調査報告書（公表版） · framework overview final v1.1 /establish ongoing governance final...

平成２８年度サイバーセキュリティ経済基盤構築事業

（制御システムにおけるセキュリティ対策に関する調査）

経済産業省委託

平成２８年度サイバーセキュリティ経済基盤構築事業（制御

システムにおけるセキュリティ対策に関する調査）

調査報告書（公表版）

２０１７年３月



i

はじめに

本報告書は、技術研究組合制御システムセキュリティセンター（以下「CSSC」）が経済産

業省から受託した「平成２８年度サイバーセキュリティ経済基盤構築事業（制御システム

におけるセキュリティ対策に関する調査）」の調査報告書である。

これまでクローズドな環境で運用されていた制御システムが、近年、情報システムや複

数ベンダ製品間での連携、汎用技術の活用等オープン化が進んで来ている。そのため外部

からのサイバー攻撃のリスクが高まっている。

このような環境変化を背景に、事業者における制御システムに対するセキュリティ対策

の必要性に対する意識は徐々に高まっており、関連する国際規格やガイドライン等も整備

されつつある。

本事業では公開されている各種指針を利用しやすいように取り纏めた「国際規格等をベ

ースとした制御システムにおけるセキュリティ対策カタログ」（以下、「セキュリティ対策

カタログ」）を作成すると共に、CSSCが協力を依頼した日本化学工業協会（以下日化協）

の情報セキュリティ対応部会の委員の方々にご意見を頂きながら「典型的なプラントの制

御システム構成」を作成し、それに基づく脅威分析、セキュリティ対策カタログを利用し

た詳細対策要件の策定、およびその有効性の検証を実施した。

本事業に成果が各種分野における制御システムのセキュリティ対策において詳細対策要

件策定の一助となり、セキュリティ対策が各分野で推進する切っ掛けとなることを期待す

る。



ii

目次

1. 背景・目的 ............................................................................................................................................................. 1

2. 調査方法 ................................................................................................................................................................. 2

典型的な制御システムの明確化 ............................................................................................................... 2 2.1.

制御システムの脅威分析 ............................................................................................................................ 2 2.2.

国際規格等をベースとした制御システムにおけるセキュリティ対策カタログの作成 .............. 2 2.3.

制御システムに関連する国際規格の調査 ....................................................................................... 3 2.3.1.

国内で参照されるガイドラインや安全基準等の調査 .................................................................. 3 2.3.2.

制御システムに関する標準的なセキュリティ対策カタログの作成 ........................................ 4 2.3.3.

セキュリティカタログ利用の手引き................................................................................................ 4 2.3.4.

脅威に対応した詳細対策要件の策定 ....................................................................................................... 4 2.4.

制御システムを用いた詳細対策要件の有効性検証 ............................................................................. 5 2.5.

関係者が参画する検討会の設置・運営 ................................................................................................... 5 2.6.

3. 調査結果 ................................................................................................................................................................. 6

典型的な制御システムの明確化 ............................................................................................................... 6 3.1.

制御システムの脅威分析 .......................................................................................................................... 10 3.2.

制御システムのリスク ....................................................................................................................... 10 3.2.1.

攻撃シナリオ ........................................................................................................................................ 12 3.2.2.

脅威の抽出 ............................................................................................................................................ 15 3.2.3.

脅威の場所 ............................................................................................................................................ 18 3.2.4.

国際規格等をベースとした制御システムにおけるセキュリティ対策カタログの作成 ............ 21 3.3.

セキュリティ対策の抽出結果について ......................................................................................... 21 3.3.1.

作成したセキュリティ対策カタログについて ............................................................................. 22 3.3.2.

セキュリティ対策カタログの構成について ................................................................................. 22 3.3.3.

セキュリティカタログ利用の手引き.............................................................................................. 29 3.3.4.

脅威に対応した詳細対策要件の策定 ..................................................................................................... 31 3.4.

典型的な制御システムで抽出された脅威に対応した詳細対策要件 ...................................... 31 3.4.1.

化学分野の制御システムのセキュリティ：暗号技術要件 ....................................................... 35 3.4.2.

化学分野の制御システムのセキュリティ：その他注意すべきセキュリティ要件 ............. 38 3.4.3.

制御システムを用いた詳細対策要件の有効性検証 ........................................................................... 40 3.5.

検証環境 ................................................................................................................................................ 40 3.5.1.

検証 ......................................................................................................................................................... 53 3.5.2.

結論 ......................................................................................................................................................... 66 3.5.3.

関係者が参画する検討会の設置・運営 ................................................................................................. 67 3.6.



1

1. 背景・目的

これまで制御システムはクローズドな環境で運用されていたが、現在は情報システム

とのデータ授受、複数ベンダ製品間での連携、汎用技術の活用等オープン化が進んでお

り、外部からのサイバー攻撃のリスクが高まっている。

このような環境変化を背景に、事業者における制御システムに対するセキュリティ対

策の必要性に対する意識は徐々に高まっており、関連する国際規格やガイドライン等も

整備されつつある。

このような公開されている指針等に基づき、業界・産業毎の事業リスクやシステム特

性等に応じて想定される脅威や対策例を具体的に例示することが、事業者における対策

の検討・実装を促進するのに有効であると考えられる。

経済産業省の「平成 28 年度サイバーセキュリティ経済基盤構築事業（制御システム

におけるセキュリティ対策に関する調査）」（以下、「METI 事業」）では、制御システム

に対して必要なセキュリティ対策について、国際規格等を元に整理すると共に、ある業

界・産業分野で想定される脅威や利用される技術等を踏まえた具体的な対策例（詳細対

策要件）の策定及び検証を行い、その成果を取りまとめ・展開することで、各分野にお

ける制御システムのセキュリティ対策を推進することを目指す。

本調査では、プラントの制御システムに関して典型的なシステム構成を策定すると共

に脅威分析を行い、その脅威に対する詳細対策要件を策定すると共に対策の有効性を検

証することを目的とした。その際、国際規格などで公開されている制御システムのセキ

ュリティ対策を整理し、「セキュリティ対策カタログ」を作成し、その資料を参照して

詳細対策要件を策定した。



2

2. 調査方法

プラントの制御システムで典型的な制御システム構成の策定、その脅威分析、脅威分析

に基づく詳細対策要件の策定を日化協、情報セキュリティ対応部会の委員の方々およびシ

ステム構築事業者、製品開発ベンダ（アズビル、東芝、東芝三菱電機産業システム、横河

電機）（以下、「有識者」）にご意見を頂きながら実施した。また、標準文書など制御システ

ムの対策が記載されている国内外の文献を整理し、「制御システムセキュリティ対策カタロ

グ」を作成すると共に、その資料を活用し、詳細対策要件を策定し、CSSCが所有する模擬

プラントを利用して策定した詳細対策要件から数項目選んで対策要件の有効性を検証した。

典型的な制御システムの明確化 2.1.

