制御システムのセキュリティ対策のスパイラルアップを促進するインシデント対応演習の開発

抄録

サイバー攻撃の脅威は高まっており、工場の安全も脅かされている．サイバーセキュリティはIT 技術者の問題、安全はOT技術者の問題、そのようには簡単に切り分けられない状況になっている．プラントの安全は独立防護層で多重に守られているが、第2 層のコントローラ、第3 層のアラーム、第4 層の安全計装、さらに第7 層、第8 層の通報システムはサイバー攻撃の対象になりうる．サイバー攻撃は多重に行われることが想定されるため、従来の安全対策で守り切れるとは考えづらい．よって、IT技術者とOT技術者の連携による対策が必要となるが、その認識はまだ進んでいないと考えられる．サイバー攻撃の脅威を学べて、自分たちがとるべき行動を理解でき、さらに、そこに存在する課題を認識できるインシデント対応演習IMANE-X を提案した．演習中に参加者が気づいた課題、提案を陽に書き留め、他部署とも共有し、それらを定期的に見直すことで、セキュリティ対策のスパイラルアップ推進活動につなげることを想定している．この演習を実施するための方法を、HSEEPのExercise Cycle に従って整理した．企業の組織的対応能力を高めるための取り組みとして、提案するインシデント対応演習が広く実施されるようになることを期待する．