2021/08/31
海外のレジリエンス調査研究ナナメ読み!
図1は2021年上半期に発見された脆弱性の対象となっている製品の内訳である。ここで「Level 0」〜「Level 3」というのは、ICSのセキュリティーを検討する際によく用いられる「Purdueモデル」における階層のことであり、Purdueモデルは図2のようになっている。


Level 3はパソコンやデータベースサーバーなどで運用管理を行うレベルであり、そのほとんどがソフトウエアの脆弱性となっている。これに対してLevel 1はセンサーやアクチュエーターなどに直接繋がっているPLCなどの機器であり、発見された脆弱性の7割程度がファームウエアに関する脆弱性となっている。これらの中間となるLevel 2は、SCADAなど稼働監視やデータ収集を行うシステムが該当し、ソフトウエアの脆弱性が85%程度を占めている。
本報告書では、Level 1とLevel 2とを合わせて約3割となるところに特に注目されている。その理由は、このような下位レベルの脆弱性を狙って攻撃できれば、機器の動作に直接的な影響を与えることができ、攻撃者にとってより魅力的なターゲットとなるためである。
さらに、下位レベルではファームウエアが脆弱性を抱えている割合が高いことも問題となり得る。一般的にソフトウエアに比べてファームウエアはアップデートしにくい事が多く、機器によってはアップデート不可能な場合も少なくない。このような事情を踏まえて、本報告書では、ネットワークのセグメントを分割する、ネットワークの監視を強化する、リモートアクセスのセキュリティーを厳しくするなどの方法で、下位レベルに攻撃が及ばないような対策を講じることが推奨されている。
海外のレジリエンス調査研究ナナメ読み!の他の記事
おすすめ記事
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/01
-
-
-
-
-
全社員が「リスクオーナー」リーダーに実践教育
エイブルホールディングス(東京都港区、平田竜史代表取締役社長)は、組織的なリスクマネジメント文化を育むために、土台となる組織風土の構築を進める。全役職員をリスクオーナーに位置づけてリスクマネジメントの自覚を高め、多彩な研修で役職に合致したレベルアップを目指す。
2025/03/18
-
ソリューションを提示しても経営には響かない
企業を取り巻くデジタルリスクはますます多様化。サイバー攻撃や内部からの情報漏えいのような従来型リスクが進展の様相を見せる一方で、生成 AI のような最新テクノロジーの登場や、国際政治の再編による世界的なパワーバランスの変動への対応が求められている。2025 年のデジタルリスク管理における重要ポイントはどこか。ガートナージャパンでセキュリティーとプライバシー領域の調査、分析を担当する礒田優一氏に聞いた。
2025/03/17
-
-
-
なぜ下請法の勧告が急増しているのか?公取委が注視する金型の無料保管と下請代金の減額
2024年度は下請法の勧告件数が17件と、直近10年で最多を昨年に続き更新している。急増しているのが金型の保管に関する勧告だ。大手ポンプメーカーの荏原製作所、自動車メーカーのトヨタや日産の子会社などへの勧告が相次いだ。また、家電量販店のビックカメラは支払代金の不当な減額で、出版ではKADOKAWAが買いたたきで勧告を受けた。なぜ、下請法による勧告が増えているのか。独占禁止法と下請法に詳しい日比谷総合法律事務所の多田敏明弁護士に聞いた。
2025/03/14
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方