プラントの典型的なシステムを明確にするため、まず CSSCが所有している模擬プラント

を調査し、CSSCの標準的なプラントのシステム構成図を作成し、有識者からご意見を頂き

修正することでプラントの典型的なシステム構成を定める方針とした。

制御システムの脅威分析 2.2.

重要インフラ事業者の制御システムでは制御システムの障害は事業者リスクに直結する

ことが想定される。そのため事業リスクを勘案した脅威分析を行う必要がある事を踏まえ、

事業リスクを明確化し、事業リスクから制御システムのリスクを抽出し、2.1. で明確にし

たプラントの典型的なシステムについて攻撃者目線でリスク毎のサイバー攻撃のシナリオ

を作成、そのシナリオに基づきリスクを分析すると共に脅威を特定する方法で脅威分析を

実施した。分析はシステムとそのコンポーネントのライフサイクルの内、「開発」、「稼

働前」、「運用」、「廃棄」、「保守」の５つのライフサイクルを考慮して分析した。ま

た、分析して抽出した脅威には「脅威 ID」を付番した。

国際規格等をベースとした制御システムにおけるセキュリ2.3. ティ対策カタログの作成国際規格やガイドラインなど、国内外で公開されている各種文献の制御システムのセキ

ュリティ対策を調査し、取りまとめたセキュリティ対策カタログを作成する。2.3.1. に国

外、2.3.2. に国内の調査対象文献を示し、2.3.3. に対策カタログ作成方針を記載した。



3

制御システムに関連する国際規格の調査 2.3.1.

次の国際規格等を調査対象候補として、それらに記載されているセキュリティ対策を抽

出した。

NIST Cybersecurity Framework Version 1.0

NIST Special Publication 800-53 Revision 4 (Security and Privacy Controls

for Federal Information Systems and Organizations)

NIST Special Publication 800-82 Revision 2 (Guide to Industrial Control

Systems (ICS) Security)

NIST Special Publication 800-161 (Supply Chain Risk Management Practices

for Federal Information Systems and Organizations)

IEC 62443-2-1:2010 (Industrial communication networks - Network and system

security - Part 2-1: Establishing an industrial automation and control

system security program)

IEC 62443-3-3:2013 (Industrial communication networks - Network and system

security - Part 3-3: System security requirements and security levels)

CPNI - SECURITY FOR INDUSTRIAL CONTROL SYSTEMS - A GOOD PRACTICE GUIDE

Framework overview Final v1.1 /Establish ongoing governance Final v1.0

/ Manage the business risk Final v1.1 / Manage Industrial Control System

lifecycle Final v1.0 / Improve awareness and skills Final v1.0 / Select

and implement security improvements Final v1.1 / Manage

vulnerabilities Final v1.0 / Manage third party risks Final v1.0 /

Establish response capabilities Final v1.0

IETF Best Current Practices for Securing Internet of Things (IoT) Devices

Versions: 00

国内で参照されるガイドラインや安全基準等の調査 2.3.2.

次の国内ガイドラインや安全基準等を調査対象候補として、それらに記載されているセ

キュリティ対策を抽出した。

JESC「スマートメーターシステムセキュリティガイドライン」JEAG 1101-2016

JESC「電力制御システムセキュリティガイドライン」JEAG 1111-2016

IPA「IoT開発におけるセキュリティ設計の手引き」2016年 5月

JPCERT/CC 「制御システムセキュリティ自己評価ツール(J-CLICS)」2016年 11

月 10日

その他非公開資料 2点



4

制御システムに関する標準的なセキュリティ対策カタログの作成 2.3.3.

2.3.1. 及び 2.3.2. で抽出したセキュリティ対策を分析（統合・分割等）し、250項目

のセキュリティ対策カタログを作成した。

セキュリティ対策カタログでは、セキュリティ対策を NIST Cybersecurity

Frameworkにおける 5段階（特定、防御、検知、対応、復旧）で整理し、各セキ

ュリティ対策実施の難易度を 3段階（易、中、難）に分類した。

また、セキュリティ対策の実施主体を明確化するために、経営層、全社セキュ

リティ管理者、全社セキュリティ担当、システム管理責任者、設計(調達)担当、

システム構築事業者、製品開発ベンダ、運用事業者、保守事業者、等の実施主

体の分類も加えた。

上記の手続きで得た分析結果は表形式等で取りまとめ、セキュリティ対策カタ

ログを作成した。

取りまとめたセキュリティ対策カタログは、必要に応じて外部有識者のレビュ

ーにより、その妥当性を確認した。

セキュリティカタログ利用の手引き 2.3.4.

脅威に対する対策をセキュリティ対策カタログから導き出す一助になるように、2.4. で

実施したセキュリティ対策カタログを用いた詳細対策要件策定で得た経験をもとにセキュ

リティ利用の手引きを作成した。

脅威に対応した詳細対策要件の策定 2.4.

2.1. で明確化したプラントの典型的な制御システムを化学分野の典型的な制御システ

ムとし、2.2. で分析した脅威に対して対策を検討し、化学分野の詳細対策要件を策定した。

策定に当たっては、2.3. で作成したセキュリティ対策カタログを用いて対策内容を導いた。

詳細対策要件には NISTサイバーフレームワークに記載の対策ライフサイクル（「特定」、

「防御」、「検知」、「対応」、「復旧」）を必要に応じて記載し、その対策を実施する為の対策

実施主体も明記した。



5

制御システムを用いた詳細対策要件の有効性検証 2.5.

2.4で策定した詳細対策要件の内から数種類を選んで、CSSCが所有するガス模擬プラン

トと化学模擬プラントを用いて対策の有効性を確認した。

また、通信妨害の耐性評価では国際認証規格 EDSAの CRT試験を利用した。

関係者が参画する検討会の設置・運営 2.6.

