IEC62443：サイバー攻撃から製品、工場・施設を守る

サイバー攻撃と規制動向

緊迫する世界情勢を背景に拡大する一途のサイバー攻撃。その攻撃対象は、日本の製造業や社会インフラも例外ではありません。サイバー攻撃から製品や工場、施設といった資産をどう守るのかは事業継続性を左右する重要な課題のひとつとなっています。

一方各国はサイバーリスクに対応するため規制強化に乗り出し、取り組みで先行するEUではサイバーレジリエンス法　（Cyber Resilience Act）が2024年12月10日に施行され、2027年12月10日に適用となります。サイバーレジリエンス法は一部の分野の製品を除き、有線・無線、ソフトウェア・ハードウェア問わずすべてのデジタル製品を対象としています。CEマーキングには同法の要求事項を満たすことが必須なため、これを機に製品のセキュリティ対策に取り組む企業が少なくありません。

こうしたなか、産業製品向けサイバーセキュリティの主流の規格としてIEC62443が注目されています。今回は、今後発行されるサイバーレジリエンス法の整合規格のベースでもあるIEC62443をご紹介します。

製造業と社会インフラを支える制御システム向け汎用的セキュリティ国際標準

IEC62443はOT（Operational Technology：制御システム）のセキュリティに特化して開発されました。
OTは物理的な装置やシステムを制御、運用する技術を指し、工場の生産ラインなどの製造業の現場や社会インフラで幅広く利用されています。
従来、OTは外部のネットワークから切り離され、閉ざされた環境と考えられてきました。近年はIIoT（Industrial Internet of Things：産業向けIoT）の普及で、ITとの連携が進み、オープンなネットワークと接続されるようになったことで、サイバー攻撃の被害にあう事例が相次いでいます。

IEC62443はそのようなOTのセキュリティに特化して開発された規格で、当初主眼としていた電気・ガス・水道などの公共サービスや石油化学プラントなど、プロセス制御を伴う業種に加え、現在はビルディングオートメーション、鉄道、医療、スマートファクトリーといったさまざまな分野で導入が進んでいます。IEC62443をベースにした業界標準や規格には、舶用機器向け規則URE27のほか、大手半導体メーカーが、半導体関連装置メーカーやシステムインテグレーターなど自社のサプライヤー向けに調達案件化したSEMI E187などがあります。

以下にIEC62443規格の対象と特徴を記載します。

①　ステークホルダー（利害関係者）

IEC62443には下記3つのステークホルダーを想定しています。

• 工場・施設の所有者
  OTシステムに対し責任を負う事業者およびOTシステムと装置を制御しながら運用する事業者
• サービスプロバイダー
  －    システムインテグレーター複数の：複数のハードウェアとソフトウェアを組み合わせて顧客向けにOTシステムを構築する事業者
  －    保守サービスプロバイダー：OTシステムを保守し、稼働させる事業者
• 製品サプライヤー
  OTシステムを構成するハードウェアおよびソフトウェア製品の製造業者

②　規格の構成

規格はおおまかに以下4つのパートから構成されています。

• IEC62443-1（一般）
  すべてのステークホルダー向けに用語やコンセプトなどIEC62443の概要を規定
• IEC62443-2（方針および手順）
  工場、施設の所有者向けに組織の管理や運用など方針・手順を規定
• IEC62443-3（システム）
  サービスプロバイダー（システムインテグレーター・保守サービスプロバイダー）向けにシステムのセキュリティ要件を規定
• IEC62443-4（製品）
  製品のサプライヤー向けに、4-1は製品開発のプロセス要件を、4-2は製品の技術的セキュリティ要件を規定

ステークホルダーごとに対象と規格を整理すると下表のようになります。

ステークホルダーはひとつの組織に対してひとつとは限らず、ひとつの組織が複数のステークホルダーに該当することがあります。たとえばOTシステムを構成するハードウェアおよびソフトウェア製品の製造業者は、製品のサプライヤーであると同時に製品を生産する自社工場の所有者でもあり、その場合の規格は前者のステークホルダーとしてIEC62443-4-1とIEC62443-4-2、後者のステークホルダーとしてIEC62443-2-1が対応します。

まとめ

現状サイバーレジリエンス法をはじめとする法規や顧客の要求仕様で求められるものは、製品やシステムのセキュリティが中心であり、製品を製造する工場のセキュリティまで求められるケースはまれです。
しかし、工場も日々サイバー攻撃の脅威にさらされています。実際に工場がサイバー攻撃を受け、工場の稼働が止まるだけでなく、サプライチェーン全体が機能しなくなった事例があるのは記憶に新しいところです。

事業継続への影響はもちろん、人の安全や健康への影響、環境破壊など被害が拡大する可能性があります。攻撃を受けるのが重要インフラの施設であれば、被害による社会的インパクトが甚大であるのは言うまでもありません。
一般的に知られているセキュリティの企画ISO27001は多くの企業が認証を取得しています。
しかし、ISO27001はIT環境での情報セキュリティの管理に特化しており、OTならではの特性（可用性の重視、更新サイクルが長い等）を考慮すると、工場や施設のセキュリティ対策の基準としては不十分といえます。

一方、OTのセキュリティに特化して開発されたIEC62443は、OTの特性が考慮されている工場や施設の汎用的なセキュリティ基準です。IEC62443をベースに、製品に対してだけでなく工場や施設に対してもセキュリティの取り組みを始めることをお勧めします。

ビューローベリタスでは以下のようなサービスを提供しております。
－    IEC62443のトレーニング、GAP分析、認証
－    SBOM作成や製造業者の報告者の義務などの要件を含むサイバーレジリエンス法対応のサポート
－    SEMI E187 VoC（適合証明書）の発行
－    IEC62443をベースにした工場や重要インフラ施設向けのセキュリティ対策のサポート

ご不明点、ご質問等ございましたら、お気軽にお問い合わせください。

システム認証事業本部