安全な工場ネットワーク環境を作る組織とは？ その手引書となる「IEC 62443-2」：今さら聞けない「IEC 62443」（2）（2/2 ページ）

[森穂佳／情報セキュリティ，MONOist]

　ここからは既に発行済のIEC-6243-2-1/3/4について、それぞれの内容を詳しく紹介していきます。

IACSにおけるセキュリティ要項を示すIEC 62443-2-1

　IEC 62443-2-1は、IEC 62443-2シリーズの中核となっています。その中で、キーワードとなるのが「Cyber Security Management Systems（サイバーセキュリティ管理システム、CSMS）」です。これはIACSを含むネットワーク環境においてセキュリティ上のリスクを低減し、PDCAサイクルを回すことで継続的な改善を目指す組織の仕組みを示しています。

　IEC 62443-2-1では、CSMSに必要な要素として「リスク分析」「リスク特定」「CSMS自体の監視と改善」を挙げています。この中では、CSMSに含まれる要素そのものだけではなく、どのようにしてCSMSを構築するかという点、経営的にCSMSがなぜ重要なのかについても触れています。そのため、これからセキュリティに取り組むという事業者にとっても有用なものとなっています。

　CSMSの構築対象となるのは、IACSを保有するオーナーのみならず、IACSを構築するシステムインテグレーター、またIACSを実際に運用、保守する事業者も含まれます。事業者側で実際にどのようなことを行うべきかの記述はIEC 62443-2-4に詳しく記述されていますが、IEC 62443-2-1で触れているように、全体としてどのように組織を構築すべきかという内容は、併せて適用することが望ましいと考えます。

IACS環境のパッチ管理を示したIEC 62443-2-3

　IACS環境においてパッチ適用は非常に難しい問題です。アップデートに伴う制御機器の停止、機器設計時に考慮された処理能力の超過、現行プログラムや他機器との互換性の問題など、主として可用性に影響するためです。しかし、既知の脆弱性を放置することでラテラルムーブメント（侵入拡大）の危険性が増大し、脅威を招き入れる可能性を残すことになることも間違いありません。そのバランスをどう取っていくのかは、さまざまな工場にとっても大きな課題となっています。

　IEC 62443-2-3ではこうしたIACS環境におけるパッチ適用の問題点を説明した上で、アセットオーナーおよびIACS機器提供事業者の双方に対するベストプラクティスを紹介しています。また、VPCパッチファイルの構造やパッチ変換に関する情報といった技術的な情報なども記述されています。

IACSサービス提供者に対するセキュリティ要求を示すIEC 62443-2-4

　IEC 62443-2-4はIACSを保有する当事者を対象とするのではなく、IACSのサービス提供者、つまり制御機器の開発事業者やシステムインテグレーターの立場から何をすべきか、どのような基準を持つべきかについて記述されていることが特徴です。

　これらはIACSサービス提供者が参照しサービスを構築するのみならず、アセットオーナーもどのように用いるべきか提案されています。この立場別の使い方と要件概要とが、IEC 62443-2-4の2つの柱となっています。要件概要については、IEC-62264-1（パデューモデル）に立脚しており、セキュアな制御機器のあるべき姿を解説しています。

IEC 62443-2の使い方とは

　ここまで各パートを見てきた通り、IEC 62443-2は2-1を中核としつつ、IACSにおけるセキュリティ要件がどのようなものであり、いかにして満たされるべきかについて述べています。IEC62443-2に直接述べられたセキュリティ要件は国際標準であるため、抽象的なものにとどまっています。各事業者にはそれをそれぞれの事業の状態に引き寄せて具体化することが求められています。以下は、そのような場面におけるIEC62443-2の使い方について見ていきます。

　先述した通り、IEC 62443-2の対象はCSMSです。つまり、組織体制の構築部分がターゲットとなっているのです。従って、この規格を用いる場面は組織の設計や構築段階、そして恒常的にCSMSを強化していく見直しサイクルとなります。また、特にIEC 62443-2-2は現状のセキュリティ対策について定量的に評価、ランク付けすることに主眼を置いているため、PDCAサイクルの評価フェーズにおいて有効に活用することができます。

　CSMSの構築において、IEC 62443-2の各パートの対応範囲は以下の図のようになっています。

IEC 62443-2各部のカバー範囲［クリックで拡大］ 出所：筆者作成

　各パートの内容が合わさることで、全体の運用をカバーする形となっています。各フェーズにおいて適切な項目を参照し、できる限り求められる基準に沿ったポリシー・手続きを策定することが求められています。

　実際のポリシーは実現可能な具体性を求められるわけですが、国際標準であるIEC 62443、特にその中核であるIEC 62443-2-1は概念的で一般化するのが非常に難しいと考えます。現在は、Edition 2.0に向け、内包する要素のチェック項目化を進めてはいるものの、具体的な活動内容に落とし込むのは大変だといえます。その中でどのように活用していけばよいのでしょうか。

　基本的には、あるべき姿（To-be）と今の姿（As-is）を比較するために活用していくということになると筆者は考えます。IEC 62443-2の要件は、CSMSのあるべき姿の形を取って示されています。そのため、ここで描かれているものと、今の自社の状況を比較し、そのギャップを埋める方策を探していく形が使いやすいのではないかと考えています。ここでPDCAサイクルを回していくことが求められます。その速度は国際標準によらず、そもそもの組織の成熟度に関わってくるでしょう。

　また、制御セキュリティアセスメントを行うことで、専門家の視点から直接ギャップを導き出すこともポイントだといえます。現状のポリシーをベースにギャップを見つけ出すことで、より早く最適な形へ近づけていくことができます。当然一度策定したものをブラッシュアップすることは必要になってきますが、その場合でもアセスメントという形を通じて外部からの中立の視点で棚卸を行うことは、より円滑に、素早く理想型を探す手助けになるでしょう。

　今回は、IEC-62443の中で、特に重要な内容であるIEC 62443-2の内容および活用法を解説しました。IACSという特殊な環境下におけるネットワークセキュリティは、人、組織を効果的に編成、教育していくことが重要であることを理解いただけたのであれば幸いです。セキュリティにおける三本柱を強固なものにする上で欠かせない組織編成と社員教育が効果的に行い、セキュリティを網羅的に強化できるように、この国際基準を活用してほしいと考えています。

筆者紹介

森穂佳（もり ほのか）
情報セキュリティ コンサルティング事業部

2021年より現職に所属。IT・OTセキュリティ運用事業部として製品開発・セキュリティ運用業務に携わった後、コンサルティング事業部として提案業務に従事。制御セキュリティ製品やアセスメント、SOCサービスを中心に幅広く提案活動・コンサルティング業務を行っている。

≫連載「今さら聞けない『IEC 62443』」の目次