ISA/IEC 62443規格シリーズ - フルガイド

国際自動化学会ISAについて

77年前に設立されたISAは、自動化の普及に重点を置く世界的に認められた団体です。学生、専門家、事業者、技術者、ベンダー、その他自動化に関心のある多くの人々が参加しています。 

設立当初、米国での活動が中心であったため「Instrument Society of America」と呼ばれていましたが、活動の幅が広がり世界的に注目されるようになると、「ISA」に改称されました。

現在、自動化の専門家が最新のトレンドや手法を学ぶために参照する、最も著名な組織のひとつとなっています。多くの工学分野が含まれているものの、主な焦点は自動化に置かれています。

専門家は、ISAの4種類の会員制度に加入することで、さまざまな特典を享受できます。

• Honorary - 自動化分野で顕著な貢献をした方にのみ授与されます。 
• ‍Professional - 年額140ドルの費用で、仲間やシニアメンバー向けの会員制度です。
• ‍Student Member - 学生専用で、年額15ドルと低価格で利用できます。
• ‍Life - 25年間継続して会員であれば、無償で付与されます。

会員になると、150の規格に即時アクセスできるほか、ISA発行書籍の割引、研修や認証の割引など、多数の特典が受けられます。

IEC 62443とは？

ISAが提唱するIEC 62443は、主に自動化に関する合意形成型の規格群を示す文書です。さらに、制御システムのアプリも対象に含まれます。

従来、サイバーセキュリティ対策はIT全体を対象としていたため、自動化へのアプローチは限定的でした。ISA/IEC 62443の導入により、自動化、OT、そしてインダストリー4.0に完全に焦点が当てられるようになりました。 

ISAによれば、これらの資源は組織のIT防衛体制にとって非常に重要です。これらのリスクを早期に把握できれば、ITインフラや関連セキュリティ体制をしっかり守ることが可能です。

ISA/IEC 62443がNISTサイバーセキュリティフレームワークやISO 2700xなどの他の枠組みを上回るのは、規格内容が非常に包括的である点にあります。1つ、2つ、または10の規格だけでなく、多数の手順と要件が盛り込まれています。 

実際、IACSおよび産業自動化にとって、各種手順と要件は不可欠です。例えば、以下のような自動化デジタルセキュリティの課題に対処しています。

• 関連する機能や業務におけるデータの機密性の維持
• サイバー攻撃が社会、従業員、IT全体にもたらす隠れた深刻な影響
• 古いOTやIACSシステムを守るための代替管理策の採用
• リスクや脆弱性による損失の予測
• 産業システムの完全性と信頼性を確保するための集中した対策の提供

これらの追加要件により、規格は産業システムに対して信頼性が高く、適切なものとなりました。

ISA/IEC 62443シリーズは厳格なルールに基づき、合意のもとに策定されています。初めはISA 99委員会が設計し、後にIECに承認されました。最終版は、IACSセキュリティの専門家と十分に相談した上で発行されます。

そのため、本規格は、詳細なリスク評価が可能な信頼性の高いサイバーセキュリティ管理システムを構築するための、最良のセキュリティプラクティスの全体像を提供します。

十分に採用すれば、IEC 62443は事業におけるIACSセキュリティ成熟度の判断や、サービスプロバイダー、プログラム、セキュリティ製品の選定基準決定に役立ちます。  

‍

IEC 62443規格の内訳

IEC 62443の内容を理解する最も簡単な方法は、その主要な要素と提供事項を把握することです。そこで、本規格を4つのセクションに分けて解説します。

• General: 最初のセクションはGeneralで、主要な用語、概念、モデルの紹介に焦点を当てています。
• ‍Policies and Procedures: 2番目のセクションでは、IACSセキュリティの基本概念やプロセスについて説明しています。実用的なIACSセキュリティプログラムの構築、IACSのパッチ管理、IASCベンダー向けの基本的なセキュリティプログラムなど、重要な概念が取り上げられています。
• ‍System: システムレベルで必要な全ての要素が詳しく解説されています。例えば、IACSセキュリティ技術、システム設計に関連するリスク監査、サイバーセキュリティの各段階などです。

• Components and requirements: この最後のセクションでは、IACS製品とそのセキュリティ固有の要件（SDLCの必要事項や技術的基準など）に焦点を当てています。

ここから、各カテゴリの注目すべきセクションについて見ていきます。

• IEC/TS 62443-1-1

このシリーズの初期規格の1つであるIEC/TS 62443-1-1は2009年に発行されました。IEC技術委員会65が策定し、現代的なモデル、概念、用語について解説しています。基本用語が説明され、今後の規格の基盤となります。

