皆さんこんにちは。技術統括部のTTです。今回は私がOTセキュリティに携わる中でしばしば耳にするフレームワークやガイドラインのうち、ISA/IEC 62443について解説していきたいと思います。こちらの記事ではISA/IEC 62443を含む3種類のOTに関係するフレームワークの概要を説明していますので、ご参照下さい。
参考記事「OTセキュリティにおけるフレームワークとは」
ISA/IEC 62443とは、ISA(国際自動制御学会: International Society of Automation)、およびIEC(国際電気標準会議:International Electrotechnical Commission)にて開発されている、産業用オートメーション及び制御システム(IACS:Industrial Automation and Control System)のセキュリティ確保のための国際標準規格です。
ISAはオートメーションを通じてより良い世界を創るために1945年に設立された非営利団体です。優れた実践を達成するオートメーションのコミュニティの交流によって技術力を向上するとともに、広く使われている国際標準の策定、産業専門家の認定、教育と訓練の提供,本と技術記事の出版などを実施しています。
IECは電気及び電子技術分野の国際規格の作成を行う国際標準化機関で、各国の代表的標準化機関から構成されています。
ISA/IEC 62443は、ISO/IEC27001などよりもOTセキュリティに特化した国際標準のため、化学、石油、ガス、パイプライン、製造、電力、鉄道、ビル、医療機器など、OTネットワークを保有している業界によって参照されています。
ISO/IEC27001とISA/IEC 62443の違いとしては、ISO/IEC27001はITシステム向けであり、制御システムの設計領域までは言及されていないのに対し、ISA/IEC 62443は組織/マネジメントだけでなく、システムデザインやコンポーネントにまで言及されています。
また、OTセキュリティでよく使用されるNIST CSFとも対象にしている範囲が異なっており、NIST CSFは具体的対策が記載されていない、ITを含むあらゆる分野のセキュリティに関する指針であるのに対し、ISA/IEC 62443は全般的なOT環境におけるシステム/コンポーネントを含めた具体的なセキュリティ標準となっています。
2023/9現在、発行済みのISA/IEC62443は主に以下の4つのパートで構成されており、それぞれのパートについて主な参照対象である「活用の主体」がいます。
IEC 62443を用いたセキュリティ評価手法、技術基準を定めるPart 6(IEC62443-6)が策定のため協議中となっており、2023年12月、2024年2月に62443-6-1、6-2がそれぞれ発行予定となっています。また、発行済みのパートについても未発行の規格があります(例:パート1については1-1及び1-5が発行中となり、1-2~1-4については策定中)。
次の段落からは、IEC 62443の各パートのうち参照されることの多い2つのパートについて解説していきます。
IEC62443-2-1はIEC62443-2の中核を成すパートであり、IACSにおけるセキュリティ要項を示します。このパート内では、IACSを含むネットワーク環境のセキュリティ上のリスクの明確化と、リスクに対処するための体制であるCSMS(Cyber Security Management System:サイバーセキュリティ管理システム)の構築を提唱しています。CSMSにおけるリスクに対処するための体制とは、PDCAサイクルを回すことで継続的な改善を目指すことであり、「リスク分析」「リスク対処」「CSMSそのものの監視と改善」を必要な要素としています。CSMSはIEC62443-2で言及されているものの、アセットオーナー、システムインテグレータ、機器メーカがそれぞれ準拠していくものとなっています。
IEC62443-3-3は工場セキュリティ対策において、制御システムとネットワークの対策基準を定めたパートであり、7つのFR(Foundational Requirement:基礎的要求事項)が規定されています。FRはそれぞれSR(System Requirement:システム要求事項)に落とし込まれ、より具体的な対策を行うことが可能です。
各FRは以下の内容になっています。
今のうちにISA/IEC 62443の概要を理解することでは次のように活用することができます。
JSA 制御システムセキュリティJIS開発研究会及び原案作成委員会において、IEC 62443をベースにした制御システムセキュリティのJIS規格開発の動きがあります。
JSAとは、日本規格協会(Japanese Standards Association)という日本産業規格(JIS: Japanese Industrial Standards)原案の作成、JIS規格票の発行、出版物の発行などを行う日本の組織です。JISは日本の国家標準の一つであり、法規などに引用された場合は強制力を持ちます。
JIS規格として策定された場合は法的拘束力を持つ可能性があるため、早期に対応することでJIS規格としての策定後の混乱を避けることが出来ます。
産業界の各分野には、発電所や変電所ならIEC 62351、半導体ならSEMI E187といったように、独自の標準も存在しています。そして、これら各分野の標準の一部においてISA/IEC 62443が参照されています。すなわち、ISA/IEC 62443の概要を理解することで各分野の標準の内容も理解しやすくなります。
ISA/IEC 62443は、ISAおよびIECにて開発されている、IACSのセキュリティ確保のための国際標準規格です。様々な規格の集合であり、現在発行済みの規格は4パートに分類できます。IEC 62443をベースにしたJIS規格開発の動きがあったり、他の標準規格で参照されたりすることも多いため、現在のセキュリティ規格遵守の動きの中では、いち早い規格の理解と対応がますます重要性を増すでしょう。