サイバーセキュリティ
【インタビュー連載】
エキスパートに聞く、
IEC62443で始める
産業サイバーセキュリティ
2023-10-11
緊迫する世界情勢を背景に拡大する一途のサイバー攻撃。その攻撃対象は、日本の製造業や社会インフラ・公共サービスを提供する自治体などの事業者も例外ではありません。サイバー攻撃から製品や工場、施設といった資産をどう守るのかは事業継続性を左右する重要な課題のひとつとなっています。
一方各国の政府はサイバーリスクに対応するため規制強化に乗り出し、取り組みで先行するEUではサイバーレジリエンス法など各種法規制の導入が予定されています。こうした動きの中、産業製品向けサイバーセキュリティの規格として有力なのがOT(制御システム)のセキュリティ国際標準であるIEC62443です。
今回のインタビュー連載では、2023年4月に開催し、大きな反響のあったウェビナー「IEC62443で始める産業サイバーセキュリティ」と同じタイトルで、ウェビナーに登壇したOTセキュリティのエキスパートSZ Linを迎え、4回にわたりIEC62443を深掘りしていきます。
サイバーレジリエンス法をはじめとする各国のサイバーセキュリティの法規の動向とIEC62443の関連性について特集した第1回目に続き、第2回はOTセキュリティの対策基準としてのIEC62443の観点から、ISMS向けサイバーセキュリティの規格であるISO27000との比較のほか、IEC62443の汎用性や3つのステークホルダーについて解説します。
注: 規格の表記は正式にはISA/IEC62443ですが、日本で通用しているIEC62443の表記で統一しています。
Chief Cybersecurity Expert
Bureau Veritas 台湾
SZ Linは IACS/ OTセキュリティ、IIoTセキュリティ、セキュアソフトウェア開発ライフサイクル(SSDLC)組み込み、Linux環境の分野で幅広い経験を有し、現在ISA99委員会、ISASecure技術委員会、ISAGCAで活動。半導体サイバーセキュリティ委員会のメンバーでもあり、台湾の産業向けサイバーセキュリティの規格策定では中心的役割を果たす。
前CIP(Civil Infrastructure Platform)プロジェクト技術運営員会メンバー、前Linux財団OpenChainプロジェクト理事会メンバー。
Debian開発者としてオープンソースのさまざまなプロジェクトに従事し、オープンソースコミュニティではセキュリティツールパッケージングのチームでオープンソースソフトの開発と保守を担当。
台湾国立交通大学ネットワーク工学部修士。
CISSP-ISSAP、CSSLP, CISA, CISM、 GICSP(Gold)
ISA/IEC 62443認定エキスパート
本インタビュー連載は以下のラインアップでお届けする予定です。
(予告なく変更することがあります)
- 第1回
各国の産業製品向けサイバーセキュリティの法規とIEC62443 - 第2回
IEC 62443:OTセキュリティの対策基準
1)OTセキュリティ VS ITセキュリティ:ISO27000はOTセキュリティの対策基準として有効か
2)IEC62443の汎用性
3)IEC62443の3つのステークホルダー - 第3回
IEC62443のポイント
1)Maturity levelとSecurity level
2)リスクアセスメントと脅威分析
3)3つの観点:工場・施設の所有者、サービスプロバイダー(システムインテグレーター、システムメンテナンス事業者)、製品のサプライヤー
4)SBOM - 第4回
IEC62443導入を成功させるには?
1)IEC62443導入のコツ
2)OTのセキュリティはどこから始める?
3)IEC EE認証 VS ISA Secure認証