本連載では、サイバーセキュリティを巡る「レジリエンス・デバイド(格差)」という喫緊の課題を乗り越えるための道筋を、全3回にわたって論じます。第2回では、産業用オートメーションおよび制御システム(IACS)のセキュリティに関する国際規格「IEC 62443」を読み解き、「レジリエンス・バイ・インテグレート」実現への道を解説していきます。
前回は、欧州のサイバーレジリエンス法(CRA)に代表される世界の法規制が、製造業に「格付け」という新たな現実を突き付け、企業間に深刻な「レジリエンス・デバイド(格差)」を生み出している実態を明らかにしました。そして、その大変革を乗り越える鍵が「技術/人/組織」の統合にあると述べました。
⇒連載「製造業サイバーセキュリティ新常識」のバックナンバーはこちら
では、その統合を具体的にどう進めればよいのでしょうか。CRA、NIS2指令、機械規則といった無数の規制を前に、どこから手を付ければいいか途方に暮れる担当者も少なくないでしょう。
その混沌(こんとん)とした状況を照らす「羅針盤」となるのが、産業用オートメーションおよび制御システム(IACS)のセキュリティに関する国際規格「IEC 62443」です。
CRAをはじめとするサイバーセキュリティに関する近年の法規制は、その多くがIEC 62443の考え方をベースにしています。つまり、この規格が示すベストプラクティスを理解し実践することが、結果的にさまざまな法規制の要求事項を満たすための、最も確実で効率的な道筋となるのです。CRA対応においても、IEC 62443は大きな下支えとなります。
本稿では、このIEC 62443という「設計図」を読み解きながら、本連載の核心コンセプトである「レジリエンス・バイ・インテグレート」の実現への道を解説していきます。
IEC 62443の最大の特徴は、サイバーセキュリティを単なる技術の問題としてではなく、「技術」と「組織」の両輪で捉えている点にあります。これは、規格の2つの中心的な評価軸である「セキュリティレベル(SL)」と「マチュリティレベル(ML)」に明確に表れています。
SLは、コントローラーやセンサーといったコンポーネント、あるいはそれらで構成されるシステムが、どの程度の脅威に耐え得るかを示す技術的な堅牢度の指標です。意図しない操作ミスから保護するSL1から、高度な技術を持つ組織的な攻撃から保護するSL3、さらには国家レベルの脅威を想定したSL4まで、4段階でレベル分けされています。
MLは、製品やシステムを開発、運用する組織のプロセスが、どれだけセキュリティを考慮したものであるかを示す成熟度の指標です。セキュアな開発ライフサイクルを確立し、維持するための要求事項がIEC 62443-4-1などで規定されています。
この2軸のアプローチは、まさに前回で提示した課題への答えそのものです。
どれほど堅牢なシステム(高いSL)を導入しても、それを運用する組織のプロセス(ML)が未熟であれば、その価値は半減してしまいます。逆に、組織の管理体制(高いML)が優れていても、システム自体(SL)に脆弱(ぜいじゃく)性があれば攻撃の標的となります。
この思想に基づき、シーメンスやロックウェル・オートメーションといった欧米の先進企業はもちろん、三菱電機やファナックといった日本のトップメーカーも、製品(SL)と組織(ML)両面での認証取得を進め、来るべき「格付け」時代に備えているようです。
Copyright © ITmedia, Inc. All Rights Reserved.
Factory Automationの記事ランキング
コーナーリンク
よく読まれている編集記者コラム