• IEC/TS 62443-2-1

この規格は2010年秋に発行され、制御システムの安全確保と産業自動化におけるCSMSの重要性を業界に提示しています。また、重要なCMMS要素の構築に必要な手法や手順も示され、IEC/TS 62443-1-1の拡張と位置付けられます。

• IEC TR 62443-2-3

このセクションでは、IACS製品サプライヤーが遵守すべきセキュリティ対策に焦点が当てられています。情報配信の標準的手法を示すことで、パッチ管理が容易になり、セキュリティ重視のシステムパッチやカスタムパッチの適用に有用です。対象はセキュリティパッチに限らず、非セキュリティパッチにも及びます。

• IEC 62443-2-4

このパートでは、IACSサービスプロバイダーが資産所有者との統合や保守を円滑に行うためのセキュリティプログラム要件が列挙されています。IEC技術委員会65とInternational Instrumentation User Associationが共同で策定しました。

• IEC 62443-3-1

このセクションは、IACSに必要な全てのセキュリティ技術を網羅しています。オンラインでのセキュリティツール評価、対策の実施、IACS規制の監視に役立つ技術を段階的に解説しています。

これらのツールや技術の利点と欠点を理解することで、どのツールや製品を試すべきか、また期待される効果を判断できます。細かなアドバイスや支援策も提供されています。

• IEC 62443-3-2

この規格では、IACSや関連ネットワークに適するSuCに求められる主要な制約事項をまとめています。さらに、SuCを伝達経路とゾーンに分類し、リスクを把握し、各々に対して技術的なセキュリティレベル目標（SL-T）を設定する方法が示されています。SL-Tが決まれば、自動化セキュリティレベルの評価が容易になります。

また、これは対象組織の既存の手法や規格に沿った戦略構築によるIACSリスク管理の基礎となり、採用可能なエンジニアリング手法の重要性についても解説しています。

• ISA 62443-3-2

この規格の根底には、IACSがリスク管理に大きく依存している事実があります。各IACSには異なるリスクが伴い、その重大性は直面する脅威によって決まるため、カスタマイズされたリスク許容度の採用が強調されています。

• IEC 62443-3-3

本規格を詳しく読むことで、IEC 62443-1-1で説明された基礎的必要事項に対する詳細なSRSが理解できます。また、IACSコミュニティ関係者、伝達経路、ゾーンごとに求められるSL-C要件についても解説しています。

• IEC 62443-4-1

この規格は、IACSの開発プロセスを守るための要件について述べています。SDLC全体がリスクなく、100%安全であることを確保することで、信頼性の高い産業自動化ソリューションや制御システムの設計につながります。

本規格では、設計セキュリティ、安全な標準コーディング、検証手法、パッチ管理など、各要素に関する必要事項が網羅されており、既存および新規の開発・保守プロセスに適用できます。

• IEC 62443-4-2

この詳細な規格は、IEC TS 62443-1-1で説明された7つのFRに関連する、最も重要な技術的制御システム部品の要件について述べているため、注目に値します。

各セキュリティレベルにおけるSL-Cコンポーネントとその制御システム機能が定義されています。

IEC 62443チェックリスト

IEC 62443は広範な内容、複数の概念、そして様々な分野を扱っているため、その趣旨を理解するのは容易ではありません。重要なポイントに集中するため、以下のチェックリストを参考にしてください。

Part 1-1

IACSやその関連用語を理解するための基盤を築くセクションです。一読する価値があります。

Part 2-4 

信頼できるIACSサービスプロバイダーになるために必要な要件が示されており、デジタルソリューションの維持や統合にも役立ちます。大規模なIEC 62443導入を検討する際にも、プロファイル作成の参考になります。

Part 3-2

各エコシステムには異なるリスクが存在します。この文書は、対象分野に関連するリスクの特定に非常に役立ち、100%カスタマイズされたセキュリティ対策の構築を支援します。

Part 3-3

各セキュリティレベルの理解と、それぞれのレベルでの最適なセキュリティ対策の実現に役立つ文書です。

Part 4-1

IACSソリューションの開発に関わるベンダーや専門家向けに、製品開発ライフサイクル全体の安全確保方法を示しています。

Part 4-2

コンポーネントのセキュリティ向上に必要な技術的要件について理解を深めるための文書です。ソフトウェア、組み込み機器、ホスト、ネットワーク機器の技術的前提条件について述べています。

