IEC62443の概要-産業用オートメーションおよび制御システムのセキュリティ

近年、産業自動装置および制御システムは、どの設備でも欠かせないものとなっています。しかし、この制御システムについては、セキュリティの脅威も出現します。制御システムに関連するサイバー攻撃は年々増加傾向にあり、産業界としてはこの増加するサイバー攻撃に備えて、設備の故障、停止、安全上の問題への対策が必要となります。

そこで参照される規格の一つが規格IEC 62443です。

この規格は、2027年以降、機械指規則(machinery Regulation (EU)2023/1230) でも参照される見込みであり、世界各国の産業セキュリティ専門家によって現在および将来の脅威から産業用ネットワークを守るための包括的な要求が記載されています。今回は、この制御システムセキュリティの規格、IEC62443について解説していきます。

IEC62443は、産業自動装置および制御システムを権限のない人やハッカー攻撃による機械の不正操作から保護することを目的とした規格です。IEC 62443は、国際電気標準会議（IEC）とISA99によって共同で開発されており、安全な開発のための一連のセキュリティ標準です。徹底的かつ体系的なサイバーセキュリティの推奨事項を提供します。サイバーセキュリティの脅威から産業用ネットワークを防御するために使用されます。

IEC 62443は、以下の4つのグループに分類されています：「一般」、「方針と手順」、「システム」、「コンポーネント」

・シリーズに共通する一般的な概念、定義、トピック

・資産所有者、サービスおよびソリューションプロバイダーのセキュリティプログラム要件を含む、IACSセキュリティに関連するポリシーと手順、および運用中のIACSによって提供される保護のレベルを評価する方法論

・システム全体レベルでのサイバーセキュリティの技術要件とリスク評価方法

・システムコンポーネントの安全な開発ライフサイクルに関する要件、および技術レベルでのそのようなコンポーネントのセキュリティ要件

この規格において重要なのはセキュリティレベル（SL）です。SLは、各システムに対するサイバーセキュリティリスクを評価するために使用されます。そして、それらのリスクに最もよく対処する方法を理解するのに役立ちます。SLは0〜4の5つのセキュリティレベル値があります。SL 0は最小レベルのリスクであり、SL4は最大レベルです。数字が高くなるにつれ、厳しいコンプライアンス要件があります。

SLごとに満たす必要のある7つの特定の基本要件があります。これらの要件を満たすことで適切なセキュリティと安全対策が確実に適用されます。IEC / TS 62443-1-1は、シリーズ全体で使用される産業用オートメーションおよび制御システム（IACS）セキュリティの用語、概念、およびモデルを定義しています。特に、7つの基本要件（Foundation Requirement：FR）が定義されています。

a）識別および認証制御（IAC）

b）使用制御（UC）

c）システム整合性（SI）

d）データの機密性（DC）

e）制限されたデータフロー（RDF）

f）イベントへのタイムリーな応答（TRE）

g）リソースの可用性（RA）

これらの7つのFRは、制御システムのセキュリティ機能レベルを定義するための基盤です。各基本要件には、SLに応じて満たす必要のある複数の条件があります。SLが高いほど、基本的な要件を満たすために満たす必要のある条件が多くなります。

弊社では、産業セキュリティの技術エンジニアが、IEC 62443の適合に関する解説や技術支援を実施し、システムインテグレータ、メーカー、資産所有者が、強固な産業セキュリティを実現できるように支援します。IEC 62443に関する具体的な適合支援については、お気軽にご相談ください。