日化協、情報セキュリティ対応部会の委員の方々およびシステム構築事業者、製品開発

ベンダ（アズビル、東芝、東芝三菱電機産業システム、横河電機）に本事業の方向性や成

果に関するご意見を頂く為の検討会を２回開催した。



6

3. 調査結果

ここでは、第 2章記載の調査方法を実施した結果を、「典型的な制御システムの明確化」、

「制御システムの脅威分析」、「国際規格等をベースとした制御システムにおけるセキュリ

ティ対策カタログの作成」、「脅威に対応した詳細対策要件の策定」、「制御システムを用い

た詳細対策要件の有効性検証」ごとに記載した。

典型的な制御システムの明確化 3.1.

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■（図 3-1）

図 3-1 ■■■■■■■■■■■■■■■■■■■■■■■■



7

■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■図 3-2、図 3-3■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■（図 3-2）■■

■■■■■■■■■■■■■■■■■■■（図 3-3）■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■（図 3-3）■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■表 3-1■■■■■■



8

図 3-2 ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

図 3-3 ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■



9

表 3-1 ■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■

■■■■■■■■■

■■■■

■■■■■■■■■■■■■■

■■■■■■■■■

■■■■

■■■■■■■■■■

■■■■■■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■

■■■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■

■■

■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

■■■■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■

■■■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■



10

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■図 3-4■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

図 3-4 ■■■■■■■■■■■■■■■■■■■■■■■■

制御システムの脅威分析 3.2.

制御システムのリスク 3.2.1.

■■■■■■■■■■2.2. ■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■図 3-5■■■■



11

図 3-5■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■表 3-2■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■表 3-2■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

表 3-2■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■



12

■■■■■■■■■■

■■■■■■

■■■■■■

■■■■■■■

表 3-2 ■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■ ■■■■■■■■■■■

■■■■■ ■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■

■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■■■

■■■■

■■■■■■

■■■■■

■■■■■

■■■■■

■■■■■■

■■■■

・■■■■■■■■■■■■

■■■■■■■■■■■■

■■

■■■■■■■■■■

・■■■■■■■■ ■■■■■■■■■■

・■■■■■

■■■■■■■■■■■■

■■■■■■■■■■■■

■■■■■■■■

・■■■■ ■■■■■■■■■■

・■■■■

■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■

・■■■■■

■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■

攻撃シナリオ 3.2.2.

3.1. ■■■■■■■■■■■■■■■■■■■■■■■■■■■3.2.1. ■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■ ······· ■■■■■■

■■■■■■■■■■ ····························· ■■■■■■

■■■■■■■■■■ ····························· ■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■表 3-3、表 3-4、表 3-5■■■■■

■■■■■■■■■■■■■■■■■■■■■■■



13

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■3.2.3.

■■■■■■

表 3-3 ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■ ■■■■■■■■

■■■■■■■■■■ ■■■■■■■

■■■■

① ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

② ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■

③ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■

④ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■



14

表 3-4 ■■■■■■■■■■■■■■■■■■■■■■■■■

■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■ ■■■■■■■■

■■■■■■ ■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■

■■■■

① ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

② ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

③ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■

④ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

⑤ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

⑥ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■



15

表 3-5 ■■■■■■■■■■■■■■■■■■■■■■■■■

■■

■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■ ■■■■■■■■

■■■■■■ ■■■■■■■

■■■■

① ■■■■■■■■■■■■■■■■■■■■■■■■■

② ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■

③ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■

脅威の抽出 3.2.3.

3.2.2. ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■



16

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

■■■■■■■■■■■■■■

① ② ③ ④ ⑤ ⑥ ⑦ ⑧

■ ■■

(■■■■■■) ■■ ■■

■■■■■■■ ■■

■■ ■■ ■

■■ ■■

■■

■■■■■■

■■■

■ ■ ■

■■■■■■■■■■■■■■■■■■■■■■。

① ■■■

■■■■■■■■■■■■■■■■

② ■■■■■■■■■■■

■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■■

■■■■■■

■■■■■■■■■

■■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■

■■■■

■■■■■■■■■■

■■■■■

■■■■■■■■■）

図 3-6 ■■■■■■■■■■



17

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■

③ ■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■

■■■ ■■■■■■■■

■■■ ■■■■■■■■■■■

■■■ ■■■■■■

■■■ ■■■■■■■■■

■■■ ■■■■■■■■■■■

■■■ ■■■■■■■■

■■■ ■■■■■■■■■■■■■■■■■■■

■■■ ■■■■■■■■■■■■■■■■■■■■■■■

■■■

■■■ ■■■■■■■■■■■■バ

■■■ ■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■

■■■ ■■■■■

■■■ ■■■■■■■■■■■■■■■■■

■■■ ■■■■

■■■ ■■■■■■■■■■

■■■ ■■■■■

④ ■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■ ■■

■ ■■■

■ ■■

■ ■■

■ ■■

⑤ ■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

⑥ ■■■■



18

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

⑦ ■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

脅威の場所 3.2.4.

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■（図 3-7、図 3-8、図 3-9）■■■■■■■■■■■■■■■■■■表 3-6■■■

■■■

図 3-7 ■■■■■■■■■■■■■■■■■■■■■■■■■■



19

図 3-8 ■■■■■■■■■■■■■■■■■■■■■■■■■■

図 3-9 ■■■■■■■■■■■■■■■■■■



20

表 3-6 ■■■■■■■■■■■■■■■■■■■■■■■■■

■■ ■■

■■

■■■■

■■■■■■■

■■ ■■■ ■■ ■■ ■■

■■■■■■■■ ■■■ ■ ■ ■■■■■■■■

■■■■■■■ ■ ■

■■■■■■■■

■■■ ■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■

■■■■■■ ■■■ ■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■ ■

■■■■■■■■

■ ■■■ ■ ■

■■■■■■■■■■■■■■■

■ ■

■■■■■■■■

■■■ ■■■ ■ ■

■■■■■■■■■■■■■■■

■ ■

■■■■■■■■ ■■■ ■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■ ■■■■■■■ ■

■■■■■■■■

■■■■■■■■

■■■

■■■ ■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■ ■

■■■■■■■■

■■■■■■■■

■■■■■■■■

■■

■■■ ■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■

■■■■■■■■

■■■■■ ■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■ ■

■■■■■■■■

■■■■■■■■

■■■■■■■■

■■■■■■■■

■

■■■ ■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■ ■

■■■■■ ■■■ ■ ■ ■ ■ ■■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■

■

■■■ ■ ■ ■■■■■■■■

■■■■■■■ ■ ■

■■■■ ■■■ ■ ■ ■■■■■■■■■■■■■■■

■■■■■■■ ■

■■■■■■■■

■■ ■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■ ■

■■■■■ ■■■ ■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■



21

国際規格等をベースとした制御システムにおけるセキュリ3.3. ティ対策カタログの作成

セキュリティ対策の抽出結果について 3.3.1.

