近年、産業機器開発の現場ではネットワーク化が進み、それに伴い外部からの悪意ある攻撃からシステムを守る「サイバーセキュリティ対策」が急務となっています。
産業開発の現場や重要なインフラに対してサイバー攻撃を受けた場合、被害は経済的な損失にとどまらず、環境に大きな影響を与え、公衆衛生や生命を脅かす可能性もあります。
本記事ではサイバー攻撃に対応すべく、IECにより発行されたセキュリティ規格「IEC 62443」について紹介していきます。
セキュリティを確保するために開発された「IEC 62443」とは
IEC 62443とは、国際標準化団体であるIEC(International Electrotechnical Commission)により発行された、産業用オートメーション及び制御システム(IACS)におけるサイバーセキュリティを確保するための規格です。
この規格はシステム全体の設計から運用、保守に至るまでの各フェーズにおいて、セキュリティ対策を講じるためのガイドラインを提示しており、システムを構築する際の指針となるものです。
そのため、IEC 62443はセキュリティ基準を適用して産業制御システムの安全性を確保するための”フレームワーク”と考えると分かりやすいでしょう。
IEC 62443シリーズは、産業用オートメーションおよび制御システム(IACS)のライフサイクル全体を通してセキュリティを確保するために開発されました。(筆者翻訳)
引用元:https://www.iec.ch/blog/understanding-iec-62443
[原文]
The IEC 62443 series was developed to secure industrial automation and control systems (IACS) throughout their lifecycle.
開発の現場でIEC 62443を活用するには?
では、実際に開発の現場でIEC 62443を活用するためにはどのようにして導入していくのでしょうか?
この規格は「フレームワーク」と捉えると良いと先のセクションでお伝えしましたが、大きく分けて4つのパートに分れた規格群があり、これらを1つずつ理解しながら現場におけるセキュリティ対策を強化していくことが重要です。
この規格を導入する上で重要なことを、IEC 62443を発行したIEC(International Electrotechnical Commission)は、サイト内で以下のように述べています。
IEC 62443は、制御システムを構成する技術だけでなく、作業プロセス、対策、従業員も対象としています。IACSを担当するスタッフは、セキュリティを確保するために必要なトレーニング、知識、スキルを有していなければなりません。(筆者翻訳)
[原文]
IEC 62443 addresses not only the technology that comprises a control system, but also the work processes, countermeasures, and employees. The standard takes a holistic approach because not all risks are technology-based: the staff responsible for an IACS must have the required training, knowledge and skills to ensure security.
引用元:https://www.iec.ch/blog/understanding-iec-62443
IEC 62443はサイバーセキュリティに対してリスクベースのアプローチをとっており、これはすべての資産を均等に保護しようとすることは効率的でも持続可能でもないという概念に基づいています。
[原文]
その代わりに、ユーザーは最も価値があり最大の保護を必要とするものを特定し、脆弱性を特定する必要があります。
その上で、事業継続性を確保するための深層防御アーキテクチャを構築しなければなりません。(筆者翻訳)
IEC 62443 takes a risk-based approach to cyber security, which is based on the concept that it is neither efficient nor sustainable to try to protect all assets in equal measure. Instead, users must identify what is most valuable and requires the greatest protection and identify vulnerabilities.
They must then erect defence-in-depth architecture that ensures business continuity.
引用元:https://www.iec.ch/blog/understanding-iec-62443
対象・目的ごとに規格分けされた4つのパート
IEC 62443-1(概要と定義)
サイバーセキュリティに関する基本的な用語や概念を定義しています。
このパートでは具体的なセキュリティ対策を指示するというよりは、この規格全体を理解するための土台を築いていきます。
IEC 62443-2(ポリシーと手順)
このパートでは管理的な視点から、サイバーセキュリティに対する組織的な対応を規定しています。
例えば、セキュリティポリシーの設定や運用管理手順が対象で、システムのセキュリティを維持するためのガイドとして役立ちます。
IEC 62443-3(システムレベルの技術要件)
このパートでは工業用制御システム全体における技術的なセキュリティ対策を定義しています。
セキュリティリスクに応じて、システムに求められる対策を階層的に規定します。
IEC 62443-4(製品レベルの技術要件)
セキュアな製品開発のための要件が含まれており、産業用機器やソフトウェアがサイバー攻撃に対してどのような防御策を持つべきかが述べられています。
なぜセキュリティレベルによって評価する
さらに、リソースを効率的に配分し適切に運用するため、セキュリティレベルによって評価をします。
例えば、重要なインフラを支えるシステムには高いレベルのセキュリティ対策が求められますが、一方で、比較的リスクの少ないシステムには基本的な対策で十分な場合もあります。
このように、脅威やリスクに応じたセキュリティ対策を適切に選択することで、持続的に運用をしていきます。
- SL1: 偶発的な攻撃に対応可能
- SL2: 初歩的なスキルを持つ攻撃者に対抗可能
- SL3: 高度な技術を持つ攻撃者に対抗可能
- SL4: 非常に高度で資源の豊富な攻撃者に対抗可能
価値の高まるセキュリティ対応製品
産業機器の開発において、セキュリティ対策を講じた製品は今後ますます重要視されていくことが予想されます。
例えば民間企業の工場から「今後 IEC 62443に準拠した製品しか採用しない」と発表された場合、準拠していない機器や部品は今後導入はされなくなります。
実際に、ニューヨーク州では公共交通機関、水道・下水道、電気・ガス、医療など公共サービスの分野で工場・施設の所有者と製品のサプライヤーにIEC62443遵守を義務付ける「重要インフラの標準と手順」法案(法案番号:S5646)」が審議されており、フロリダ州が後に続いています。(参照:https://www.bureauveritas.jp/electronics-wireless/interview/001 )
そのためIEC 62443に準拠した製品は、セキュリティに厳しい政府機関などの顧客からの調達要件を満たすためにも重要な選択肢となり、市場での競争力も向上していくことが期待されます。
また、製造業・医療業界・エネルギー業界・交通インフラなどの多くの業界では、セキュリティに関する法的規制も強化されており、これらの要求に応えるためにもIEC 62443の導入は必要になっていくでしょう。
IEC 62443で最も重要なのは、開発・運用ライフサイクル全体を通じてセキュリティを一貫して考慮し続けることです。ぜひ、現場で持続可能な運用体系を検討してみてください。
