日本電気株式会社(NEC)は11月18日、米国アイダホ国立研究所が開発したセキュリティ対策検討手法の Consequence-driven Cyber-informed Engineering(CCE)について、同社セキュリティブログで紹介している。
CCEは、米国アイダホ国立研究所が2016年に公開した制御システム向けセキュリティ対策検討手法の一つで、「発生してほしくない事象」を基点として制御システム向けのセキュリティ対策を検討する。「リスク値の計算が不要」「4ステップで検討が可能」「制御システムの関係者の連携が必要」といった特徴がある。
CCEは、想定できた事象に対し効果的にその対策を実施することはできるが、想定外の被害は防げないことが課題として挙げられ、各種業界ガイドラインや規制によって多層的なセキュリティ対策を実施しつつ、そのうえでCCEを用いた対策を進める必要がある。
制御システムをターゲットとして作成されたCCEのITセキュリティへの応用として、下記の2つの例を紹介している。
・従業員訓練・教育への応用
金融業界で注目される脅威ベースのペネトレーションテスト(TLPT:Threat-Led Penetration Testing)では、対象組織への「脅威シナリオ」を作成し、シナリオベースに運用中のシステムに対し実際に攻撃を行うが、TLPT実施前の、自組織で「発生してほしくない脅威」を基点とした対策状況を確認するのにCCEを利用。
・セキュリティ対策状況の検討範囲を拡大するために利用
例として「サーバのランサムウェア被害」を発生してほしくないセキュリティインシデントとして考えた場合、CCEの残りのステップを検討することでランサムウェアの対策の検討が進められる可能性がある。