2.3. で示した制御システムに関連する国際規格、国内で参照されるガイドラインや安全

基準等の調査の結果、1,149 件の対策から、250 件の対策を分析の結果に基づき抽出した。

各文献からの抽出状況を下図に示す。

基本的に各文献に記載された対策項目は全て抽出を行っているが、NIST-SP800-53、

NIST-SP800-82、NIST-SP800-161に関しては、相互に関連する内容があるため、以下の通り

の整理を行った。

NIST-SP800-53は情報システムのセキュリティ管理策を整理した対策群である為、基本的

には制御システムのセキュリティを議論するときには対象としない文献であり、制御シス

テムセキュリティの管理策を整理した文献 NIST-SP800-82を参照することが正しい。然し

ながら、NIST-SP800-82は NIST-SP800-53の項目を多く参照しており、NIST-SP800-82を理

解する為に、結果として NIST-SP800-53を参照した。

NIST-SP800-82は、NIST-SP800-53に記載された管理策のうち、制御システムに適用可能

なものを抽出し、制御システムに適用する際の補足事項を記載したものである。本カタロ

グの目的である制御システムでの対策項目の整理を踏まえ、NIST-SP800-82に収録されてい

る項目を分析対象とし、各項目の内容は NIST-SP800-53に記載されている基本事項と

NIST-SP800-82に記載されている制御システムに適用する場合の補足事項の双方を対象と

した。また、NIST-SP800-161は調達に関する項目を NIST-SP800-53から抽出し補足事項を

記載したものであるが、制御システムにおいても重要と考えられる項目のみを抽出し分析

対象とした。



22

図 3-10 セキュリティ対策の抽出結果

作成したセキュリティ対策カタログについて 3.3.2.

作成したセキュリティ対策カタログは、「別紙 1：制御システムにおけるセキュリティ対

策カタログ」に示す。

セキュリティ対策カタログの構成について 3.3.3.

作成したセキュリティ対策カタログの構成を下図に示す。

図 3-11 セキュリティ対策カタログの構成

図に示す通り表形式で作成されており、各列（①～⑪）の内容は次の通りである。

① 大分類。JESC「電力制御システムセキュリティガイドライン」JEAG 1111-2016 の『章』

に相当。ユーザ企業から具体的に指示されないと推測される開発時のセキュリティ対策

を含めるために、「開発」という大分類を追加した。結果として、「組織(OR)」、「文書化(DC)」、

「セキュリティ管理(SM)」、「設備・システム(FS)」、「運用・管理(OM)」、「セキュリティ

事故対応(IR)」、「開発(DV)」の 7 分類とした。

大分類中分類対策ID 枝番小分類対策の名称

対策の内容

対策の実施主体

実施段階

対策の難易度

出典

① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪



23

② 中分類。大分類で区分した対策を、さらに次の通り区分化した。具体的には、「電力制御

システムセキュリティガイドライン」の『条』に記載のある項目を優先的に区分とした。

また、この区分に該当しない残りの対策の集合については、その集合の中での類似度に

より複数の対策を束ねて新たな区分とした。

• 組織(OR)

ガバナンス(OR1)

役割(OR2)

セキュリティ教育(OR3)

• 文書化(DC)

文書管理(DC1)

• セキュリティ管理(SM)

リスク管理(SM1)

リスクアセスメント(SM2)

対策の策定(SM3)

対策の実施(SM4)

対策の評価(SM5)

監査(SM6)

継続的更新(SM7)

BCP との連携(SM8)

コンティンジェンシープランとの連携(SM9)

• 設備・システム(FS)

外部ネットワークとの分離(FS1)

他ネットワーク(FS2)

通信のセキュリティ(FS3)

機器のマルウェア対策(FS4)

不正処理防止(FS5)

アクセス制御(FS6)

ログの取得(FS7)

負荷分散・冗長化(FS8)

耐災害性(FS9)

フェイルセーフ(FS10)

• 運用・管理(OM)

セキュリティ仕様(OM1)

データの管理(OM2)

外部記憶媒体等のマルウェア対策(OM3)

管理者権限の適切な割当(OM4)

セキュリティパッチ(OM5)

入退室管理(OM6)

物理・環境(OM7)

無線・モバイル(OM8)



24

バックアップ(OM9)

変更管理(OM10)

保守(OM11)

人的セキュリティ(OM12)

鍵管理(OM13)

アカウント管理(OM14)

• セキュリティ事故対応(IR)

証拠の収集(IR1)

セキュリティ事故の対応(IR2)

セキュリティ事故の報告と情報共有(IR3)

周知と訓練(IR4)

• 開発(DV)

設計前(DV1)

設計時(DV2)

実装時(DV3)

検証(DV4)

出荷前後対応(DV5)

