ISA/IEC62443は、産業オートメーションおよび制御システム(IACS)の世界標準のフレームワークで構成されています。この業界標準は、安全な産業システムを構築、実行、維持するための基準を定めています。このブログでは、セキュリティゾーンのリスクを理解するために、ISA/IEC 62443 3-2 を実装することの重要性を強調します。また、この業界標準を使用する利点と、SecurityGateのプラットフォームがその業界標準と統合し、実務者が企業の目標を達成するためのシームレスなフレームワークを作成することの利点についても詳しく説明します。
ISA/IEC 62443シリーズの標準規格とは
産業オートメーション&制御システム(IACS)は、脅威への露出とその可能性によって異なるビジネスリスクをもたらします。システムに特有の脆弱性は、侵害された場合にさまざまな影響を及ぼします。従って、IACSを運用する企業ごとに異なるリスク許容度があります。現在、IACSの安全性(Security)、完全性(Integrity)、信頼性(reliability)、可用性(Availability)を確保するには不十分であると判断し、国際オートメーション協会(ISA)は2002年にISA-99標準を更新し、ISA/IEC62443として知られるようになりました。
この国際標準規格は、安全なIACSを設計/実装するための包括的なフレームワークを提供します。すべての資産を均等に保護することはリスク管理チームにとって重要で、このフレームワークはユーザが脆弱性対策を優先するサイバーセキュリティへのリスクベースのアプローチを提供します。この標準規格シリーズは4つのセクションに分かれています。
- セクション1(62443-1-X)…シリーズ全体に共通する一般的なトピック
- セクション2(62443-2-X)…IACSセキュリティポリシーと手順に関するガイダンス
- セクション3(62443-3-X)…制御システム要件における特定のテクノロジの適用
このセクションは、システム設計のための3-2リスクアセスメントが含まれており、SecurityGateがカバーする範囲です。 - セクション4(62443-4-X)…IACS製品の開発に関連する情報のドキュメント化
IACSのセキュリティ保護に
ISA/IEC 62443-3-2を使用する理由
セクション3の3-2には、IACSリスクアセスメントとセキュリティ強化のための利害関係者の共通要件である一連のエンジニアリング対策が含まれています。そして、改善要件(IR:Improvement Requirement)を含むコンポーネント要件(CR:Component Requirement)を満たすことが含まれます。ISASecureなどを通じて自社の製品をこれらの標準に準拠して認証する企業は、サイバー攻撃の可能性の減少、ライフサイクル全体にわたるセキュリティの向上、全体的なコストの削減という恩恵を受けられます。
ISA/IEC 62443標準の実装上の課題
この業界標準の奥深さは多くのビジネス上の問題に対処するのに役立ちますが、実装はきわめて重要な作業です。ISA/IEC 62443-3-2はアンケートベースではないため、一般的な適用方法はありません。アセスメントは、企業が特定したい環境、それらの資産に対するサイバー攻撃の可能性と影響、緩和制御の適用方法など範囲によって異なります。最も成熟した企業であっても、ISA/IEC62443-3-2標準を適用する最適な方法を定義したいと考えています。
ISA/IEC 62443-3-2フレームワークの課題は、見込み、結果、影響を含む合意されたリスクマトリックスのようなアセスメントを実行するために必要な事前作業にあります。最初のアセスメントは、アセスメント対象の資産の重要性を判断するために非常に重要です。このアセスメントプロセスでは、スコアやスクリーニングそして質問ライブラリなどのツールを使用して、重要な要素に優先順位を付けて特定します。
現在、多くの企業がISA/IECプロトコルを採用しており、SecurityGateプラットフォームは ISA/IEC 62443-3-2フレームワークの実装を簡素化します。SecurityGateプラットフォームは、IECプロファイルに基づいて特定のシナリオ、結果、脅威、リスク緩和制御のわかりやすいワークフローを提供します。構造的に自動化されたアプローチにより、管理チームはリスクを詳細なレベルでアセスメントし、各システムの全体的な軽減されたリスクスコアと軽減されていないリスクスコアを集計できます。
これにより、SecurityGate はそのシステムがもたらすリスク、および導入されたリスク緩和制御の信頼できるリポジトリとなり、リスク処理に対する説明責任を促進します。
ISA/IEC62443-3-2リスクアセスメントを簡素化する方法
混乱を招く点の1つは、ISA/IEC62443-3-2には管理チームが取るべき手順が明記されていないことです。SecurityGateはフレームワークを解釈し、ワークフローをプラットフォームのアセスメントに変換し、ユーザがアセスメントしたい内容と使用する質問を簡単な方法で選択できるようにしました。
企業がリスクアセスメントを実施する際、独自の方法を持っていることをSecurityGateは理解しています。そこで、SecurityGateは特定のビジネスニーズに応えるカスタマイズ可能なワークフローを開発しました。SecurityGateプラットフォームは、現在のセキュリティレベルと企業の目標レベルを自動的に比較し、その結果を生成します。これは、セキュリティスコアを決定するのに役立ちます。これにより、スプレッドシートやPDFからデータを手動で選択するという退屈で時間のかかる作業が不要になります。
SecurityGateを使用した
ISA/IEC62443-3-2アセスメントの実施
SecurityGateプラットフォームでアセスメントを実行する前に、企業は、アセスメントしたい資産や測定したいビジネス許容レベルなどの範囲を定義することから始めます。
ISA/IEC62443は、IACSの検討中システム(SuC: System under Consideration)を定義し、SuCの対象をゾーンとコンジット(※)に分割するための要件を確立しています。
※ゾーンとコンジットは、多層的に防護層を設置して重要資産を脅威から守るための“深層防御”をネットワーク構造の中に組み込むことを意図して導入された考え方です。
1.ターゲットIACS施設を選択する
