リスクアセスメント – リスク分析

OTセキュリティリスク分析サービス

OT環境においてお客様が抱えるセキュリティリスクを把握するため、初めにリスク分析を実施します。人的・物理的な面に注目したリスク分析の結果から、お客様の抱えるリスクに応じた適切なセキュリティポリシーを策定します。
お客様のOT環境に合わせ、ベースライン分析と詳細リスク分析の組み合わせアプローチを用いてリスク分析を進めます。

ベースライン分析

IEC62443等の国際標準が定める管理策の要求事項を基準として定め、それをもとにセキュリティ対策の実施状況をチェックし、目標としているセキュリティレベルに達しているかどうかを網羅的に評価する方法です。

ベースライン分析

詳細リスク分析

リスクを特定した後、「脅威」「脆弱性」「資産価値」等からリスクをさらに詳細に分析・評価する方法です。iSECではプロセスベースでリスクシナリオを特定し、脅威と脆弱性、資産の重要性のレベルを分析してリスク値を求めます。その後リスク対応の選択を行い、セキュリティ対策へのアドバイスを行います。リスクを詳細化することで、より効果的な対策を行うことができます。
詳細リスク分析

組み合わせアプローチ

ベースライン分析と詳細リスク分析を組み合わせた方法です。ベースライン分析でリスク全般を網羅し、注視すべきポイントを明確にしたうえで詳細リスク分析を行います。二つのリスク分析手法を用い、互いに補完しあうことでより有効性の高いリスク分析を行うことが可能です。

簡易診断サービス(無償)

こちらのサービスは無償で引き受けており、現状調査(ヒアリング・現場確認)を1日かけて行い、後日報告会(1回)を開催します。ベースラインと詳細リスクの組み合わせで調査し、(IEC62443)規定のチェックリストのリスクに沿って、プロセスベースで、少し踏み込んで取り行っていきます。

ペネトレーションテストとの組み合わせ

OTに特化したペネトレーションテストを組み合わせることが可能です。これにより、より技術的に踏み込んだ調査をすることができます。ベースラインと詳細リスクに加えてぺネストレーションテストを追加して調査することも可能です。