国際規格シリーズIEC 62443(産業通信ネットワーク - ネットワークおよびシステムセキュリティ)には、オートメーションのITセキュリティを実現する方法が規定されています。規定はリスク分析からセキュアなオペレーションのための要件、セキュアな製品開発(セキュリティに配慮した設計)まで、幅広い範囲に及びます。そのため、IEC 62443は、産業サイバーセキュリティを効果的に導入する際、設備のオペレータや機械メーカ、装置メーカに現時点で最高のガイドとなります。
IEC 62443は5つの分野について言及します。産業サイバーセキュリティの基本的要求事項、ゾーンと経路の原則、セキュリティレベル、セキュリティライフサイクルおよびリスク分析です。
|
部品メーカ向け |
システムインテグレータ向け |
オペレータ向け |
|---|---|---|
| IEC 62443-4-1:開発プロセス | IEC 62443-2-4:指令と手順 | IEC 62443-2-4:指令と手順 |
| IEC 62443-4-2:部品のセキュリティ機能 | IEC 62443-3-2:オートメーションシステム・制御システムのセキュリティ機能 | IEC 62443-2-1:運用とサービス |
| IEC 62443-3-3:オートメーションシステム・制御システム全体のセキュリティ機能 |
ここで中心となるのは、セキュリティリスクアセスメントの手順であり、これは個別のセキュリティ対策を策定するための基盤となります。また、組織的対策と技術的対策の連携の重要性が強調されています。最悪の場合、技術的な解決策だけでは誤った安心感を生むことがあります。なぜなら、人間の行動が技術的な対策を簡単に揺るがす可能性があるからです。例えば、パスワードによる保護は、定期的に変更され、共有されず、また人目に付く形で装置に貼り付けられていない、という条件を満たした場合にしか効果が得られません。
産業オートメーションシステムがOTセキュリティの要件を満たすためには多層防御のアプローチが必要です。ピルツは、組織的要件と技術的要件、特にIEC 62443の要件の履行において、その専門的なノウハウを活用して機械メーカやオペレータを支援します。
産業サイバーセキュリティのコンセプトと、規格および法的要件の遵守は、機械レベルにいたるまで、企業のサイバーセキュリティを大幅に向上させます。
ISO/IEC TS 63074:2023
「機械類の安全性 - 安全関連制御システムの機能安全に関連するセキュリティの側面」
この規格の焦点は、安全とセキュリティの2つの概念が交わる領域にあります。それは、機械規則の根本的な要件に密接に関わるものです。セキュリティの脅威や脆弱性を特定する際には、IEC 62443シリーズが使用されます。安全コントローラにおける、セキュリティの脅威(不正アクセス、マルウェア、サイバー攻撃など)によって悪用される可能性のある脆弱性は、この規格で考慮されています。その目的は、安全機能がその保護効果を実際に発揮できるようにすることです。安全に関しては「多層防御」の原則が特に推奨されます。
この文書は、活用事例を定義し、それらに適切な脅威モデルを適用します。セキュリティの脅威が安全性に対してどのように影響を及ぼすのかを解説しています。サイバー攻撃のその他の影響は明示的には考慮されていません。
ISO 27001 - 情報セキュリティ管理システム(ISMS)
NIS 2は情報セキュリティシステムの管理を扱う指令です。NIS2で特に重視されているのは、情報セキュリティのデファクトスタンダードとして世界的に認識され、認証が可能なISO/IEC 27001です。この規格には、情報セキュリティ管理システムの要件が規定されています。
私たちが重視すべきはITセキュリティではなく情報セキュリティです。すべての(手書き、口頭、画像などの視覚)情報は、デジタルでもアナログでも、紙に書かれていようとクラウドに保存されていようと、保護されなければならないからです。一方、多くの情報がITを活用して処理される現代、ITセキュリティがそれに応じて重要な役割を果たしています。
