IEC 62443の位置付け

国際標準を読み解く IEC 62443の本質として、第1回ではOTを対象にしたセキュリティ対策の国際標準であるIEC 62443シリーズの位置付けを解説します。

国際標準とは、国によって異なる構造や性能、技術等を世界的に統一した規格です。ITセキュリティの国際標準といえば、ISO/IEC 27000シリーズが非常に有名です。これをOTセキュリティで活用することもできなくはありません。しかしながら、IACS（Industrial Automation and Control System：産業用オートメーション及び制御システム）をサイバーセキュリティから守るための国際標準であるIEC 62443シリーズが、よりOTセキュリティに適しているのは間違いありません。
そこで、最初にIEC 62443シリーズがどのように構成されているのか、その全体像を見ていきます。

IEC 62443シリーズというだけあって、IEC 62443は複数の規格から構成されています。その分類としては次に示すように、62443に続く番号で大きく4つのパートに分かれています。

• IEC 62443-1（一般）
  各パート全般に共通する事項を規定しています。ここには、用語はもちろんのこと、コンセプトやモデルといった概念の定義があります。
• IEC 62443-2（ポリシー及び手順）
  組織のマネジメント（管理・運用）のポリシー、手順に関するセキュリティ事項を規定しています。
• IEC 62443-3（システム）
  コンピュータシステム・ネットワークを含むシステム全体の技術、リスク評価に関するセキュリティ事項を規定しています。
• IEC 62443-4（コンポーネント）
  制御機器やソフトウェアなどの製品（システムコンポーネント）の開発ライフサイクルや技術に関するセキュリティ事項を規定しています。

さらに、それぞれのパートは、次に示す個々の規格へと分かれます（2021年12月時点）。

次に、関連する国際標準と業界標準等について、カバーする範囲（組織、システム、コンポーネント、技術）と業種分野（全般、固有）の全体像を図に示します。これらのなかでIEC 62443は、組織・システム・コンポーネントに対して、汎用的なOTセキュリティの標準に位置付けられることがわかります。

それでは、工場のセキュリティ対策を進めるにあたって、IEC 62443シリーズを構成する各パートの標準すべてを考慮する必要があるのでしょうか？ コンポーネントを対象にするIEC 62443-4のパートは、主にOT製品（機器やソフトウェアなど）を開発するメーカやベンダーに対するセキュリティの標準となります。よって、アセットオーナーと呼ばれる工場のエンドユーザにとって、それほど重視すべきものではないはずです。
組織（ポリシー及び手順）が対象のIEC 62443-2と、システムが対象のIEC 62443-3は、工場のセキュリティ対策には欠かせません。そのなかでも、マネジメントの管理要件を規定するIEC 62443-2-1と、システムの対策要件を規定するIEC 62443-3-3の2つが、工場セキュリティ対策のバイブルになると考えます。

続く第2回では、工場のセキュリティ対策を進める上でバイブルの1つとなる、IEC 62443-2-1について考察を進めます。

KPMGコンサルティング
顧問　福田 敏博　※掲載当時

工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

• 経営リスクで考える工場セキュリティ対策の重要性（全4回）
• いまさら聞けない工場セキュリティの基本（全4回）
• 管理視点で考える工場セキュリティの勘どころ（全3回）