日本 | 日本語
日本 | 日本語

セキュリティ体系規格IEC 62443

国際体系規格IEC 62443「産業通信ネットワーク - ネットワークおよびシステムセキュリティ」は、オートメーションのITセキュリティに関連する規格が規定されています。規定はリスク分析から安全なオペレーションのための要件、安全な製品開発 (セキュリティに配慮した設計) まで、幅広い範囲に及びます。そのため、IEC 62443は、効果的にセキュリティを実装する際、プラントの事業者や装置メーカーに現時点で最高のガイドとなります。
5つの分野について言及します。産業サイバーセキュリティの基本的要求事項、ゾーンと経路の原則、セキュリティレベル、セキュリティライフサイクルおよびリスク分析です。

セキュリティ体系規格IEC 62443

主要な規格規定の概要

部品製造業者用システムインテグレータ用オペレータ用
62443-4-1開発プロセス62443-2-4ガイドラインおよび手順62443-2-4ガイドラインおよび手順
62443-4-2部品のセキュリティ機能62443-3-2オートメーションおよび制御システムのセキュリティ機能62443-2-1オペレーションおよびサービス
 

62443-3-3トータルオートメーションおよび制御システムのセキュリティ機能

  

産業サイバーセキュリティの規格に適合し、製品開発がさらに安全

ピルツは安全のエキスパート。当社にとって製品の安全性だけでなく、セキュリティも重要です。そのため当社は、開発プロセスの精査と、セキュリティに配慮した製品開発「セキュリティ開発ライフサイクルプロセス(SDLプロセス)を定義するIEC 62443-4-1に基づいた試験の実施をTÜV Südに委託しました。このアプローチによって、潜在的なセキュリティの問題を新製品の設計が進行中であっても分析できます。脅威のモデル化によって製品のすべてのセキュリティリスクを検出可能にし、理想的には、製品のリスクを開発中に修正することが目的です。

この監査の結果: ピルツの開発は規格の要件を満たし、SDLプロセスに適合しています。したがって、自信を持って宣言できます。ピルツの開発は安全だけでなく、セキュリティ対策も万全!
TÜV Südによると、ピルツでは、IEC 62443-4-1に準拠するセキュリティに配慮した製品開発への真剣な取り組みが、その後の製品認証の強固な基盤となっています。

TÜV Süd認証書

基本的な産業サイバーセキュリティ要求事項

産業サイバーセキュリティ

基本的なセキュリティ要求事項 (基本的要求事項) には以下があります。

  • 本人確認と認証
  • 使用の管理
  • システム保全
  • データの機密性
  • データフロー制限
  • イベントへの適宜対応
  • 資産の可用性

各基本的要求事項には、セキュリティ対策実装の基礎として使用できる、追加的システム要求事項が定義されています。

多層防御

モデルは、多層防御原則に基づいています。この原則は、侵入経路にできる限り多くの障害物を配置するものです。中世では、堀、落とし穴、跳ね橋、塔、複数の城壁によって侵入者から城を保護していました。

設備のセキュリティ/アクセス制御

対応するRFIDトランスポンダキーを備えたPITリーダなどの設備や機械へのアクセス許可を管理するデバイスと技術。

ネットワークセキュリティ

怪しいネットワーク活動に対して、または不正な送信アドレスによるIPパケットの送信 (IPスプーフィング) を検出した際に警報を発するメカニズム。

制御システムのセキュリティ

SecurityBridgeなど、制御システムを外部からの不正アクセスから保護するファイアウォール。

資産の保護

例: 設備や機械のコントローラ、およびその他の部品または機械ファンクションなど。

戻る
転送

セキュリティレベル

セキュリティレベル

セキュリティレベルは、プラント事業者や製造業者がセキュリティ対策により達成を目指すセキュリティレベルを定義します。事前リスクアセスメントにより、必要な情報が得られます。これにより、保護の対象が定義され、この資産が攻撃を受ける可能性を判定できます。これに従って、セキュリティレベル (SL) が選択されます。SL-2とは、「低リソース、一般的技術、低い動機による簡単な手段を使った意図的な侵害」に対する保護で、現在では最低基準とみなされます。企業がこの最低基準を維持するには、一定のセキュリティ成熟レベルが必要です。最高のファイアウォールも、従業員が各自のパスワードを付箋に書き留めてパソコンのスクリーンに貼り、更新を実行しなければ、無用の長物です。セキュリティに企業が取り組むほど、全体的な保護が強化されます。そのため、全体的なセキュリティコンセプトが重要です。アプリケーションファイアウォールSecurityBridgeは、全体的コンセプトの一環として、高度なセキュリティレベルに貢献します。

