最終回となる今回は、制御システムにおけるセキュリティー・マネジメント・システムの構築のために有効となる規格であるIEC62443-2-1を概説する。本規格ではCSMS(Cyber Security Management System)が定義されている。また、世界的に見ても日本が突出して認証取得の実績をあげている情報システムにおけるセキュリティー・マネジメント・システムであるISMS(ISO/IEC27001)と本規格との比較を解説する。
今回の想定読者は、制御システムのセキュリティーをこれから検討予定である事業者(アセット・オーナー)や制御システムに関わるシステムや製品を開発しているベンダーなどである。本資料が、制御システムのセキュリティーへの対応に取り組むきっかけとなることを期待している。
ISMSとの相違点についての考え方
IEC62443-2-1のベースとなっているISMS(ISO/IEC27001)では、機密性、完全性、可用性に対する様々な脅威から資産を守るため、管理対象(適用範囲)の状況に応じた人的、物理的、技術的、組織的な面において系統立てて、かつ現実的な水準で対策を講じるためのセキュリティー・マネジメント・システムを確立するための要求事項などが記載されている。ここで、セキュリティー・マネジメント・システムとは、セキュリティーを確保、維持するための、人的、物理的、技術的、組織的な対策を含む、組織的な取り組み(仕組み)を意味する。情報セキュリティー・マネジメントを効率的に維持するための手法としてPDCA(Plan、Do、Check、Act)サイクルがある。品質/環境マネジメントにおいても用いられ、次の手順を繰り返すことで改善を図る。
Plan:問題を整理し、目標を立て、その目標を達成するための計画を策定
Do:目標及び計画を満たすべく、対策の導入、運用を実施
Check:実施した結果を監視し、見直しを実施
Act:見直しの結果を、業務の改善を実施
ISMSを確立するための第1 段階では、適用範囲を、その境界が明確に判断できるように定義することとなる。ISMSでは業務系情報システムを利用する範囲(およびその周辺)などを適用範囲とする場合が多いが、CSMSについてはプラントや製造現場などが範囲内になることが想定される。この適用範囲に基づき、法令や事業内容、その他準拠すべき基準などの要求事項によって、リスク評価のための基軸などを含めた基本的な方針を策定する。重要インフラなどの制御システムを利用する場合は、インシデント発生時に社会・環境へ及ぼす影響が大きいため、特にこれら点に留意する必要があると考えられる。この方針に基づき、リスク評価の手法や、どの程度のリスクまでを受け入れるかを判断するための、リスク受容の有無を判断する基準を決めておくこととなる。これについてもCSMSにおいては、前述の通り、社会・環境への配慮が特に重視されることとなる。
リスク評価にはいくつかの手法が存在するが、基本的には資産の価値とそれに対するリスク因子である脅威、脆弱性注1)からリスクを特定し、受容できないリスクに対しては対策を講じ、そのリスクを受容できる水準まで低減させる必要がある。このような対策の実行を監視し、見直すことで改善につなげるなどの基本的な手順については、CSMSにおいてもISMSと相違ないが、資産(アセット)によっては制御システムの利用による特有の基準が必要となってくる。このようなケースに対処するため、IEC62443-2-1(CSMS)が策定されている。
注1)ここで、脆弱性とは、対象とする資産に対して脅威が顕在化し得る弱点のことを指す。リスクの特定の際には、洗い出した想定脅威に対する脆弱性をリスク因子として扱うこととなる。
