「IEC 62443シリーズ」は、制御システムの利用者や装置製造者など、制御システムに関連するあらゆる関係者が広く活用可能な規格となっている。「IEC 62443-2-1」についても同様の幅広さを持っているが、主な対象となるのは「制御システムを運用する事業者」と制御システムを導入する「インテグレーター」となる。
CSMS認証の前に、CSMSを構築するメリットには何があるだろうか。まずCSMSの構築により、企業内のセキュリティガイドラインを再構築できる他、各事業所での運用実態が明確になり、継続的な改善を行うことができる点が挙げられる。また制御システムの運用関係者に対し、インシデント訓練など教育カリキュラムを実施するので、セキュリティ意識の向上をもたらし、組織としてセキュリティ能力を高められる点があるという。
JIPDEC 情報マネジメント推進センターのセンター長である高取敏夫氏は「制御システムセキュリティを組織的に高めていくことが難しい状況が多いが、CSMSを導入することで自分たちで改善を進めていくことができる」と話す。
一方、CSMSの認証を取得することによるメリットとしてはどういうことがあるだろうか。高取氏は第三者視点でのセキュリティチェックが可能な点、組織のブランド力強化につながる点、の2つのポイントを挙げる。「外部機関を活用できることで自社だけでは見えない新たな気付きを得ることができる。またインテグレーターとして納入するシステムが高いセキュリティ状態で構築できることを証明できる」(高取氏)としている。
CSMS認証制度が始動するに当たり、パイロット版で認証を受けてきた三菱化学エンジニアリング、横河ソリューションサービスが世界で初めての認証を受けた。
CSMS認証取得のポイントについて、横河ソリューションサービス 取締役専務執行役員 コーポレート本部長の山本順二氏は「CSMS認証を受ける前段階のセキュリティポリシーの策定が重要になってくる。適切な範囲や運用方法をどう定めるかというのをステークホルダーの利害を調整しながら作り上げなければならない」と話す。
また三菱化学エンジニアリング理事で技術本部 制御情報システム部長の池田正栄氏は「経営陣とのコンセンサスを作ることが重要だ。制御システムセキュリティへの脅威は高まっていると言っても、実際に体感できるほどの大きな被害は出ていないため、実感レベルで脅威を感じる経営陣は少ない。そこにどう理解を促し、実際の運用に落とし込めるかというのがポイントになる」と述べている。
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.