自動化、デジタル化、IoT デバイスの統合の増加は、産業組織に効率と生産性の向上をもたらしますが、サイバー攻撃の新たな道も開いています。産業オートメーションおよび制御システム(IACS)に対するサイバー攻撃が成功した場合、その損失は一般的にデータやプライバシーの損失にとどまらず、従業員の危険にさらされたり、人命が失われたりするなど、壊滅的な打撃を受ける可能性があります。どこにでも存在する重要なIACSの安全確保に失敗した場合のリスクは大きい。
IACSの重要な性質と重要なインフラストラクチャへの攻撃による影響を考慮すると、組織はサイバーセキュリティ態勢を厳しく見ており、その多くはISA/IEC 62443フレームワークを使用してIACSシステムセキュリティ戦略の指針としています。
ISA/IEC 62443とは?
ISA/IEC 62443シリーズの規格は、ISA99委員会とIEC技術委員会65/ワーキンググループ10によって、電子的に安全なIACSを実装し維持するための要求事項とプロセスを定義するために開発された。これらの規格は、セキュリティのベストプラクティスを設定し、セキュリティ性能のレベルを評価する方法を提供します。
ISA/IEC 62443への準拠を維持することで、サイバー攻撃の可能性を低減し、組織が規制、財務、安全性の面で深刻な影響を回避することができます。
誰がISA/IEC 62443規格を使用すべきか?
この規格の対象者は、資産所有者、システム・インテグレーター、製品サプライヤー、サービス・プロバイダー、および必要に応じてコンプライアンス当局である。本標準を遵守することにより、組織はセキュリティ態勢を強化し、サイバーリスクを最小化することができる。
ISA/IEC 62443規格ファミリー
ISA/IEC 62443シリーズの規格とテクニカルレポートは、異なる焦点と対象者に対応する4つのグループに分類されています。その4つのグループを見てみよう。
第一部:全般
最初のパートは、フレームワークを通して使用される概念とプロセスの一般的な概要である。このセクションで、他のすべての土台を見つけることができる。
パート1-1:用語、概念、モデル
シリーズを通して使用されている概念とモデルを紹介。対象読者は、本シリーズの基礎となる基本概念に精通したいすべての人。
パート1-2:マスター用語集
シリーズを通して使用される用語と略語のリスト。
第 1-3 部:システムセキュリティ適合性評価指標
規格のプロセス要件と技術要件から導き出される定量的指標を開発するための方法論について説明する。
その1-4:IACSのセキュリティライフサイクルとユースケース
IACSセキュリティの基礎となるライフサイクルについてのより詳細な説明と、様々なアプリケーションを示すいくつかのユースケースを提供します。
パート2:方針と手続き
このパートでは、ポリシーとリスク管理に焦点を当て、安全なシステムを構築・維持するためのガイドラインを提供する。
パート2-1:IACSセキュリティプログラムの確立
IACSセキュリティプログラムの確立及び効果的なIACSサイバーセキュリティ管理システムを開始するための要求事項を取り扱う。対象者は、セキュリティプログラムの設計及び実施に責任を有する資産所有者である。
パート2-2:IACSセキュリティプログラムの格付け
運用中のIACSが要求に対して提供する保護レベルを評価する方法を提供することで、IACSセキュリティプログラムの評価を扱う。
Part 2-3: IACS環境におけるパッチ管理
このパートは、IACSサイバーセキュリティプログラムの重要な部分であるパッチ管理に関するガイダンスを提供する。
第2-4部 IACSサービスプロバイダに対するセキュリティプログラム要求事項
このセクションは、インテグレーターとIACSサービスプロバイダー向けです。このセクションでは、インテグレーターがオートメーション・ソリューションの統合とメンテナンスの際に、資産所有者に提供する必要のあるセキュリティ機能の概要を説明します。
パート2-5IACS資産所有者のための実施指針
このセクションは、資産所有者のためのものであり、成功するIACSサイバーセキュリティプログラムを運用するための要件を定義しています。
パート3システム
このパートでは、安全な IAS システムを設計し、実装するための要件を取り上げる。
第3-1部 IACSのセキュリティ技術
資産所有者がIACS環境で使用できるセキュリティ技術とツールに焦点を当てています。これらには、監視、インシデントレスポンス、および一般的な保護のためのツールが含まれます。
第3-2部 システム設計のためのセキュリティリスク評価
検討中のシステムを定義するための要件を定める。検討中のシステムをゾーンに分割し、各ゾーンのリスクを評価し、セキュリティレベルを設定する方法に関する指示も含まれる。 このセクションには、技術的セキュリティ対策の設計、実施、運用、保守に関する情報もある。
第3-3部 システム・セキュリティ要件とセキュリティ・レベル
サイバー脅威や偶然の出来事から保護されたIACSプログラムを構築するために必要なセキュリティ要件とセキュリティレベルを定義します。これらの要件は、制御システムの開発において非常に重要です。
パート4コンポーネントと要件
ISA/IEC 62443フレームワークの最後のカテゴリーは、産業用ネットワーク・コンポーネントの開発ライフサイクルを扱っています。
パート4-1:セキュアな製品開発ライフサイクルの要件
制御システムや製品のセキュリティ開発ライフサイクル要件を定義する。これには、コーディングガイドライン、検証・妥当性確認、パッチ管理、欠陥管理、製品ライフサイクル終了などが含まれる。これらの要件は、新規および既存のプロセスに適用できる。
パート4-2:IACSコンポーネントに対する技術的セキュリティ要求事項
7つの基本要件(FR)に関連する詳細な技術的制御システムコンポーネント要件(CR)を提供し、制御システム能力セキュリティレベル及びその構成要素であるSLC(コンポーネント)の要件を定義する。
Nozomi Networks が ISA/IEC 62443 コンプライアンスにどのように役立つか
OT の要件とニーズを深く理解しているNozomi Networks は、ISA/IEC 62443 規格のマッピングガイドとコンテンツパックの両方を開発し、資産所有者、インテグレーター、サービスプロバイダーがこの規格への準拠レベルを測定できるようにしました。
マッピングガイドでは、ISA/IEC 62443フレームワークの中で、当社のプラットフォームが組織のコンプライアンス維持を支援するセキュリティ管理について説明しています。マッピングガイドは以下からダウンロードできます。