セキュリティレベルの概要
セキュリティレベル1: 不注意または偶然による侵害に対する保護
セキュリティレベル2: 簡単な手段による意図的な侵害に対する保護。
セキュリティレベル3: 高度な手段による意図的な侵害に対する保護
セキュリティレベル4: 拡張リソースを使った、高度な手段による意図的な侵害に対する保護

産業サイバーセキュリティのリスクアセスメント

セキュリティ開発プロセスは、一般的な製品開発プロセスの延長です。規格に準拠した開発プロセス (IEC 62443-4-1に適合 – 安全な(セキュリティに配慮した)製品開発ライフサイクル要求事項に準拠) の基本的な側面の1つに、リスクアセスメントの実行があります。アセスメントによって、製品が「サイバースペース」から被る危険やリスク、およびそれらを最小限に抑えるために取るべき対策が明らかになります。

セキュリティリスクアセスメントでは、以下の6つのステップを必ず実行してください。

  1. 資産の特定: 保護対象は何ですか。
  2. 脅威の分析: 保護対象の資産にどのようなリスクがありますか。
  3. 関連する保護目標の決定: どのような目標の達成を目指しますか。
  4. リスクの分析と評価: リスクが生じる可能性はどの程度ですか。
  5. 保護対策の選択と実行: 起こり得るリスクをどのように防御できますか。
  6. レジリエンスマネジメント: 攻撃を受けた後、どのように対処しますか。社内でどのようにセキュリティ問題への意識を定着させればよいのでしょうか。
セキュリティリスクアセスメント

産業サイバーセキュリティのライフサイクル

産業サイバーセキュリティのライフサイクル

セキュリティは動く標的です。つまりセキュリティは、製品のライフサイクル中に変化します。攻撃者は防御策を破るため、さらに強力な方法を開発しています。そのため、サイバー脅威に対抗する防御策は、継続的に進化させる必要があります。この責任は、主にプラントの事業者に課されています。効果的なセキュリティ戦略により、設備の耐用期間を延長できます。機械メーカや部品メーカは、新たなセキュリティ問題を速やかに事業者に報告する必要があります。顧客がデバイスの脆弱性を修正できるよう、デバイスのソフトウェアは更新しなければなりません。システムインテグレータがプロセスに関与していれば、製造業者と事業者の仲介役を果たします。関係者全員が、製品のライフサイクルを通じて、緊密に協働することが重要です。これこそが、レベルの高い保護を実現します。

セキュリティ4.0の詳細

産業サイバーセキュリティ

産業サイバーセキュリティ

こちらで産業サイバーセキュリティに関して必要なすべての情報を提供します。

産業サイバーセキュリティ
セキュリティインシデント管理

セキュリティインシデント管理

セキュリティインシデント管理は、セキュリティの欠陥を特定、分析、管理するプロセスです。

セキュリティインシデント管理
SecurityBridge

SecurityBridge

SecurityBridgeは、ネットワークへの攻撃や不正なアクセスから制御システムを保護するために使用します。

SecurityBridge
本社

ピルツジャパン株式会社
〒222-0033
横浜市港北区新横浜3-17-5
いちご新横浜ビル 4階

電話: 045 471 2281
Eメール: info@pilz.co.jp

営業部

電話: 045 471 2281
Eメール: info@pilz.co.jp

テクニカルサポート

電話: 06 6155 5074
Eメール: techsupport-jp@pilz.com

トップページ
  1. ピルツ
    2. /
  2. 製品と産業
    3. /
  3. 産業サイバーセキュリティ
    4. /
  4. Security Norm
Webコード: 200566