‍

IEC 62443のセキュリティレベル、ゾーン、伝達経路

IEC 62443規格の優れている点は、各セキュリティレベルに応じた技術的要件が明確に定義されていることです。各レベルで、産業制御システムをしっかり守るための対策が求められます。そのため、IEC 62443で定義されるセキュリティレベルを理解することが重要です。

広範な規格では、セキュリティレベルはSLと呼ばれ、以下の5段階に分類されます。

• SL0は初級レベルとされ、特段の対策は必要とされません。
• SL1は基本レベルで、ツールやデータの偶発的な誤使用を防ぐための適切な保護が求められます。
• SL2は中級レベルで、計画的かつ意図的な不正利用に対する保護が必要です。
• SL3は上級レベルで、意図的な不正利用防止のため、確実な対策が求められ、通常はIACS特有の知識と適度な資源が必要です。
• SL4は最高レベルで、意図的な高度攻撃によるリスクを回避するため、最先端の対策が推奨されます。

IACSソリューションのベンダーや供給者は、各セキュリティレベルに自社のツールを分類できます。また、対象システム（SuC）はさらにゾーンと伝達経路に分けられます。ここから、それぞれの意味を確認しましょう。

ゾーンとは、同様のセキュリティ要件が必要な物理的・論理的資産を分類する概念です。1つのゾーンに属するSuCは、同様のリスクと必要な対策を共有します。主に、影響度や重要性などの要素に基づいて分類されます。

伝達経路も資産のグループ化の概念ですが、ゾーンとは異なり、通信の専属性に基づいて分類されます。これにより、ゾーン内での通信の流れを把握しやすくなります。  

製品開発ライフサイクルの安全確保におけるIEC 62443の活用

ソフトウェア開発に携わる際、製品開発ライフサイクル（SDLC）の安全性は重要なポイントです。IEC 62443の詳細なガイダンスは、IACS/ICS/OTエコシステムにおけるSDLCの実装に大変役立ちます。NISTほど幅広くはありませんが、アプリ開発全体で強固なデジタルセキュリティを確保するのに貢献します。

IEC 62443-3-3は、SDLCの基本的な基礎要件（FR）について解説する最も重要なセクションです。ユーザーアクセス、認証、暗号化、監査ログ、役割と責任の管理を通じ、信頼性の高いセキュリティ体制の維持方法を示しています。詳細はIEC 62443-4-2を参照ください。

このセクションはCSMSとして機能し、開発者に追加の要件を示します。すべての要件は7つのFR領域に分類されており、製品開発においてSLTを達成するには、適切な会議や設計上の前提条件が不可欠であると説明しています。

図が示すように、安全な製品開発は単に基本要件を満たすだけでなく、多面的な開発ライフサイクルを通じたセキュリティの維持が重要です。

IEC 62443は、設計、開発、検証などの主要開発段階における安全なプロセスの維持について、実現可能な提案を示しています。また、バグ修正や更新の段階にも対応しています。  

IEC 62443やその他のセキュリティ規格が登場する前は、OEMやIASCベンダーは安全性の低い開発環境で開発を進めるため、多大な費用をかけていました。問題の根本原因を追求する中で、OT/ICTデバイスの多くの脅威やリスクは、低品質なエンジニアリング、不十分なテスト、保守不足に起因することが分かりました。

IEC 62443シリーズの導入により、製品開発ライフサイクルの安全確保の全体像が明確となり、開発、設計、納品の各段階でどのように安全を確保するかが示され、SDLCや既存のセキュリティ対策に組み込みやすくなりました。

‍

IEC 62443を用いたリスク評価ガイド

IEC 62443を効果的に導入すれば、リスク評価は容易に実施できます。対象組織がSuCの確定を終えた後、本規格はしっかりとしたリスク評価プロセスを提供します。  

ISA 62443-3-2は、リスクの発見、算出、評価の概要を明確に示しており、OTリスク評価（IEC 62433に基づく）は、LOPAレビュー、ギャップ評価、サイバーマチュリティ評価などの過去の評価を活用するのに非常に有用です。

‍

IEC 62443と他の枠組み、規格について

IEC 62443は制御および自動化システムを十分に守ることができますが、より強固な成果を得るために、しばしば他の枠組みや規格と併用されます。  

例えば、ISO 27001と組み合わせることで、OT/IACS/ICSのセキュリティプログラム、またはCSMSの強化が可能です。CSMSは、リスク分析、CSMSの改善、リスク対応の3領域を管理するサイバーセキュリティ管理システムです。

IEC 62443-4-2のCSMS要件の抜粋を参照すれば、複数のリスク分析関連の要件が存在することが理解できます。

NIST CSFは基本的なセキュリティ機能が似ているため、IEC 62443と連携が可能です。唯一の違いは、IEC 62443はICSに関連する機能に注力する一方、NIST CSFは組織全体のOTシステムの強化に焦点を当てる点です。

