サイバーセキュリティ
第1回
各国の産業製品向けサイバーセキュリティの法規とIEC62443
2023-10-11
2023年4月に開催し、大きな反響のあったウェビナー「IEC62443で始める産業サイバーセキュリティ」と同じタイトルで、ウェビナーに登壇したOTセキュリティのエキスパートSZ Linを迎え、4回にわたりIEC62443を深掘りしていきます。
第1回目は、日本の製造業の間で関心の高いサイバーレジリエンス法をはじめとする各国のサイバーセキュリティの法規の動向とIEC62443の関連性について取り上げます。
Chief Cybersecurity Expert
Bureau Veritas 台湾
SZ Linは IACS/ OTセキュリティ、IIoTセキュリティ、セキュアソフトウェア開発ライフサイクル(SSDLC)組み込み、Linux環境の分野で幅広い経験を有し、現在ISA99委員会、ISASecure技術委員会、ISAGCAで活動。半導体サイバーセキュリティ委員会のメンバーでもあり、台湾の産業向けサイバーセキュリティの規格策定では中心的役割を果たす。
前CIP(Civil Infrastructure Platform)プロジェクト技術運営員会メンバー、前Linux財団OpenChainプロジェクト理事会メンバー。
Debian開発者としてオープンソースのさまざまなプロジェクトに従事し、オープンソースコミュニティではセキュリティツールパッケージングのチームでオープンソースソフトの開発と保守を担当。
台湾国立交通大学ネットワーク工学部修士。
CISSP-ISSAP、CSSLP, CISA, CISM、 GICSP(Gold)
ISA/IEC 62443認定エキスパート
― まず日本の製造業の間で関心の高い、産業製品に対するサイバーセキュリティの法規について説明してもらえますか。とくにサイバーレジリエンス法の動向に興味のある企業が多いようです。
SZ Lin:高度化・巧妙化するサイバー攻撃が世界各地で多発しているのを受け、各国の政府が規制を強化し始めています。他国に先行して取り組んでいるEUは、すでに新しい法規制の導入を発表しており、サイバーレジリエンス法はその中のひとつです。RE指令がインターネットに接続する無線製品に適用されるのに対し、サイバーレジリエンス法ではIoT製品、デジタル製品、OS、ソフトウェアなどすべてのデジタル製品が対象です。施行日、詳しい仕様、整合規格、認証スキームを含めサイバーレジリエンス法についての詳細は不明で、現時点でわかっていることといえばENISA(欧州連合サイバーセキュリティ機関:The European Union Agency for Cybersecurity)が最近発表した次の必須要求事項がすべてです。
- デジタル要素のプロパティに関するセキュリティの要求事項
- 脆弱性の管理
- ユーザへの最低限の情報提供
― そのような要求事項に対応するため今できることはなんでしょうか。たとえばPSIRTの構築はサイバーレジリエンス法への対応に必須ですか。大手企業の中にはすでにPSIRTを構築しているところもあります。
SZ Lin:確かにPSIRTはインシデントへの対応と脆弱性管理の理想的な手法ですが、PSIRTの構築にはコストも時間も労力も膨大にかかります。私の観点ではPSIRTは手法のひとつではあっても、サイバーレジリエンス法への対応、ひいては製品のセキュリティの確保に必ずしも必要ではないと思います。
― ではほかに方法があるのでしょうか。
SZ Lin:脆弱性の管理にはSBOM(ソフトウェア部品表:Software bill of materials)というサプライチェーンに関連する情報を含むソフトウェアのコンポーネントのインベントリーリストの導入が重要です。
またセキュアな開発プロセスと製品を実現するには、産業製品のサイバーセキュリティの規格として広く受け入れられているIEC62443がキーとなります。関係者向けに公表されているRE指令の整合規格のドラフト版ではIEC62443が言及されており、その内容はサイバーレジリエンス法で引き継がれることになっています。従ってサイバーレジリエンス法への対応への準備として、SBOMの導入とあわせてIEC62443-4-2およびIEC 62443-4-1の一部の要件への取り組みが現時点ではもっとも適切なステップと言えます。
― サイバーレジリエンス法以外で製造業の企業が注視すべきEUの法規はありますか。たとえばNIS2指令(NIS2 Directive、以下NIS2)はいかがでしょうか。
SZ Lin:NIS 指令(ネットワークおよび情報システム指令:Network and Information Systems Directive、以下NIS)はEUの重要インフラと経済の保護を目的に2016年に導入されたEUのサイバーセキュリティのルールで、その改定版であるNIS2が2023年1月に施行されました。
NIS2はNISの対象を新しい業種や事業者に拡大し、リスクマネジメントと報告義務を重視しています。ほかの法規としては重要インフラの物理的攻撃へのレジリエンスを目的としたRCE:重要なエンティティのレジリエンス指令:Resilience of Critical Entities Directive、以下RCE)があります。NIS2、RCEともに2024年10月までのEU加盟国の各国の国内法への移行期間の段階にあります。EUはNIS2、RCEの基本要件だけを定義し、その基本要件に基づいてEU加盟国が国内法を導入することになります。各国で国内法が導入された後、企業はその国内法に従う必要があります。
― 次にアメリカの法規の動向について聞かせてください。
SZ Lin:進行中の取り組みがいくつかあります。まずニューヨーク州では公共交通機関、水道・下水道、電気・ガス、医療など公共サービスの分野で工場・施設の所有者と製品のサプライヤーにIEC62443遵守を義務付ける「重要インフラの標準と手順」法案(法案番号:S5646)」が審議されており、フロリダ州が後に続いています。
またISA(国際自動制御学会)は米国エネルギー省に太陽光発電向けのサイバーセキュリティの仕様について助言を行っているほか、BPS(基幹電力システム:Bulk Power System)保護に関する大統領令(EO 13920)への対応の一環として、BPSのワーキンググループでBPSのサプライチェーンに対するサイバーセキュリティのフォーラムを主宰しています。ISAと米国エネルギー省はスマートビルディングの分野でもIEC62443導入に向け取り組んでいます。こうした取り組みはすべてIEC62443をベースにしていますが、いずれもまだ検討段階で、今後動向を注視する必要があります。
― IEC62443への取り組みはアメリカの法規対応への準備としても適切ということでしょうか。
SZ Lin:その通りです。アジアでも同様の動きが広まっています。マレーシア標準局がマレーシアの国家規格として、台湾政府とシンガポール政府が公共事業の約款の文言としてIEC62443を採用しています。こうした国々では遅かれ早かれ政府調達案件の要件にIEC62443が追加される可能性があります。
― ありがとうございました。次回のインタビューではOTセキュリティの対策基準としてのIEC62443に焦点を当てます。
今後のラインアップ
本インタビュー連載は次回以降以下のラインナップでお届けする予定です。
(予告なく変更することがあります)
- 第2回
IEC 62443: OTセキュリティの対策基準
1)OTセキュリティ VS ITセキュリティ: ISO27000はOTセキュリティの対策基準として有効か
2)IEC62443の汎用性
3)IEC62443の3つのステークホルダー - 第3回
IEC62443のポイント
1)Maturity levelとSecurity level
2)リスクアセスメントと脅威分析
3)3つの観点: 工場・施設の所有者、サービスプロバイダー(システムインテグレーター、システムメンテナンス事業者)、製品のサプライヤー
4)SBOM - 第4回
IEC62443導入を成功させるには?
1)IEC62443導入のコツ
2)OTのセキュリティはどこから始める?
3)IEC EE認証 VS ISA Secure認証