ユーザは仮想的に施設にアセスメントを割り当て、アセスメントするゾーンとコンジェットを指定し、プラットフォーム内のリスクの許容レベルを定義して、アセスメントで測定する事前定義された目標を持つリスクマトリックスを作成できます。
RISK MATRIX EDITOR2.新しいアセスメントをスケジュールする
Schedule New assessment
ユーザは、期待される内容とスコアリングの仕組みを説明する導入タブからアセスメントを開始します。ヘルパーテキストを使用すると、各ステップを簡単にたどることができ、ワークフローのさまざまな時点で遵守している62443-3-2要件の部分を理解することができます。
HELPER
3.カテゴリを設定する
次のステップは、ゾーンとコンジットの影響と可能性を、それぞれの目標セキュリティレベルを含めてアセスメントすることです。
4.リスク影響を判断する
そこから、導入されている制御に照らしてリスクをアセスメントし、セキュリティレベルを目標のセキュリティレベルと比較することで、リスクの重大度を定義できます。
SEVERITY CATEGORY EDITOR
アセスメント結果はヒートマップにキャプチャされます。IEC 62443-3-2のアセスメントが完了すると、脅威がその可能性と重大度に応じてヒートマップ全体に追加されます。
RISK MATRIX PREVIEW
複数システムにわたるリスクを手動で測定すると、膨大な時間がかかる可能性があります。
SecurityGateプラットフォームはこのプロセスをデジタル化し脅威のリスクを自動的に分析し迅速な結果をもたらします。
5.リスク対策を特定する
企業は、すべてのシステムのリスクスコアを比較して、リソースに優先順位を付け、計画を立てることができます。その結果をどのように活用するかは企業によって異なります。リスクが許容可能なレベルに達するか、存在しなくなるまでリスクを軽減しようとする人もいます。別のワークフローで追加の手順を実行することを検討する人もいます。あるいは、リスクを受け入れて、目標のセキュリティ レベルに到達することなくワークフローを終了する人もいます。
まとめ
ISA/IEC 62443標準規格は、企業が産業システムを確実に保護できるようにするための包括的な規格セットです。業界標準IEC62443 3-2を利用することで、ゾーンやルート内の潜在的なリスクを正確にアセスメントし、修復することができます。どの企業でも、成熟度に関係なく、SecurityGateプラットフォームでISA/IEC 62433ワークフローを使用するメリットを享受できます。SecurityGateの先進的な実装により、クラウドベースの環境での履歴文書化、自動化されたインサイトとレポート、修復やリスク登録などの他のプラットフォームワークフローへの接続が提供されます。
すべてのアセスメントアクション、出力、修復活動を1つのプラットフォームに統合することで、IECアセスメントを完了することで会社に大きな価値を加えることができます。
原文:
https://securitygate.io/blog/isa-iec-62443-series-of-standards/
参考:
https://www.jpcert.or.jp/ics/20221027_ICSsecStandards-02.pdf
https://www.analog.com/jp/technical-articles/jp_ez_blog_iec-62443-series.html
プレスリリース:
SecurityGateがISASecureとの技術メンバーシップを発表
Sean Haynesがマーケティング委員会座長に就任
HOUSTON, July 11th,
SecurityGateは、技術メンバーとしてISA Security Compliance Institute(ISCI)に加入しました。同社の技術メンバーに加えて、SecurityGateのCMO(最高マーケティング責任者)であるSean HaynesがISCIのマーケティング委員会の座長として加わる予定です。
SecurityGateは、ISASecureの技術メンバーとして、毎週のメンバー会議に積極的に参加し、同業組織の業界リーダと協力して、ISASecure 適合プログラムの方向性と開発を形成しています。ISASecureメンバーシップにより、SecurityGate チームは、最新のISASecureアップデートに合わせてプラットフォームワークフローを継続的に更新および改善できます。
SecurityGateの最高マーケティング責任者であるSean Haynesは、最近ISASecureマーケティング委員会の座長に任命されました。Haynes氏は、この委員会の座長として、重要インフラにおける自動化の安全性を確保し、認証するためのISASecureの導入を提唱する戦略と計画の開発を主導する責任を負います。Haynes氏は、ISASecureの使命をサポートするために自分の知識とスキルを活用できることを光栄に思っています。
“SecurityGateとISASecureのパートナーシップは、62443標準シリーズの学習、実装、そして最終的には疑いの余地のない拡張を導く上で重要な資産オーナが果たす重要な役割について私たち双方が一致しているため、完全に理にかなっています。このチームワークが今後も発展していくのを見るのが楽しみです”とSecurityGateのCEO、Ted Gutierrez氏は述べています。
コンソーシアムおよび適合プログラムのISAマネージングディレクターであるAndre Ristaino氏は、SecurityGateを新しいISASecureメンバーとして歓迎し、次のように述べています。“SecurityGateのような企業は、資産オーナ、サービスプロバイダー、およびサプライヤーの間でISA/IEC 62443標準の採用を進める上で貢献しています。SecurityGateのプラットフォームにより、リスクアセスメントの実施、製品開発およびサイトアセスメント時のコンプライアンス要件の満たし、ISA/IEC 62443規格ファミリーの実装における障害の除去が容易になります。新しいマーケティング委員会の座長としてSean Haynes氏を確保したことをお知らせできることを嬉しく思います。彼の卓越したマーケティング専門知識と貴重な洞察により、オートメーションおよび制御システムのセキュリティ保護における世界的なソートリーダーとしての当社の世界的な評価を高めることができます。”
原文:
https://securitygate.io/blog/securitygate-isasecure-membership/