‍

IEC 62443認証の取得方法

ISAは、ISA/IEC 62443を理解するための認証コースを提供しています。この認証により、主要な概念を把握し、確実な運用を実現できます。ISA提供のこの認証は包括的で、ICASの評価、保守、設計、実施に関する細部まで網羅しています。なお、IEC 62443認証には2種類あり、まずは専門家向けのバージョンとなります。

制御システムに密接に関わり、ITシステムのサイバーセキュリティを管理する専門家は、IEC 62443を取得することで、他者との差別化とスキルアップを図ることができます。認証取得後は、デジタルセキュリティに関する主要な産業用語や実施領域が理解できるようになります。

この認証は主に自動化に関連する規格の習得に焦点を当て、IT重視の方法論を廃し、OT重視の手法を採用しています。これにより、産業セキュリティリスクを迅速に把握し、具体的な対策を講じることが可能です。

IEC 62443認証の専門家を目指す前に、基本要件を満たしているか確認してください。厳格な前提条件はありませんが、以下の方々には認証取得が容易とされています：

• ITサイバーセキュリティの専門家として3～5年の経験があること
• ISA/IEC 62443規格の基本を理解していること

ISA/IEC 62443認証を取得するには、トレーニングプログラムと選択式試験で優れた成績を収める必要があり、試験は通常75～100問が出題されます。

認証取得のプロセスは5段階からなります。1つの認証だけで活動を開始するか、すべてのステップをクリアするかを選べますが、次の段階に進むには前段階の完了が必要です。

ISA/IEC 62443 Cybersecurity Fundamentals Specialist

対面またはバーチャルの教室形式、講師主導のトレーニング、自己学習モジュールで取得できる、最も基本的な認証です。

ISA/IEC 62443 Cybersecurity Risk-Assessment Specialist

基礎認証取得後、この専門認証に進むことができます。以下のいずれかの前提条件をクリアする必要があります：

• Classroom (IC33)
• Virtual Classroom (IC33V)
• Instructor-Guided Online (IC33E)
• Self-Paced Modular (IC33M)

ISA/IEC 62443 Cybersecurity Design Specialist

認証取得者の3段階目の資格で、基礎認証クリアが必須です。本認証には講師主導のオンライン支援はなく、バーチャルまたはオンライン講座、自己学習モジュールから選んで試験準備を行います。

ISA/IEC 62443 Cybersecurity Maintenance Specialist

基礎認証取得後に目指すことができます。

‍

ISA/IEC 62443 Cybersecurity Expert

上記すべての認証を取得すれば、ISA/IEC 62443 Cybersecurity Expertと認定され、追加の試験やトレーニングは不要となります。

これらの認証は取得日から3年で有効期限が切れるため、認定状態を維持するには更新が必要です。

これが第一認証バージョンです。第二の認証バージョンは、産業自動化および制御システムのベンダー、製造業者、供給者向けであり、自社のツールやサービスに関する技術と依存性を示すことができます。 

IEC 62443認証を取得するには、ISA Security Compliance Instituteによる徹底的な評価が必要です。Unite operations、PLC、DCS、ICSコアシステム、SCADA、安全装置などが評価対象となります。

IEC 62443認証のメリット

• IT制御システム（CS）のセキュリティを深く理解し、リスクを効果的に排除できる 専門家は、Industry 4.0を取り入れる企業にとって貴重な存在となり、CSを健全かつリスクの少ない状態に保つ支援をします。IEC 62443認証が、これら自動化およびCSの専門家の雇用機会を広げます。
• ‍提供される産業制御システムおよび自動化ソリューションは、サイバー攻撃を防ぐ堅牢性を持ち、業界最高の品質基準を満たしている ため、ベンダー選定時にIEC 62443認証を提示すれば、採用される可能性が高まります。

‍

結論

Wallarmは、あらゆるレベルで自動化、API、マイクロサービスを活用する組織のサイバーセキュリティ態勢の向上を目指して設計されました。Cloud WAF、GoTest、API保護など先進的な機能を提供し、産業自動化分野における迅速なリスク評価と対策立案に貢献しています。

Wallarmのツールを活用することで、産業自動化分野の企業は、先進的なリスク管理、検知、保護、そしてコンプライアンス対策を実現し、潜在的な脅威を効果的に排除できます。どのようなエコシステムでも、あらゆるAPIに対応できるツールにより、IEC 62443規格への準拠が容易となります。