本記事では、ICSのセキュリティ標準であるIEC62443シリーズについて、開発の経緯からその構成とカバー領域、そして同シリーズの今後の動向をご紹介します。

サイバー攻撃の脅威が高まる中、各組織では改めてセキュリティとどのように向き合い、脅威に対処していくかの見直しが進んでいます。セキュリティの見直しを検討する上では、国際標準のセキュリティ基準を参考にするのが解決の糸口となり得ます。

IEC62443シリーズとは

IEC62443シリーズとは、産業用の制御システム（ICS）などを対象とした、国際標準のセキュリティ標準規格です。

ICSを利用する、あるいは制御システムを保有・管理しているアセットオーナーに向けて作成されたもので、ICSを取り巻く環境や機器のセキュリティについてのノウハウを獲得できます。

IEC62443の認証を取得することにより、その製品は日本はもちろん、世界標準でのセキュリティ要件を満たしていることを証明できるため、セキュリティ機能の実装を進める上での重要な基準となります。

IEC62443シリーズが開発された経緯

IEC62443は、アメリカの民間標準化組織であるISA（International Society of Automation）が2002年より開発に着手した規格です。

開発期間中、サイバー攻撃の増加などを発端にセキュリティ対策の重要性が高まったことや、インシデントを制御するためのシステムの汎用化が進んだことで、IEC62443シリーズはその必要性が急速に高まり、開発にも拍車がかかっていくこととなりました。

今日では製造業における自動制御やモニタリングはもちろん、医療分野における制御システムにも同シリーズが適用されるなど、高度なセキュリティ対策が求められる現場において、信頼性の高い認証として広く認められています。

IEC62443シリーズの構成

IEC62443シリーズは、大きく分けて4つの領域、冊子にすると14もの分冊で構成されています。2022年7月現在、14冊のうち9冊は初版発行済みですが、残りの5冊については策定中となっています。

IEC62443を構成する4つの領域

IEC62443シリーズは、下記の4領域にて構成されています。

• 全般共通事項
• ポリシー・手順
• システム
• コンポーネント

全般共通事項の領域では用語の定義やシリーズに通じる共有事項、ポリシーや手順の領域ではICSの導入におけるセキュリティ管理のためのポリシーや手順、システムの領域ではセキュリティ水準の設計、コンポーネントの領域ではコンポーネントの保証水準や開発要件について、それぞれ定義しています。

IEC62443の認証獲得を検討する際には、あらかじめこれらの4つの領域を把握しておきましょう。

IEC62443-1（全般共通事項）

IEC62443-1では、同シリーズにおける共通事項の紹介が行われています。小分類として、この領域においては下記の四つの分冊が存在します。

• コンセプトとモデル
• 用語の略語とマスター用語集
• システムセキュリティ適合性標準
• IACSセキュリティライフサイクルとユースケース

同シリーズがどのようなコンセプトで誕生したのか、どんな利用場面を想定しているのか、同文書の中で使われている用語の意味など、全般に通じる説明です。また、どのようなシステムセキュリティに適合しているのか、IACS（=ICS）セキュリティのライフサイクルについて、ユースケースをもとにした解説が行われます。

IEC62443-2（ポリシー・手順）

IEC62443-2では、ICSの導入や運用におけるセキュリティ管理ポリシー、および手順について書かれています。小分類として、この領域においては下記の五つの分冊が存在します。

• IACSセキュリティマネジメントシステムの要求事項
• セキュリティプロテクションの格付け
• IACS環境におけるパッチ管理
• IACSサービスプロバイダーセキュリティプログラムの要求事項
• IACSアセットオーナー向けの実践ガイドライン

セキュリティマネジメントシステムに求められる要件や、プロテクションの格付け、パッチ管理、そしてアセットオーナーが実践すべき対応事項のガイドラインと、IECの根幹となるセキュリティ要項が多数盛り込まれています。

IEC62443-3（システム）

IEC62443-3では、システムとしてのICSにおけるセキュリティ設計について書かれています。
小分類として、この領域においては下記の三つの分冊が存在します。

• IACSで利用可能なセキュリティ技術
• セキュリティリスク評価とシステム設計
• システムセキュリティ要件とセキュリティレベル

どのような技術を使ってセキュリティ要件を満たせるのか、どうやってリスクを評価し、システムを設計するのか、システムにはどれくらいのセキュリティレベルが求められるのかが、その要件とともに記載されています。

IEC62443-4（コンポーネント）

IEC62443-4では、ICSのコンポーネント製品のセキュリティや、開発プロセスに対する要件について書かれています。
小分類として、この領域においては下記の二つの分冊が存在します。

• セキュリティ製品開発のライフサイクル
• IACSコンポーネントの技術的セキュリティ要件

時として数十年にわたって運用が続けられるセキュリティ製品のライフサイクルについて、そしてコンポーネントのセキュリティ要件について紹介されています。

IEC62443シリーズの今後

IEC62443シリーズはここまでご紹介してきた通り、非常に広範なセキュリティ標準をまとめたものであるため、文書にまとめることも容易ではありません。前述の通り、全14分冊のうち5冊は未だ策定中であるため、完全版の完成はもう少し先となります。

また、産業用IoT（モノのインターネット）運用がここ数年で活性化したことで、そのセキュリティリスクについても懸念が大きくなっています。

今後も新しいセキュリティリスクについての懸念も汲み取ったアップデートが行われ、グローバルスタンダードとして信頼し得る文書へと仕上げられていくでしょう。

IEC62443への理解を深めて高度なセキュリティ環境を実現しましょう

本記事では、IEC62443シリーズの概要と構成要素についてご紹介しました。2002年から開発が始まっているIEC62443シリーズは、4領域14分冊で構成されている大ボリュームのセキュリティ標準であり、現在も策定が進んでいます。

IT導入が広く進んだことで、ICSの汎用化やサイバー攻撃が増加し、その重要性に注目が集まっています。近年では産業用IoTの活躍とともに、これらの製品やICSを狙ったサイバー攻撃の事例も増えているため、各企業の臨機応変な対応が求められています。アセットオーナーはIEC62443シリーズへの理解を深め、高度なセキュリティ環境を実現しましょう。