国際標準を読み解く IEC 62443の本質として、第1回ではOTを対象にしたセキュリティ対策の国際標準であるIEC 62443シリーズの位置付けを解説します。
国際標準とは、国によって異なる構造や性能、技術等を世界的に統一した規格です。ITセキュリティの国際標準といえば、ISO/IEC 27000シリーズが非常に有名です。これをOTセキュリティで活用することもできなくはありません。しかしながら、IACS(Industrial Automation and Control System:産業用オートメーション及び制御システム)をサイバーセキュリティから守るための国際標準であるIEC 62443シリーズが、よりOTセキュリティに適しているのは間違いありません。
そこで、最初にIEC 62443シリーズがどのように構成されているのか、その全体像を見ていきます。
IEC 62443は大きく4つのパートに分かれる
IEC 62443シリーズというだけあって、IEC 62443は複数の規格から構成されています。その分類としては次に示すように、62443に続く番号で大きく4つのパートに分かれています。
- IEC 62443-1(一般)
各パート全般に共通する事项を规定しています。ここには、用语はもちろんのこと、コンセプトやモデルといった概念の定义があります。 - IEC 62443-2(ポリシー及び手順)
组织のマネジメント(管理?运用)のポリシー、手顺に関するセキュリティ事项を规定しています。 - IEC 62443-3(システム)
コンピュータシステム?ネットワークを含むシステム全体の技术、リスク评価に関するセキュリティ事项を规定しています。 - IEC 62443-4(コンポーネント)
制御机器やソフトウェアなどの製品(システムコンポーネント)の开発ライフサイクルや技术に関するセキュリティ事项を规定しています。
さらに、それぞれのパートは、次に示す个々の规格へと分かれます(2021年12月时点)。
セキュリティ标準の全体像
次に、関連する国際標準と業界標準等について、カバーする範囲(組織、システム、コンポーネント、技術)と業種分野(全般、固有)の全体像を図に示します。これらのなかでIEC 62443は、組織?システム?コンポーネントに対して、汎用的なOTセキュリティの標準に位置付けられることがわかります。
工场のセキュリティ管理で重要となる标準は
それでは、工場のセキュリティ対策を進めるにあたって、IEC 62443シリーズを構成する各パートの標準すべてを考慮する必要があるのでしょうか? コンポーネントを対象にするIEC 62443-4のパートは、主にOT製品(機器やソフトウェアなど)を開発するメーカやベンダーに対するセキュリティの標準となります。よって、アセットオーナーと呼ばれる工場のエンドユーザにとって、それほど重視すべきものではないはずです。
組織(ポリシー及び手順)が対象のIEC 62443-2と、システムが対象のIEC 62443-3は、工場のセキュリティ対策には欠かせません。そのなかでも、マネジメントの管理要件を規定するIEC 62443-2-1と、システムの対策要件を規定するIEC 62443-3-3の2つが、工場セキュリティ対策のバイブルになると考えます。
続く第2回では、工場のセキュリティ対策を進める上でバイブルの1つとなる、IEC 62443-2-1について考察を進めます。
执笔者
碍笔惭骋コンサルティング
顧問 福田 敏博 ※掲載当時
国際標準を読み解く IEC 62443の本質
関连リンク
工场セキュリティに関するシリーズ连载です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。
- 経営リスクで考える工场セキュリティ対策の重要性(全4回)
- いまさら闻けない工场セキュリティの基本(全4回)
- 管理视点で考える工场セキュリティの勘どころ(全3回)