③ 対策 ID。個別の対策に対して一意に符番したもの。基本的には中分類の符号に通し番号

を符番した。

④ 枝番。1 つの対策 ID に対して複数の対策が紐付く場合に、その対策の難易度等が異なる

場合には区分して枝番を符番した。

⑤ 小分類。JESC「電力制御システムセキュリティガイドライン」の「要件」に相当。他の

文書の記載を踏まえ、「変更管理」、「バックアップ」、「冗長化」等を追加した。

⑥ 対策の名称。対策 ID 毎に名称を記載した。

⑦ 対策の内容。出典に記載した文献などを参考に、対策の内容を対策 ID 及び枝番ごとに記

載した。

⑧ 対策の実施主体。表 3-7に具体的な実施主体を記載した。

表 3-7対策の実施主体

対策の実施主体説明

経営層制御システムを所有する組織の経営に携わる役員

全社セキュリティ管理者制御システムを所有する組織全体のセキュリティ（リ

スク管理）に携わる要員（CISO などを想定）

全社セキュリティ担当制御システムを所有する組織全体の制御システム又は

情報システムのセキュリティ対策を担当する要員

システム管理責任者制御システムを所有する組織の個々の制御システムの

管理責任者

設計(調達)担当制御システムを所有する組織において制御システムの

設計・調達を担当する要員

システム構築事業者制御システムの構築を受託して実施する事業者



25

対策の実施主体説明

製品開発ベンダ制御システムの構成要素である製品を開発する事業者

運用事業者制御システムの運用を受託して実施する事業者

保守事業者制御システムの保守を受託して実施する事業者

⑨ 実施段階。NIST Cybersecurity Framework における 5段階（特定、防御、検知、対応、復

旧）を記載した。

表 3-8 実施段階－各段階の説明

実施段階概要

特定システム、資産、データ、機能に対するサイバーセキュリティリス

クの管理に必要な理解を深めること。

防御重要インフラサービスの提供を確実にするための適切な保護対策を

検討し、実施すること

検知サイバーセキュリティイベントの発生を検知するための適切な対策

を検討し、実施すること。

対応検知されたサイバーセキュリティイベントに対処するための適切な

対策を検討し、実施すること。

復旧

レジリエンスを実現するための計画を策定・維持し、サイバーセキ

ュリティイベントによって阻害されたあらゆる機能やサービスを復旧

するための適切な対策を検討し、実施すること

⑩ 対策の難易度。対策を実施（実装）する際の難易度の目安に応じて、3 段階（易、中、難）

に分類した。

⑪ 出典。参考とした文献を記載した（表 3-9）。

表 3-9 文献一覧

文献 ID 文献名記載内容の概要

NIST-CSF NIST Cybersecurity

Framework Version 1.0

サイバーセキュリティフレームワーク

のフレームワークコアは、すべての重要

インフラ分野に共通となるサイバーセキ

ュリティ対策のベストプラクティスや参

考情報等をまとめている。



26


NIST-SP800-53

NIST Special

Publication 800-53

Revision 4 (Security

and Privacy Controls

for Federal

Information Systems

and Organizations)

情報システムのセキュリティ管理策を

18のカテゴリに分類した上で記載してい

る。

(注)本カタログは、制御システムにお

ける対策を対象としているため、SP

800-53のすべての項目を採録しているわ

けではない。NIST SP800-82 では、ICSオ

ーバーレイという考え方に基づき、

SP800-53から制御システムに関連する対

策を抽出している。NIST SP800-82では

制御システムでの補足事項等のみが記載

されているが、本カタログの対策内容は

SP 800-53に記載されている基本事項の

内容も踏まえて記載している。ただし、

出典では SP 800-82として記載している。

NIST-SP800-82

NIST Special

Publication 800-82

Revision 2 (Guide to

Industrial Control

Systems (ICS)

Security)

制御システムにおいて適用可能と考え

られるセキュリティ管理策を SP 800-53

から選択し、制御システムにおいて適用

する際の補足事項等を記載している。

NIST-SP800-161

NIST Special

Publication 800-161

(Supply Chain Risk

Management Practices

for Federal

Information Systems

and Organizations)

システムの調達時に適用可能と考えら

れるセキュリティ管理策を SP 800-53r4

から選択し、調達において適用する際の

補足事項等を記載している。特に、サプ

ライチェーン管理に特化した 19番目の

カテゴリを追加している。

(注)SP 800-82と同様に、オーバーレ

イの考え方に基づいている。サプライチ

ェーン管理以外の 18のカテゴリの内容

については、SP 800-82側の内容を本カ

タログでは採録している

IEC-62443-2-1

IEC 62443-2-1:2010

(Industrial

communication

networks - Network and

system security - Part

2-1: Establishing an

industrial automation

and control system

security program)

制御システムにおけるマネジメントシ

ステム(CSMS)について記載している。



27


IEC-62443-3-3

IEC 62443-3-3:2013

(Industrial

communication

networks - Network and

system security - Part

3-3: System security

requirements and

security levels)

制御システムの設計時に考慮すべきセ

キュリティ要件を記載している。コンポ

ーネント単体ではなく、システムとして

満たすべき事項を記載する。

CPNI - SECURITY FOR

INDUSTRIAL CONTROL

SYSTEMS - A GOOD

PRACTICE GUIDE

制御システムのセキュリティのベスト

プラクティスを以下の 9カテゴリに分け

て記載。

CPNI-Framework ・Framework overview

Final v1.1 フレームワーク全体像

CPNI-Governance ・Establish ongoing

governance Final

v1.0

ガバナンスの確立

CPNI-Risk ・Manage the business

risk Final v1.1 ビジネスリスクの管理

CPNI-Lifecycle

・Manage Industrial

Control System

lifecycle Final

v1.0

制御システムのライフサイクル管理

CPNI-Skill

・Improve awareness

and skills Final

v1.0

意識とスキルの向上

CPNI-Implement

・Select and

implement

security

improvements

Final v1.1

セキュリティ改善策の選択と実装

CPNI-Vulnerabili

ty

・Manage

vulnerabilities

Final v1.0

脆弱性管理

CPNI-ThirdParty ・Manage third party

risks Final v1.0 サードパーティのリスク管理

CPNI-Response

・Establish response

capabilities

Final v1.0

インシデントレスポンス能力の確立

IETF-IoT

IETF Best Current

Practices for Securing

Internet of Things

(IoT) Devices

Versions: 00

IoTデバイスのセキュリティにおける

ベストプラクティスを記載。



28


JESC-スマメ

JESC「スマートメータ

ーシステムセキュリテ

ィガイドライン」JEAG

1101-2016

スマートメーターシステムのセキュリ

ティ確保を目的として，スマートメータ

ーシステムの設計調達段階から保守運用

段階までの一連の工程における，セキュ

リティ対策の要求事項を規定したもので

ある。

(出典: 日本電気技術規格委員会,

http://www.jesc.gr.jp/jesc-assent/pr

ivate/jesc_Z0003_00.html)

JESC-電力 JESC「電力制御システ

ムセキュリティガイド

ライン」JEAG 1111-2016

電力制御システム等のサイバーセキュ

リティ対策の的確な実施を目的として，

電気事業者が実施すべき電力制御システ

ム等のセキュリティ対策の要求事項を規

定したものである。

(出典: 日本電気技術規格委員会,

http://www.jesc.gr.jp/jesc-assent/pr

ivate/jesc_Z0004_00.html)

IPA-IoT IPA「IoT開発におけ

るセキュリティ設計の

手引き」2016年 5月

IoT機器およびその使用環境で想定さ

れるセキュリティ脅威と対策を整理

(出典: 独立行政法人情報処理推進機

構,

https://www.ipa.go.jp/security/iot/i

otguide.html)

JPCERT-JCLICS

JPCERT/CC 「制御シス

テムセキュリティ自己

評価ツール(J-CLICS)」

2016 年 11月 10日

制御システムのセキュリティ対策状況

を把握する「チェックリスト」と、チェ

ックリストの設問について取り組むべき

具体策等がわかる解説書「設問項目ガイ

ド」

(出典: 一般社団法人 JPCERT コーディ

ネーションセンター,

https://www.jpcert.or.jp/ics/jclics.

html)



29

セキュリティカタログ利用の手引き 3.3.4.

