サイバーPHA

この記事には複数の問題があります。改善にご協力いただくか、トークページでこれらの問題について議論してください。（これらのメッセージを削除する方法とタイミングについてはこちらをご覧ください） この記事には独自の研究が含まれている可能性があります。主張を検証し、インライン引用を追加して改善してください。独自の研究のみに基づく記述は削除してください。 （2017年7月）(このメッセージを削除する方法とタイミングについて学ぶ) この記事は検証のために追加の引用が必要です。 Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed. Find sources: "Cyber PHA" – news · newspapers · books · scholar · JSTOR (January 2021) (Learn how and when to remove this message) This article may be too technical for most readers to understand. Please help improve it to make it understandable to non-experts, without removing the technical details. (June 2017) (Learn how and when to remove this message) (Learn how and when to remove this message)

サイバーPHAまたはサイバーHAZOPは、産業用制御システム（ICS）または安全計装システム（SIS）のサイバーセキュリティリスク評価を実施するための安全指向の手法です。これは、ISA 62443-3-2、ISA TR84.00.09、ISO/IEC 27005 :2018、ISO 31000 :2009、NIST Special Publication (SP) 800-39などの業界標準に基づいた、体系的かつ結果重視のアプローチです。

この手法は、サイバー PHA またはサイバー HAZOP と呼ばれています。これは、 プロセス安全管理、特に非常に危険な産業プロセス (石油、ガス、化学など) を実行する業界で普及しているプロセス危険性分析 (PHA)または危険性と操作性調査(HAZOP) 研究に似ているためです。

サイバーPHAまたはサイバーHAZOP手法は、プロセス安全とサイバーセキュリティのアプローチを調和させ、計装、運用、エンジニアリングの各分野の連携を必要とします。プロセス安全PHA/HAZOP手法をモデルとしたサイバーPHA/HAZOPは、サイバーハザードを他のプロセスリスクと同様に特定・分析することを可能にします。また、従来のHAZOPとは別に後続の活動として実施できるため、既存のブラウンフィールドサイトと新規に建設されるグリーンフィールドサイトの両方で、確立されたプロセス安全プロセスに過度に干渉することなく使用できます。^[1]

この手法は通常、サイバーPHA/HAZOPプロセスに精通したファシリテーターと筆記者、そして産業プロセス、産業オートメーション・制御システム（IACS）、および関連ITシステムに精通した複数の専門家を含むワークショップ環境で使用されます。ワークショップチームには通常、運用、エンジニアリング、IT、安全衛生の各分野の代表者が参加します。現実的な脅威シナリオの作成、影響の評価、そして脅威の現実性、既知の脆弱性、既存の対策に関する合意形成には、多分野にわたるチームが不可欠です。

ファシリテーターと記録係は通常、ワークショップを実施するために必要なすべての情報 (システム アーキテクチャ図、脆弱性評価、以前の PHA/HAZOP など) を収集して整理し、必要に応じてワークショップ チームにその方法をトレーニングする責任を負います。

サイバーPHA/HAZOP評価の文書化には、ワークシートが一般的に用いられます。サイバー手法をサポートするために、様々なスプレッドシートテンプレート、データベース、商用ソフトウェアツールが開発されています。組織のリスクマトリックスは通常、ワークシートに直接統合され、重大度と発生可能性の評価を容易にし、結果として得られるリスクスコアを参照できます。ワークショップのファシリテーターは、チームをプロセスに導き、すべての情報を集約し、合意に達し、プロセスが円滑に進むように努めます。ワークショップは、すべてのゾーンと導管の評価が完了するまで進行します。その後、結果は統合され、ワー​​クショップチームと適切な関係者に報告されます。

ICSサイバーセキュリティリスク評価を実施するためのもう一つの一般的な安全性重視の手法は、サイバーボウタイ法です。サイバーボウタイ法は、実績のあるボウタイダイアグラムをベースとしていますが、サイバーセキュリティリスク評価向けに改良されています。

• 安全のためにはサイバーセキュリティが必要
• セキュリティプロセスのハザード分析レビュー
• 保護リング分析を用いたプロセス制御システムのサイバーセキュリティリスク分析
• グリーンフィールドICSプロジェクトにサイバーセキュリティを組み込む
• サイバーPHA入門
• ビデオ: サイバー PHA 概要ビデオ
• ビデオ: S4x17 での ICS サイバーセキュリティリスクを評価するためのサイバープロセスハザード分析 (PHA) のプレゼンテーション
• ビデオ: S4x19 における結果に基づく ICS リスク管理のプレゼンテーション
• あなたのプロセス安全システムはどれくらい安全ですか?
• プロセス安全とサイバーセキュリティ
• ICSのセキュリティ確保 2020年6月16日アーカイブWayback Machine
• 安全にはサイバーセキュリティが必要
• サイバーセキュリティと安全性の家族関係
• サイバーセキュリティは最新の情報に依存
• サイバーセキュリティリスク評価
• デール・ピーターソンの非公式応答ポッドキャスト：真実か結果か