国際標準を読み解く IEC 62443の本質として、第1回ではOTを対象にしたセキュリティ対策の国際標準であるIEC 62443シリーズの位置付けを取り上げました。
続く第2回では、工場のセキュリティ対策を進める上で管理(マネジメント)の基準となる、IEC 62443-2-1について解説します。
IEC 62443-2-1の構成
IEC 62443-2-1は、IEC 62443-2のパートの第1部であり、「産業用オートメーション及び制御システムセキュリティプログラムの確立」という表題になっています。2021年12月時点で、発行済みのものはEdition 1.0(2010年発行)です。IACS (Industrial Automation and Control System:産業用オートメーション及び制御システム)をサイバー攻撃から守るためのマネジメントシステムとして、CSMS(Cyber Security Management System)の構築・運用を求めています。
その構成は、大きく3つのカテゴリに分かれます。
- 4.2 カテゴリ:リスク分析
リスク分析として、どのような手法でリスクアセスメントを実施するのか、リスクアセスメント方法の決定とその実施を求めています。その特徴は、「上位レベルのリスクアセスメント」と「詳細なリスクアセスメント」の2段階によるリスクアセスメントです。たとえば、工場全体をベースラインリスク分析で俯瞰し、工程ラインごとに詳細リスク分析で深掘りをするといった、組み合わせアプローチが考えられます。 - 4.3 カテゴリ:CSMSによるリスクへの対処
ここでは、要員のセキュリティ意識向上を重視している点が特徴です。4.3.2.4.3 「サポート要員に対する訓練の提供」では、「リスクマネジメント、IACSのエンジニアリング、システム管理/保守、及びCSMSに影響を与えるその他の取組みを実行するすべての要員は、これらの取組みのセキュリティ目的及び産業活動について訓練を受けていることが望ましい」と要求しています。
リスクアセスメントを実施するメンバーや、制御システムを開発・導入するエンジニア、運用保守を担うベンダーの要員などを含め、対象者を広く明示しています。
また、可用性を優先するOTの特性を考慮し、事業継続計画に関する要求事項が計7つ(4.3.2.5.1~4.3.2.5.7)規定されています。 - 4.4 カテゴリ:CSMSの監視及び改善
決められたセキュリティポリシーへの順守状況を検証するための監査と、継続的な改善に対する要求です。特徴のある要求事項としては、4.4.3.6 「業界のCSMS戦略の監視及び評価」があげられます。たとえば、外部のセキュリティセミナーに参加して業界の最新動向をウォッチしたり、業界団体が企画するセキュリティ対策の研究会へ参画したりすることです。
ISO/IEC 27001との比較
IEC 62443-2-1(CSMS)は、ISO/IEC 27001(ISMS)の制御システム版と呼ばれることもあり、ISMSと比較して理解することが多いと思います。また、CSMSの序文では、追加的な補足情報を得るために、ISMSへの参照を推奨しています。
ここでは、具体的な要求事項の内容を対比するのではなく、ISMSに慣れ親しんだ方にCSMSを読み解くためのポイントとして、ISMSとの違いを解説します。
- 管理策
ISMSでは、セキュリティのリスク対応に必要な管理策について、付属書Aに示す管理策への参照を求めています。管理策とは、いわゆる対策のカタログです。ISMSでは、一般的に多くの組織で必要となる管理策が、対策の要求事項として付属書Aで一覧にまとまっています。
対してCSMSにおいては、4.3 「CSMSによるリスクへの対処」に管理策のみでなく、ISMSでいうマネジメントの要求に該当するものも多く含まれています。たとえば、4.3.2.2 「CSMSの適用範囲」の内容は、管理策ではなくマネジメントに対する要求事項だと考えるのが一般的です。
また、CSMSではリスクアセスメントの結果、リスク対応として決定する管理策への流れ(プロセス)も明確に示されていません。マネジメント/管理策のどちらの要求事項に該当するのかわかりづらいため、かなり違和感があると思います。 - 内部監査とマネジメントレビュー
ISMSでは、内部監査とマネジメントレビューが、それぞれ要求事項として明確になっています。CSMSでは、4.4.2.2 「定期的なIACSの監査の実行」が内部監査であり、4.4.3.2 「CSMSの定期的な評価」がマネジメントレビューになると解釈できます。しかしながら、明確に「内部監査」や「マネジメントレビュー」という用語が使われていないため、本当にそうなのか疑問に思われるのではないでしょうか。
また、ISMSと比べて、内部監査やマネジメントレビューに求められる要求事項が少ないのも、気になるところだと思います。 - セキュリティ目的と有効性評価
ISMSでは、情報セキュリティ目的の確立とその達成状況、そしてパフォーマンス評価としての有効性評価は、マネジメントの要求として欠かせません。
しかし、CSMSでは、セキュリティ目的への達成を意味するような要求事項の内容がいくつも出てきますが、その目的の確立に関する要求事項がありません。また、有効性評価でいうと、4.4.2.3 「適合の尺度の確立」の内容に、“パフォーマンス”という用語の記載があるため、この要求事項が該当しそうに思えます。ただ、どう内容を解釈しても、ISMSの有効性評価とは違った意味合いになるのではないでしょうか。
このあたりも、ISMSと比べて違和感を持たれるところです。
このような違いからも、CSMSを補完する追加情報として、ISMSへの参照が有効になると考えます。
続く第3回では、工場のセキュリティ対策を進める上でもう1つのバイブルとなる、IEC 62443-3-3について考察します。
執筆者
KPMGコンサルティング
顧問 福田 敏博 ※掲載当時
国際標準を読み解く IEC 62443の本質
関連リンク
工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。
- 経営リスクで考える工場セキュリティ対策の重要性(全4回)
- いまさら聞けない工場セキュリティの基本(全4回)
- 管理視点で考える工場セキュリティの勘どころ(全3回)