スマートファクトリー化に伴い工場でもネットワーク化が進む中で、サイバーセキュリティ対策の重要性が高まっています。その中で注目を集めている国際標準規格が「IEC 62443」です。本連載ではそのIEC 62443について解説をしていますが、2回目となる今回は、組織面について規定した「IEC 62443-2」について紹介します。

» 2022年11月30日 09時30分公開

[森穂佳／情報セキュリティ，MONOist]

　工場やプラントなどで使用される制御ネットワークのサイバーセキュリティ対策の基準として注目される国際標準規格「IEC 62443」の解説を行う本連載。第1回の「IEC 62443とは何か、工場のサイバーセキュリティ対策のカギを握る国際標準を解説では、IEC 62443とは何かという点と、IEC 62443-1の内容などを紹介しました。

　2回目となる今回は、IEC 62443の中で、システム運用者の取るべき組織的セキュリティ対策について取りまとめられた「IEC 62443-2」について解説していきます。

組織面について取りまとめたIEC 62443-2

　ITセキュリティと同様に、制御セキュリティは大きく3つの要素から考える必要があります。すなわち、「ヒト」「モノ」「技術」の三本柱です。IEC 62443-2は主にヒト、組織の側面からセキュリティ基準を記述していることが特徴です。

　技術面についても関係する部分については触れられていますが、そちらについてはIEC 62443-3で詳しく取りまとめられていますので、そちらの解説に譲りたいと考えています。モノの側面については主としてIEC 62443-2-1において、基準の決め方を提示しています。物理的セキュリティについては個々の事例によって有効な手段が大き異なってくるため、国際標準では策定基準を述べるにとどまっています。具体的な施策については各事業者において決定することとしているようです。

セキュリティ対策の三本柱［クリックで拡大］出所：筆者作成

IEC 62443-2の5つのパート

　IEC 62443-2は1～5の5つの規格パートで構成されています。その内、2および5は2022年9月末現在でも未発行となっています。また、残る1、3、4はEdition 2.0に向けた見直しが進められているところです。

　5つのパートそれぞれの位置付けは以下の通りとなっています。

IEC 62443-2-1：Establishing an industrial automation and control system security program（IACSにおけるセキュリティ要項の策定）
IEC 62443-2-2：Security protection rating（セキュリティ保護のランク付け）
IEC 62443-2-3：Patch management in the IACS environment（IACS環境におけるパッチ管理）
IEC 62443-2-4：Security program requirements for IACS service providers（IACSサービス提供者に対するセキュリティ要求事項）
IEC 62443-2-5：Implementation guidance for IACS asset owners（IACSアセット所有者のための開発ガイド）

　IACSはIndustrial Automation and Control Systemの略で、産業オートメーションや制御システムを指しています。IEC 62443-2そのものが、IACSを保有および運用する工場管理者を主な対象として述べられています。その中で、IEC 62443-2-4ではIACSサービス提供者、すなわちシステム構築の時点で留意すべきことが示されています。工場管理者側で調達仕様作成時に参照することが想定されており、全体として工場管理者が制御システムとその運用組織を構築する上でベースとして参考にできる形で構成されているといえるでしょう。