制御システムのセキュリティ対策カタログは脅威に対する対策一覧とはなっていないの

で、特定の脅威に対するセキュリティ対策をセキュリティ対策カタログから導き出すには

工夫が必要である。以下に手引きとして説明する。

セキュリティ対策カタログの分類を利用する (1)

セキュリティ対策カタログは、７種類の大分類と４６種類の中分類、さらに、その中分

類を詳細化した小分類を用いて対策を分けて記載しているので、分類項目を眺めて該当し

そうな項目を選び出して本文を確認する方法がある。なお、分類に関してはセキュリティ

対策カタログの「【項目説明】分類」にまとめられているので、簡単に参照できる。

大分類７種類は概ね以下の様に分けられている。

組織：

組織運営に当たり、ポリシーの策定などのガバナンス、役割の明確化、組織

の力量を上げるための教育などが対策として記載されている。

文書化：

組織をセキュリティ運営するために必要な規約や計画など必要な活動とその

文書化の要件が対策として記載されている

セキュリティ管理

リスク管理、対策の策定などセキュリティマネジメントの要件が対策として

記載されている。

設備・システム

外部ネットワークとの分離、通信のセキュリティなど、設備やシステムのセ

キュリティ要件（製品、システムのセキュリティ要件）が対策として記載さ

れている。

運用・管理

入退管理、人的セキュリティなど、人の関わる運用・管理のセキュリティ要

件が対策として記載されている。

セキュリティインシデント

証拠の収集、セキュリティインシデントの対応は、セキュリティインシデン

トが起こった時の対応の為に準備しておかなければならないことを対策の要

件として記載されている

開発

設計前にすべきこと、検証時にすべきことなど、システム構築事業者や製品

開発ベンダが実施すべきことまたは事業者が調達や購買の時にシステム構築

事業者や製品開発ベンダに要求すべきセキュリティ要件が対策として記載さ

れている

実施したい対策の方向性を上記大分類の内容から選び、次にセキュリティガイドライン

の「【項目説明】分類」から、中分類、小分類の項目を参照してより具体的な対策案件を選



30

び、小分類に相当する内容をセキュリティ対策カタログの本文を参照して対策の内容を得

るものである。

小分類からセキュリティ対策カタログの本文を抽出する為には「対策 ID」を利用すると

容易に検索が可能である。「【項目説明】分類」には小分類に１対１に対応した「対策 ID」

が記載されている。

セキュリティ対策カタログに関しては出典を記載しているので、それを参照することで

より詳細な情報を得ることが出来る。参照先の情報を容易に得られるように出典は参照文

献の項目まで記載している。

なお、大分類の「開発」以外の 6 種類の大分類は JESC「電力制御システムセキュリティ

ガイドライン」の「章」に相当して作られているので、JESC「電力制御システムセキュリ

ティガイドライン」を参照していただければより理解を深めることが出来る。

図 3-12 セキュリティ対策カタログの「【項目説明】分類」（抜粋）と対策の抽出手順

実施したい対策がある場合 (2)

対策カタログが電子的に提供されている場合、実施したい対策をキーワードとしてセキ

ュリティ対策カタログを検索することでより多くの対策の示唆を得ることが出来る場合が

ある。



31

対策に関しては複数の対策を考えることが望ましいが、セキュリティ対策カタログを検

索することでより多くの対策情報を得ることが期待できる。

脅威をキーワードとして検索する (3)

対策カタログが電子的に提供されている場合、脅威そのものをキーワードとしてセキュ

リティ対策カタログを検索して対策を得られる場合がある。

検索キーワードは簡素化したキーワード若しくは脅威の内容の一部を切り出した簡素化

した語句にしたほうが多くの情報が検索される。検索された対策を検討し、求める対策情

報を得ることが期待される。

脅威に対応した詳細対策要件の策定 3.4.

典型的な制御システムで抽出された脅威に対応した詳細対策要件 3.4.1.

3.2.3. ■■■■■■■■■■■■■■■■■■■■■■■■■3.3.4. ■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

① ② ③ ④ ⑤ ⑥ ⑦ ⑧

■ ■■

(■■■■■■) ■■ ■■

■■■■■■■ ■■

■■ ■■ ■

■■ ■■

■■

■■■■■■■■■

■ ■ ■

⑨ ⑩ ⑪

■■■■. ■■■■■■■■■

■■■■■■

■■ ■■ ■■ ■■ ■■ ■■

⑫ ⑬ ⑭

■■■■ ■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■

■■ ■■

■■■■■■

図 3-13■■■■■■■■■■



32

■■■■■■■■■■■■■■■■■■■■■■3.2.3. ■■■■■■■■■■■■■

① ■■■

■■■■■■■■■■■■■■■■

② ■■■■■■■■■■■

■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■■

■■■■■■

■■■■■■■■■

■■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■

■■■■

■■■■■■■■■■

■■■■■

■■■■■■■■■）

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■

③ ■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■

■■■ ■■■■■■■■

■■■ ■■■■■■■■■■■

■■■ ■■■■■■

■■■ ■■■■■■■■■

■■■ ■■■■■■■■■■■



33

■■■ ■■■■■■■■

■■■ ■■■■■■■■■■■■■■■■■■■

■■■ ■■■■■■■■■■■■■■■■■■■■■■■

■■■

■■■ ■■■■■■■■■■■■バ

■■■ ■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■

■■■ ■■■■■

■■■ ■■■■■■■■■■■■■■■■■

■■■ ■■■■

■■■ ■■■■■■■■■■

■■■ ■■■■■

④ ■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■ ■■

■ ■■■

■ ■■

■ ■■

■ ■■

⑤ ■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

⑥ ■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

⑦ ■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

⑧ ■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■3.2.1.

