独立行政法人情報処理推進機構（IPA）は12月5日、ドイツ連邦政府の情報セキュリティ庁（BSI）が今年5月に公開した文書の邦訳版「産業用制御システム（ICS）のセキュリティ -10大脅威と対策2022-」を公開しました。産業用制御システムにとって最も危険度が高い脅威10種を順不同で示しています。

原文は「Industrial Control System Security BSI-Publications on Cyber-Security Top 10 threats and countermeasures 2022」。IPAが許諾を得て邦訳しました。

示された脅威10種は▽リムーバルメディアや外部機器経由のマルウェア感染▽インターネットやイントラネット経由のマルウェア感染▽ヒューマンエラーと妨害行為▽外部ネットワークやクラウドコンポーネントの攻撃▽ソーシャルエンジニアリングとフィッシング▽DoS/DDoS攻撃▽インターネットに接続された制御コンポーネント▽リモートメンテナンスアクセスからの侵入▽技術的な不具合と不可抗力▽サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性――です。

BSIは2019年にも同様の文書を公開していますが、今回は新たに「サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性」が追加されました。

それぞれの脅威については、「問題と原因の説明」、「想定される脅威のシナリオ」、「対策」が記されています。また、10種の脅威に対して講ずるべきセキュリティ対策を示したチェックリストをまとめています。自己評価したスコア値に対し、4段階に分けて推奨事項が示されています。