IPA「制御システムのセキュリティリスク分析ガイド」実践支援

OTセキュリティにおけるリスク分析の重要性

従来、OT環境（Operational Technology：生産や研究のための設備や環境全体の制御・運用技術）のシステムは、インターネットなど外部ネットワークから隔離されており、セキュリティ上の脅威にさらされるリスクは限定的であると考えられてきました。一方、昨今のIoT化やデジタルトランスフォーメーションの進展により、外部ネットワークとの接続機会が増加し、サイバーセキュリティ上の懸念から、OT環境におけるサイバーセキュリティの対応が企業においても重要な経営課題となっています。

OT環境は、設備の可用性を重視する点や耐用年数が長い点などIT環境とは異なる特徴を有することから、その特性を考慮した対策を講じることが望ましく、国際標準規格であるIEC62443や経済産業省のサイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）が参照されることも多くあります。これらはリスクアセスメントを実施した上で、その結果に基づいた対策の検討を推奨しているものの、OT環境における具体的なアセスメント手順を示すガイドライン類は多くないのが実情です。

IPA（情報処理推進機構）が公開している「制御システムのセキュリティリスク分析ガイド」（以下、本ガイド）は、OT環境に特化したアセスメントのガイドラインであり、政府系の各種ガイドライン^*1でも参照される、権威性の高い内容となっています。

OT環境のセキュリティリスク分析に特化したガイドライン

本ガイドは、OT環境のシステムに関し、リスク分析の全体像の理解を深め、その取り組みを促すことを目的としています。リスク分析を具体的に実施するための手順や手引きを示しており、IPAにおいて実践したリスク分析でのノウハウが手引きに織り込まれることで、実現性の高いリスク分析が可能です。

本ガイドでは、資産ベースと被害シナリオベースの2種類のリスク分析手法について、具体的な手順を解説しています。両手法の主な特徴は以下のとおりです。

リスク分析の実施に当たっては、目的に合わせて適した手法を選択、あるいは、両方の手法を併用して評価を行うことになります。本ガイドに従ってリスク分析を行う場合、いずれの手法を選択した場合も、分析対象の明確化、リスク値と評価指標の策定、リスク分析の3つのステップで進めます。なお対策検討・実行については、本ガイドの範囲外となります。

ガイドラインを実践する上でのハードル

OT環境に対するリスク分析を支援する本ガイドですが、実践する上では多くの企業で以下のようなハードルが存在するのではないでしょうか。

セキュリティとビジネスの両方の理解に基づく評価指標設定・シナリオ策定が必要

• リスク値を算出するために、自社のシステム特性やビジネスに合わせて資産の重要度やセキュリティ上の脅威レベルなどの評価指標を設定する必要がある
• 自社のビジネスを考慮し、優先して対応すべき重要な被害シナリオを作成する必要がある

本ガイドの習熟と実践には一定の工数が必要

• 本ガイドを理解するために学習コストがかかる
• 構成図やデータフローの調査や解読に時間がかかる

リスク分析後の対策検討および実装が難しい

• リスク分析結果を踏まえた対策の優先度、必要なタスクやリソースなどを考慮した現実的なロードマップの策定が難しい
• OTセキュリティの推進を担うセキュリティ部門やOTシステムを所管するビジネス部門など、関係部署が連携しながら実装を進める必要がある

PwCのサービス

PwCコンサルティングのOTセキュリティに関する支援実績と知見、業界知識を活用することで、先に述べたハードルを解決し、本ガイドに基づくリスク分析の実施を支援します。それにより、次のようなメリットが期待されます。

• 業界に精通したコンサルタントが、OTセキュリティに関する豊富な支援実績を基に、現実的な評価指標の設定と事業特性を踏まえた脅威シナリオを作成します。企業にとって重要なリスクを捉えた分析が可能です。
• 本ガイドの学習コストが不要になり、即時着手・スムーズな遂行が実現します。さらにPwCのノウハウを集めたツールを活用することで、効率的かつ高品質の分析を行うことができます。一度構築した仕組みやツールは繰り返し使えるため、初期コストを抑えつつ、効果的なリスク分析を運用できます。
• 専門性を有する外部のコンサルタントが分析することで、より実態に近いリスクを認識することができます。

また、本ガイドの実践であるリスク分析だけでなく、リスク分析結果を踏まえた対策の検討やその実装のための中長期的なロードマップの作成、対策実装の伴走支援まで、ご要望に応じて一貫した支援も可能です。

^{*1 政府情報システムにおけるセキュリティリスク分析ガイドライン（デジタル庁、2023/3/31）、重要インフラのサイバーセキュリティに係る安全基準等策定指針（サイバーセキュリティ戦略本部、2025/6/27）、重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書（内閣官房国家サイバー統括室、2025/7/1）など}