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■



34

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■ ■■■■■■■■■■ ■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■

■ ■■■■■■ ■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■

■ ■■■■■■ ■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■

■■■■■■■■ ■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■

⑨ ■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■

⑩ ■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

⑪ ■■

■■■■■■■■■■■■■■■■

⑫ ■■■■



35

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■

⑬ ■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

⑭ ■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■ ■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■ ■■■■■■■■■■■■■■

化学分野の制御システムのセキュリティ：暗号技術要件 3.4.2.

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■



36

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■表 3-10■■■■

① ② ③ ④

■■■■■■■■■■■■■ ■■■■■■■■■

■■

■■■■■

■■ ■■

■■ ■■■■■■■

⑤

⑥ ⑦

■■■■■■■■■■■■■

① ■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■

② ■■

■■■■■■■■■■■■■■■■■■■

③ ■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■ ■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■ ■■■■■■■■■■■■■■

④ ■■

■■■■■■■■■■■■■■■■

⑤ ■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■

図 3-14 ■■■■■■■■■



37

■■■■■■■■■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■■

⑥ ■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■

⑦ ■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

表 3-10 ■■■■■■■■■■■

■■■■■ ■■■■■ ■■■■■■■

■■■■

■■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■

■■■

■■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

■■■

■■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■

■■■

■■■■■■■■

■■■■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■

■■■■■■■■

■■■■■■■■ ■■■■■■■■■■■ ■■■

■■■■■■■■

■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■ ■■■

■■■■■■■■ ■■■■■■■■■■■■■■ ■■■



38

化学分野の制御システムのセキュリティ：その他注意すべきセキュリテ3.4.3.

ィ要件

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■

■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■

■■■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■

① ② ③

■■■■■■■■■■■■■ ■■■■■■■■■

■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■

■■ ■■

■■■■■■■

④

⑤ ⑥

図 3-15■■■■■■■■■■■■■■■■■■■

① ■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■

② ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■

③ ■■■■■



39

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■

■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■ ■■■■■■■■■■■■■■

④ ■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■

■■■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■

■■■■■■■

⑤ ■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■

⑥ ■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■



40

制御システムを用いた詳細対策要件の有効性検証 3.5.

本章では、策定した詳細対策基準における個々の対策項目候補についての有効性検証を

実施する。検証では化学分野で使用されるプラントを模擬した 2種類の模擬プラントを使

用した。

表 3-11略語一覧は本章で使用する略語をまとめたものである。

表 3-11略語一覧

略語別名

MAC Media Access Control

DoS Denial of Service

IP Internet Protocol

DCS Distributed Control System

OPC OLE for Process Control

RAS Remote Access Service

PLC Programmable logic Controller

SP Set Point

PV Process Value

MV Manipulated Value

PID Proportional Integral Differential

LAN Local Area Network

VDI Virtual Desktop Infrastructure

VPN Virtual Private Network

KVM Keyboard Video Mouse

FW Fire Wall

OP Operation

HMI Human Machine Interface

検証環境 3.5.1.

本節では検証に使用したガス模擬プラントおよび化学模擬プラントについて説明する。

それぞれの模擬プラントは構成や制御対象に違いがあるが、実際の制御システムに使用さ

れている機器を中心に構築されている。



41

ガス模擬プラント (1)

■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■図 3-16■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■（図 3-3）■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■表 3-12■■■■

図 3-16■■■■■■■■■■■■■■■



42

表 3-12■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■ ■

■■■■■■■■■■■■■■ ■

■■■■■■■■■ ■

■■■■■■■■■■■■■■ ■

■■■■ ■

■■■ ■

■■■■■■■■■ ■■■■■■■■■

■■■ ■

■■■■ ■■■■■■■■■■■■■■■

■■■■■

■■■■■■■■■■■■■ ■

■■■■■■■ ■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■



43

■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

図 3-16■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■図 3-17■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■

図 3-17■■■■■■■■■■■■■■■■



44

■■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■（図 3-18）■■■■■■■■

■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■（図

3-19）■■■■■■■■（図 3-20）■■■■■■■■（図 3-21）■■■■■■■

図 3-18■■■■■■■■■■■■■■■■■■■■■■



45

■■■■■

■■■■■（図 3-19）■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■

■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■■

■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■

■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

図 3-19■■■■■■■■■■■■■■



46

■■■■■■■

■■■■■（図 3-20）■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■

■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■

図 3-20■■■■■■■■■■■■■■■■



47

■■■■■■■

■■■■■■■（図 3-21）■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■表 3-13■■■■

表 3-13■■■■■■■■■■■■■■■■■■■

■ ■■■■■

■ ■■■■■■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■

図 3-21■■■■■■■■■■■■■■■■



48

化学模擬プラント (2)

■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■図 3-22■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■（図 3-2）■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■表 3-14■■■■

図 3-22■■■■■■■■■■■



49

表 3-14■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■

■■■■■■■■■■■ ■

■■■■■■■■■■■■■■ ■

■■■■■■■■■ ■

■■■■■■■■■■■■■■ ■

■■■■ ■

■■■ ■

■■■■■■■■■ ■

■■■ ■■図 3-22■■■■■■■■

■■■■ ■■図 3-22■■■■■■■■

■■■■■■■■■■■■■ ■

■■■■■■■ ■

■■■■■■■■■■■■■■■

■■

■

■■■■■■■■■■■ ■

■■■■■■■■■■■■■ ■■■■■■■■■■■■

■■■■■■■■■■■■ ■

■■■■■■■■■■■■■■ ■■■■■■■■■■■■■

■■■■■■■■■■■ ■

■■■■■■■■■ ■

■■■■■ ■

■■■■ ■■図 3-22■■■■■■■■

■■■■■■■■■■■■ ■■図 3-22■■■■■■■■

■■■■■■■■■■■■■■■ ■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■



50

図 3-23■■■■■■■■■■■■■■■■

■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■

図 3-22■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■図 3-23■■■■

■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■



51

■■■■■■■■

■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■（図 3-24）■■■■■■■（図 3-25）■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■

■■■■■■■■■■■■（図 3-24）■■■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■

図 3-24■■■■■■■■■■■■■■■■■■■■■



52

■■■■■■■■■■■■■■■

■■■■■■（図 3-25）■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■表 3-15■■■■

表 3-15■■■■■■■■■

■ ■■■■■

■ ■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■■■■

■ ■■■■■■■■■■■■■■■

図 3-25■■■■■■■■■■■■■■■



53

検証 3.5.2.

