「起こってほしくない」を起点とした対策、制御システム向けセキュリティ対策検討手法「CCE」とは | ScanNetSecurity
2023.02.04(土)

「起こってほしくない」を起点とした対策、制御システム向けセキュリティ対策検討手法「CCE」とは

 日本電気株式会社(NEC)は11月18日、米国アイダホ国立研究所が開発したセキュリティ対策検討手法の Consequence-driven Cyber-informed Engineering(CCE)について、同社セキュリティブログで紹介している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 日本電気株式会社(NEC)は11月18日、米国アイダホ国立研究所が開発したセキュリティ対策検討手法の Consequence-driven Cyber-informed Engineering(CCE)について、同社セキュリティブログで紹介している。

 CCEは、米国アイダホ国立研究所が2016年に公開した制御システム向けセキュリティ対策検討手法の一つで、「発生してほしくない事象」を基点として制御システム向けのセキュリティ対策を検討する。「リスク値の計算が不要」「4ステップで検討が可能」「制御システムの関係者の連携が必要」といった特徴がある。

 CCEは、想定できた事象に対し効果的にその対策を実施することはできるが、想定外の被害は防げないことが課題として挙げられ、各種業界ガイドラインや規制によって多層的なセキュリティ対策を実施しつつ、そのうえでCCEを用いた対策を進める必要がある。

 制御システムをターゲットとして作成されたCCEのITセキュリティへの応用として、下記の2つの例を紹介している。

・従業員訓練・教育への応用
 金融業界で注目される脅威ベースのペネトレーションテスト(TLPT:Threat-Led Penetration Testing)では、対象組織への「脅威シナリオ」を作成し、シナリオベースに運用中のシステムに対し実際に攻撃を行うが、TLPT実施前の、自組織で「発生してほしくない脅威」を基点とした対策状況を確認するのにCCEを利用。

・セキュリティ対策状況の検討範囲を拡大するために利用
 例として「サーバのランサムウェア被害」を発生してほしくないセキュリティインシデントとして考えた場合、CCEの残りのステップを検討することでランサムウェアの対策の検討が進められる可能性がある。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×