@article{oai:ipsj.ixsq.nii.ac.jp:00199577,
 author = {熊谷, 洋子 and 松原, 佑生子 and 内山, 宏樹 and 鍛, 忠司 and 藤田, 淳也 and 中野, 利彦 and Yoko, Kumagai and Yukiko, Matsubara and Hiroki, Uchiyama and Tadashi, Kaji and Junya, Fujita and Toshihiko, Nakano},
 issue = {9},
 journal = {情報処理学会論文誌},
 month = {Sep},
 note = {電力，鉄道，水道，ガスといった社会インフラを支える制御システムは，システムのオープン化等にともない，情報システムと同様のセキュリティ対策が求められてきている．制御システムを運営する事業者は，事業全体に対するサイバーセキュリティリスクを正しく認識したうえで適切なセキュリティ対策を実施する必要がある．しかしながら，社会インフラシステムは事業規模が大きいため，事業全体のリスクを網羅的に把握するのが困難である．また，制御システムと情報システムとでは保護対象や想定脅威が異なるため，制御システムの特徴を考慮した分析が必要である．このような課題を受け，本論文では事業レベルでのリスク分析手法として，事業全体のリスクを効率的に抽出し，それらを俯瞰したうえで優先的に対策すべき業務/システムを把握する手法を示す．本手法では，入力，出力，人，システム，装置，規格・計画の構成要素を活用し，汎用的な事業モデルを定義することで，事業全体を把握可能であることを示す．また，制御システムで考慮すべきH&SEB（Health, Safety, Environment and Business）の観点で事業上のリスクを解析的に抽出し，重大なリスクに関係の深い業務/システムを特定可能であることを示す．さらに，本提案手法と従来手法のリスク抽出および評価手法について比較，評価することで，本手法が活用可能であることを示す．, In the industrial control system supporting social infrastructure such as electric power, railway, water supply, and gas, security measures similar to those of the information system are required. Business operators operating the industrial control system need to correctly recognize cyber security risks for the entire business and implement appropriate security measures. However, the social infrastructure system has a large business scale, so it is difficult to understand the overall risk of the entire business. Also, it is necessary to analyze considering the characteristics of the industrial control system. In response to these issues, this paper proposes a risk analysis method at the business level. This method efficiently extracts the risks of the entire business, understands the business/system that should be taken preferentially after overlooking them. In this method, general-purpose business models are defined using inputs, outputs, people, systems, equipment, standards and plan components. Also analyze business risks analytically from the viewpoint of HSE & B (Health, Safety, Environment, and Business) to be considered in the industrial control system. Furthermore, we show that our method can be utilized by comparing and evaluating risk extraction and evaluation method of this proposed method and conventional method.},
 pages = {1518--1527},
 title = {制御システム向け事業レベルでのリスク分析手法の提案},
 volume = {60},
 year = {2019}
}