本節では策定した詳細対策基準記載のセキュリティ対策の有効性評価を行う検証シナリ

オを策定する。策定した検証シナリオを用いて模擬プラントを用いて実施する。

検証内容 (1)

a）検証対象

検証には前節にて説明したガス模擬プラントおよび化学模擬プラントを使用した。後述

する想定する脅威に対して検証シナリオを作成し、セキュリティ対策の適用前、適用後の

模擬プラントの動作を確認した。

b）想定する脅威と検証シナリオ

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■(表 3-16)。

表 3-16■■■■■■■■■■■

■■■■■■ ■■■■■■■ ■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■■ ■■■■■■■

■■■■■■■■■■■■■■■■■ ■■■■■■■■■ ■■■■■■■■■

■■■■■■■■■■■■■■■■ ■■■■■■■■ ■■■■■■■■■

■■■■■■■ ■■■■■■■■■■■ ■■■■■■■



54

c）セキュリティ対策

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

・■■■■■■■■■

■■■■■■■■■(図 3-26)■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

図 3-26 ■■■■■■■■■

・■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■



55

・■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■(図 3-27)■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■

■■■■■■■■■■■

■■■■■■■■■■■■

■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■

図 3-27 ■■■■■■■■■■■

d）検証内容

表 3-16■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■



56

■■■■■■■■■■■■■■■■■■■■■■

・■■■■■■■■■■■

■■■■■■■■■■■■■■■■図 3-28■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■表 3-17■■■■■■■■■■■■■■■■

図 3-28 ■■■■■■■■■■■■■■

表 3-17■■■■■■■■

■■■■■■■ ■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■ ■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■

■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■



57

・■■■■■■■■■

■■■■■■■■■■■■■■図 3-29■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■表 3-18■■■■■■■■■■■■■■■■

図 3-29■■■■■■■■■■■■

表 3-18■■■■■■

■■■■■■■ ■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■■■ ■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■

■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■



58

・■■■■■■■■

■■■■■■■■■■■■■図 3-30■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■表 3-19■■■■■■■■■■■■■■■■

図 3-30 ■■■■■■■■■■■



59

表 3-19 ■■■■■

■■■■■■■ ■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■ ■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■ ■■■■■■■■■■■

■■■■■■■■■

■■■■■

■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■



60

・■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■図 3-31■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

表 3-20■■■■■■■■■■■■■■

図 3-31 ■■■■■■■■■■■■■■■■■

表 3-20 ■■■■■■■■■■■

■■■■■■■ ■■■■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■

■■■■■■■ ■■■■■■■■■

■■■■■■■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■

■■■■■

■■■■■■■■■■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■ ■■■■■■■■■■■■■■■■■■■■



61

検証結果 (2)

■■■■■■■■■■■■■■

表 3-21 ■■■■■■

■■■■■■ ■■■■■■■■■■■ ■■■■■■■■■■■■■

■■■■■■■■■■■ ■ ■

■■■■■■■■■ ■ ■

■■■■■■■■ ■ ■

■■■■■■■■■■■■■■ ■ ■

■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■



62

・■■■■■■■■■■■

■■■■■■■■■■■■■■

図 3-28■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■

1. ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

2. ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■(図 3-32)■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■

図 3-32 ■■■■■■■■■■■■■■■■■■■■■■■■■■



63

・■■■■■■■■■

■■■■■■■■■■■■■■

図 3-29■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

1. ■■■■■■■■■■■■■■■■■■■■■■■■■

2. ■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■

図 3-33 ■■■■■■■■■■■■■■■■■■■■



64

・■■■■■■■■

■■■■■■■■■■■■■■

図 3-30■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■

■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■(図 3-34)■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■

図 3-34 ■■■■■■■■■■■■■■■■■■■■■■



65

・■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

図 3-31■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

1. ■■■■■■■■■■■■■■■■■■■■■■■■■

2. ■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■

■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■(図 3-35)■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■

図 3-35 ■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■



66

結論 3.5.3.

脅威分析から作成した化学分野の制御システムのセキュリティ詳細対策基準の有効性

を模擬プラントにいくつかのセキュリティ対策を実装して検証を行った。策定したセキュ

リティ対策例は検証を行った脅威に対して概ね有効であるといった結果を得ることがで

きた。しかしながら、検証シナリオによっても有効範囲が限定されるものもあることが確

認された。各セキュリティ製品には長所や短所が存在するため、多重・多層防御の観点か

らセキュリティ対策を組み合わせることによって全体のセキュリティレベルの向上を検

討することを推奨する。

セキュリティ対策は各事業者にとっての脅威を把握し、攻撃や脆弱性に関連する情勢を

把握しながら本事業によって策定した詳細対策基準等を参考し、継続的に実施することを

推奨する。



67

関係者が参画する検討会の設置・運営 3.6.

日化協の情報セキュリティ部会メンバーとアズビル、東芝、東芝三菱電機、横河電機に

ベンダー・システムインテグレータの有識者として参加していただき、本事業の検討会を

・平成２９年１月１６日

・平成２９年２月２４日

の２回、日化協が所在するビル（住友不動産六甲ビル）の会議室で実施し、典型的な制御

システムの構成、脅威分析の方向性、脅威シナリオの内容の検討、詳細対策要件のまとめ

方等に関して有意義な議論を頂き、そこで出たご意見を本事業の成果に反映した。



68

おわりに

本事業において、日化協情報セキュリティ部会の皆様、アズビル、東芝、東芝三菱電機、

横河電機のベンダー・システムインテグレータの有識者の皆様のご協力を得て、典型的な

制御システムの構成からはじめてシステムの詳細対策要件策定を行った。同時に、国兄外

の制御システムセキュリティの対策文献をまとめ、対策を導き出す一助となるようにセキ

ュリティ対策カタログを作成し、詳細対策要件の策定に活用した。

本成果が今後各分野の制御システムのセキュリティ対策の参考になれば幸いである。

本事業の成果は、幅広い化学分野の知見を頂きました、日化協セキュリティ部会の方々、

ベンダー・システムインテグレータの有識者、アズビル、東芝、東芝三菱電機、横河電機

の方々のご意見のお蔭と存じ、皆様に深く感謝申し上げます。

以上

調査報告書（公表版） · framework overview final v1.1 /establish ongoing governance final...

Documents