情報セキュリティ管理の本質は、組織内のすべての領域で情報セキュリティリスクを最小化することにあります。当然、機械やOTネットワークなどの生産手段にも関係します。
企業が外部の要件(法的要件や顧客との契約上の合意など)に従って、ISO/IEC 27001に準拠したISMSを必要とする場合、または自発的にそれを履行したい場合(自己防衛のためや、一般大衆のイメージする品質基準を使用するためなど)、産業サイバーセキュリティの問題を避けて通ることはできません。
そこで最終的に行き着くのがIEC 62443規格です。IEC 62443は現在、産業サイバーセキュリティの分野で情報セキュリティの問題を考慮するための最良の枠組みとなっています。
サイバー攻撃の脅威が急速に拡大し、莫大な経済的損害を引き起こすリスクから、企業、産業設備、機械、機械部品が満たすべき最低基準を定めた法的枠組みが世界中で導入されています。サイバーセキュリティは新たな要件であり、特に重要インフラにとっては必要不可欠です。
リスクを低減するために、一連の規則が欧州の議員たちによって新たに導入されました。
機械規則
2023年6月には「機械規則2023/1230」が採択され、42か月の移行期間を経て、すべてのEU加盟国で拘束力を持つことになります。機械規則は、機械または機械アセンブリのメーカ、すなわち、製造者(OEM = Original Equipment Manufacturer)およびシステムインテグレータに関係します。今後、機械の製造業者は、機械がセキュリティ面を含め、機械規則に準拠していることを確認しなければなりません。これには不正の防止や、第三者による危険な状況を作り出そうとする悪意のある試みへの対策が含まれます。機械規則に適合していることの正式な証明は、適合宣言書において行われます。機械には、視認できる形でCEマークが貼付されます。新しい機械規則の要件を満たさない機械は、EUでの販売が認められなくなります。
ピルツは、長年にわたり機械メーカを支援しており、安全コンセプト、リスク分析とリスク評価、そして適合宣言にいたるまで、ほぼすべての分野でその適合プロセスに関与しています。今後はセキュリティ面にも注目していきます。
ネットワークおよび情報セキュリティに関する第2次EU指令(NIS 2)2022/2555
ネットワークおよび情報システムに関する新しいEU指令(NIS 2)は、EU内の「重要かつ不可欠」な事業体を標的としたサイバー攻撃に対する保護の統一基準を規定するものです。機械規則とは異なり、機械ではなく、企業に対するサイバーセキュリティの要件を定めています。この指令には、企業の経済への影響(重大度)に応じて異なる要件が分野ごとに規定されています。例えば、エネルギー供給や鉄道輸送の分野で事業を営む企業は重大度が高くなります。一方、従業員が50人以上、または年間売上高が1000万ユーロを超える設備や機械のメーカなどは、影響が少ない分野の企業であってもNIS 2の対象となります。
企業は、ネットワークと情報システムのセキュリティリスクに対応するために、技術面、運用面、組織面の対策を講じなければなりません。例えば、管理職や従業員のトレーニングが該当します。従来のオフィスITだけでなく、OT分野や産業サイバーセキュリティも考慮することが重要となります。
サイバーレジリエンス法(2024/2847)
サイバーレジリエンス法(CRA)は、デジタル要素を伴う製品のセキュリティ特性の向上を目的とした法律です。したがって、製品の製造業者や製品を市場に投入する販売業者に関係します。機械の製造業者も対象となります。CRAの下で規定されたセキュリティ要件は、製品のライフサイクル全体に導入されます。CRAでは、製品のライフサイクル全体に対する配慮が義務付けられています。例えば、製造者は少なくとも5年間は、製品にセキュリティの脆弱性が明らかになった場合、ソフトウェアアップデートを提供して、オペレータが問題を修正できるようにしなければなりません。CRAが施行されて以来、製品のCEマークの取得に、CRAへの準拠が求められるようになりました。このように、CRAは製品のセキュリティ特性に関して、NIS 2指令と機械規則を補う役目を果たしています。
電話:
Eメール: techsupport-jp@pilz.com
