皆さんこんにちは。技術統括部のTTです。今回は私がOTセキュリティに携わる中でしばしば耳にするフレームワークやガイドラインのうち、ISA/IEC 62443について解説していきたいと思います。こちらの記事ではISA/IEC 62443を含む3種類のOTに関係するフレームワークの概要を説明していますので、ご参照下さい。
参考記事「OTセキュリティにおけるフレームワークとは」
ISA/IEC 62443とは
ISA/IEC 62443とは、ISA(国際自動制御学会: International Society of Automation)、およびIEC(国際電気標準会議:International Electrotechnical Commission)にて開発されている、産業用オートメーション及び制御システム(IACS:Industrial Automation and Control System)のセキュリティ確保のための国際標準規格です。
ISAはオートメーションを通じてより良い世界を創るために1945年に設立された非営利団体です。優れた実践を達成するオートメーションのコミュニティの交流によって技術力を向上するとともに、広く使われている国際標準の策定、産業専門家の認定、教育と訓練の提供,本と技術記事の出版などを実施しています。
IECは電気及び電子技術分野の国際規格の作成を行う国際標準化機関で、各国の代表的標準化機関から構成されています。
ISA/IEC 62443の特徴
ISA/IEC 62443は、ISO/IEC27001などよりもOTセキュリティに特化した国際標準のため、化学、石油、ガス、パイプライン、製造、電力、鉄道、ビル、医療機器など、OTネットワークを保有している業界によって参照されています。
ISO/IEC27001とISA/IEC 62443の違いとしては、ISO/IEC27001はITシステム向けであり、制御システムの設計領域までは言及されていないのに対し、ISA/IEC 62443は組織/マネジメントだけでなく、システムデザインやコンポーネントにまで言及されています。
また、OTセキュリティでよく使用されるNIST CSFとも対象にしている範囲が異なっており、NIST CSFは具体的対策が記載されていない、ITを含むあらゆる分野のセキュリティに関する指針であるのに対し、ISA/IEC 62443は全般的なOT環境におけるシステム/コンポーネントを含めた具体的なセキュリティ標準となっています。
ISA/IEC 62443の構成
2023/9現在、発行済みのISA/IEC62443は主に以下の4つのパートで構成されており、それぞれのパートについて主な参照対象である「活用の主体」がいます。
- IEC 62443-1(概要):
用語やコンセプト、モデルの概念を定義したものといった各パートに共通する事項の説明。概要なので活用の主体は全ての関係者になっています。 - IEC 62443-2(ポリシー・手順):
組織の管理、運用のポリシーや手順に関するセキュリティ事項。IACSのアセットオーナー(工場)が活用の主体となっています。 - IEC 62443-3(システム):
システム全体の技術、リスク評価に関するセキュリティ事項。制御システムのシステムインテグレータが活用の主体です。 - IEC 62443-4(コンポーネント):
制御機器やSWなどのコンポーネントの開発ライフサイクルや技術に関するセキュリティ事項。活用の主体は制御関連製品の機器サプライヤになっています。
IEC 62443を用いたセキュリティ評価手法、技術基準を定めるPart 6(IEC62443-6)が策定のため協議中となっており、2023年12月、2024年2月に62443-6-1、6-2がそれぞれ発行予定となっています。また、発行済みのパートについても未発行の規格があります(例:パート1については1-1及び1-5が発行中となり、1-2~1-4については策定中)。
次の段落からは、IEC 62443の各パートのうち参照されることの多い2つのパートについて解説していきます。
IEC62443-2-1
IEC62443-2-1はIEC62443-2の中核を成すパートであり、IACSにおけるセキュリティ要項を示します。このパート内では、IACSを含むネットワーク環境のセキュリティ上のリスクの明確化と、リスクに対処するための体制であるCSMS(Cyber Security Management System:サイバーセキュリティ管理システム)の構築を提唱しています。CSMSにおけるリスクに対処するための体制とは、PDCAサイクルを回すことで継続的な改善を目指すことであり、「リスク分析」「リスク対処」「CSMSそのものの監視と改善」を必要な要素としています。CSMSはIEC62443-2で言及されているものの、アセットオーナー、システムインテグレータ、機器メーカがそれぞれ準拠していくものとなっています。
IEC62443-3-3
IEC62443-3-3は工場セキュリティ対策において、制御システムとネットワークの対策基準を定めたパートであり、7つのFR(Foundational Requirement:基礎的要求事項)が規定されています。FRはそれぞれSR(System Requirement:システム要求事項)に落とし込まれ、より具体的な対策を行うことが可能です。
各FRは以下の内容になっています。
- FR1:識別および認証管理
制御システムへのアクセス許可する前に、すべてのユーザ(人、ソフトウェアプロセスおよびデバイス)を識別および認証すること - FR2:使用制御
認証済みユーザ(人、ソフトウェアプロセスおよびデバイス)に許可されたアクセス権限を付与し、制御システムに要求される機能の実行と、その権限の使用を監視すること - FR3:システム完全性
制御システムの完全性を確保し、不正な操作を防止すること - FR4:データ機密性
不正な情報開示を防止するために通信チャネル上およびデータリポジトリ内の情報の機密性を確保すること - FR5:制限されたデータフロー
ゾーンおよびコンジットの設計を通じて、適切に制御システムのネットワークをセグメント化し、データの通信フローを必要最低限に制限すること - FR6:イベントへの適時対応
インシデントが発見された時に、関係当局への通知、必要な違反の証拠報告および是正処置のタイムリーな実行によって、セキュリティインシデントに対応すること - FR7:必須なサービスのサービスレベルの低下または不能となる状況に陥らないように、制御システムの可用性を確保すること
ISA/IEC 62443の活用法
今のうちにISA/IEC 62443の概要を理解することでは次のように活用することができます。
IEC 62443をベースにした制御システムセキュリティのJIS規格への早期の対応
JSA 制御システムセキュリティJIS開発研究会及び原案作成委員会において、IEC 62443をベースにした制御システムセキュリティのJIS規格開発の動きがあります。
JSAとは、日本規格協会(Japanese Standards Association)という日本産業規格(JIS: Japanese Industrial Standards)原案の作成、JIS規格票の発行、出版物の発行などを行う日本の組織です。JISは日本の国家標準の一つであり、法規などに引用された場合は強制力を持ちます。
JIS規格として策定された場合は法的拘束力を持つ可能性があるため、早期に対応することでJIS規格としての策定後の混乱を避けることが出来ます。
各分野の標準を理解・把握するための補助
産業界の各分野には、発電所や変電所ならIEC 62351、半導体ならSEMI E187といったように、独自の標準も存在しています。そして、これら各分野の標準の一部においてISA/IEC 62443が参照されています。すなわち、ISA/IEC 62443の概要を理解することで各分野の標準の内容も理解しやすくなります。
まとめ
ISA/IEC 62443は、ISAおよびIECにて開発されている、IACSのセキュリティ確保のための国際標準規格です。様々な規格の集合であり、現在発行済みの規格は4パートに分類できます。IEC 62443をベースにしたJIS規格開発の動きがあったり、他の標準規格で参照されたりすることも多いため、現在のセキュリティ規格遵守の動きの中では、いち早い規格の理解と対応がますます重要性を増すでしょう。
