Article Posted date 13 October 2021

工場セキュリティへの原点回帰として、第3回ではリスクアセスメントの本質を考察し、セキュリティ対策の基本を振り返りました。今回は、このテーマのまとめ(最終回)として、基本を忠実に守りながら、いかにして取組みを発展させていくのか、その手がかりについて解説します。

工場セキュリティの基本-4-図1

国際標準を知る

セキュリティ対策を進めていくと、次のような点が気になってくるのではないでしょうか。

  • 他社では、どのようなセキュリティ対策を行っているのだろうか
  • 自社のセキュリティ対策で、大きな抜け落ちがないだろうか
  • 取引先等からのセキュリティ要求に、十分に応えられるのだろうか

こうした場合、拠り所となるのがセキュリティ対策のガイドラインや基準などです。それらと比較することで、自社のセキュリティ対策とのギャップが把握できます。ITでは、国際標準の「ISO/IEC 27001 情報セキュリティマネジメントシステム」を参考にすることが多いと思われます。
そして、OTを対象にしたセキュリティ対策の国際標準といえば、IEC 62443シリーズがあります。IACS(Industrial Automation and Control System:産業用オートメーションおよび制御システム)をサイバーセキュリティから守るための基準として、次の4つのパートに分かれています。

IEC 62443-1(一般)
各パート全般に共通する事項を規定しています。ここには、用語はもちろんのこと、コンセプトやモデルといった概念の定義があります。

IEC 62443-2(ポリシーおよび手順)
組織のマネジメント(管理・運用)のポリシー、手順に関する事項を規定しています。

IEC 62443-3(システム)
コンピュータシステム・ネットワークのセキュリティに関する事項を規定しています。

IEC 62443-4(コンポーネント)
コンポーネントのセキュリティ(開発プロセス・機能)に関する事項を規定しています。

工場セキュリティの基本-4-図2

その活用方法は

国際標準の活用方法として、次の2つを取り上げます。

リスクアセスメントの基準とする
リスクアセスメントの手法の1つに、ベースラインリスク分析があります。いわゆるチェックリストのように、基準となる各項目を評価する方法です。この基準として、IEC 62443の各パートで求めるセキュリティ対策の要件(管理策)を参考にします。
各種管理策は、OT環境で一般的に想定されるセキュリティリスクを基に策定されているため、これを基準にすることで、リスク全般の網羅的評価が可能となります。リスクの有無として2段階で確認したり、対策の実施状況として3段階(適切、改善の余地あり、不十分など)で確認したりすることがあります。
また、最初にベースラインリスク分析で全体を俯瞰してリスクを把握し、課題が多い箇所に集中して詳細リスク分析を行ったり、組み合わせアプローチが取られたりすることもあります。

セキュリティポリシーの雛形とする
第3回で説明しましたが、リスクアセスメントの結果、リスク低減のための具体的な対策へ落とし込む際に、IEC 62443から該当する管理策を探して参考にすることがあります。そうした使い方と同じように、セキュリティの社内規程を作成する際の雛形として活用することができます。
たとえば、IEC 62443-2-1は、組織のセキュリティマネジメントに関する要求事項が規定されており、ISO/IEC 27001の制御システム版とも呼ばれています。ISO/IEC 27001は、情報セキュリティポリシー策定において、デファクトスタンダードのように活用されています。OTのセキュリティポリシー策定では、IEC 62443-2-1に基づいてセキュリティ管理の枠組みや対策の要件を決めていくことで、国際標準に即した内容にまとめることができるのです。

工場セキュリティの基本-4-図3

ステップアップするには

「守破離(しゅはり)」という言葉を聞いたことがあるでしょうか。日本の武道や茶道などの修業における段階を示したものです。これをセキュリティ対策に当てはめてみます。

「守」は、基本を守り、確実に技を身につけることです。たとえば、本テーマの第1回から3回までで取り上げた基本的な内容から、国際標準などを参考にして次のように対策を進めます。

  • 守るべき対象を明確にする
    IACS資産を洗い出し、その重要性を再確認する。
  • リスクアセスメントを実施する
    ITとの違いを認識し、現状のセキュリティリスクを把握する。
  • OTのセキュリティ管理規程(セキュリティポリシー等)を整備する
    リスクを低減するために、セキュリティ対策に関する社内ルールを決めて運用する。

「破」は、身につけた技を、改善・改良して発展させることです。セキュリティ対策においても、最初から完璧な対処などできませんし、一度の実施で完了するものではありません。当たり前のことですが、セキュリティの環境変化に対応するためにも、継続的な改善を進める必要があります。
その際には、国際標準の活用の仕方も変わります。たとえば、IEC 62443で策定する管理策は、箸の上げ下ろしというような具体的に細かな事項までは規定していません。それは、抽象化した内容を提示することで、さまざまなOT環境に対して応用が利くようにするためです。
応用を利かせるとは、自社の状況に合わせて具体的に規定を解釈するということです。そのためには、国際標準の内容をより深く読み解くことが必要になります。

「離」は、独自の新しいものを生み出し、確立させることです。この段階になると、継続的な改善に行き詰まりが生じてきます。現状から距離を置き、ゼロベースで対策を再構築することが求められます。

工場セキュリティの基本-4-図4

さいごに

「いまさら聞けない工場セキュリティの基本」をテーマに、計4回にわたって解説しました。
OTのセキュリティ対策が進むにつれ、「灯台もと暗し」のように、身近なところに思わぬリスクがあったり、「手段の目的化」のように、いつのまにか対策の実施が目的になったりすることもあるかもしれません。今一度、基本に立ち返ってみると、改めて気づくことがあるのではないでしょうか。
まだまだこれからという企業であれば、まずは基本を大切にして、次のステップに踏み出していただければと思います。

執筆者

KPMGコンサルティング
顧問 福田 敏博 ※掲載当時

いまさら聞けない工場セキュリティの基本

    関連リンク

    工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

     

    お問合せ

    ロボットアーム操作

    制御システム/IoTセキュリティ

    制御システム/IoTセキュリティ

    スマート化する産業用制御システム、IoTサービスのシステムに求められるサイバーセキュリティ対策を支援します。
    ネットワークに結ばれた地球

    サイバーセキュリティ

    サイバーセキュリティ

    多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。