3年ぶり改定、「制御システムのセキュリティリスク分析ガイド」の第2版(2026年4月版)を公開 IPA
情報処理推進機構(IPA)は4月6日、「制御システムのセキュリティリスク分析ガイド 第2版(2026年4月版)」を公開しました。本ガイドは、社会や産業システムの基盤となっている制御システムのセキュリティレベルを引き上げるため、事業者がセキュリティリスク分析を実施できるように手順やノウハウをまとめた解説書です。
従来、制御システムは外部ネットワークから独立していましたが、近年は汎用プラットフォームの利用やネットワーク接続が進み、サイバー攻撃の脅威が高まっています。こうした背景から、各組織におけるセキュリティレベルを抜本的に向上させるとともに、その継続的な維持・見直しを促す目的で2017年に初版(第1版)が作成されました。今回の改定は、第2版の「2023年3月版」公開以来、3年ぶりとなります。
IPAの調査によると、多くの事業者の間でリスク分析が十分に実施されていない実態があり、その背景には「具体的な手法や手順がわからない」「膨大な工数を要するため回避したい」という2つの根源的な課題があると考えられています。本ガイドでは、モデルシステムに対する具体的な実施手順の解説やリスク分析シートなどの実践的なツールを提供することでこれらの課題の解決を図っています。
本ガイドの中心となるリスク分析手法としては、「資産ベースのリスク分析」と「事業被害ベースのリスク分析」といった相互補完的な役割を果たす2つのアプローチを解説しています。これらはIPAが実システムで適用した手法を基にしたものです。ただし、分析対象のシステムによっては本ガイド記載の手法が最適解とは限らないため、適宜修正の上で使用することを推奨しています。
今回の「2026年4月版」への改定では、ガイド本編、ガイド別冊(事例1/事例2)、活用の手引きが改定されました。ガイド本編では、参考文献のリンクの見直しやIPAのセミナー受講者から「わかりにくい」と指摘された内容を補足で説明するコラムが追加されています。
本ガイドは、IPAの公式サイトでダウンロードが可能です。
