再評価・残留リスク対策などの「サイバーリスクアセスメント」を行い、制御システムセキュリティ対策を実施する、という企業のセキュリティ方針は、現在、重要な経営的要素となってきている。
制御システムセキュリティ対策の今後
このような企業責任を果たしていくうえで、サイバーリスクアセスメントができる計装/制御システムの設計技術者や、制御製品開発企画/技術者を事業戦略的に育てることは、現在、非常に重要な課題である。
ところが、このサイバーリスクアセスメントを経験している技術者がいない企業もあるため、企業内の技術者に改めて学んでもらう必要が出てきている(図5)。
図5 制御システムセキュリティ対策の今後
出所 ICS研究所作成
▼ 注10
FTA:Fault Tree Analysis、事故のツリー解析。製品の故障や、それによって発生した事故の原因を分析する手法。システムの故障をツリーの頂上として、故障を発生させる可能性のある事象を下位に向かって列挙し(ツリー構造的に)結んでいくことによって、フォルトツリー(Fault Tree)を作成し、現場システムの自己分析を行う手法。
▼ 注11
eICS:ICS研究所のeラーニングサービスの名称。ICS:Industry Control Solution、産業制御ソリューション。
