国際標準を読み解くIEC 62443の本質として、3回にわたって説明をしてきました。その最終回となる第4回は、国際標準の内容を理解(解釈)する上でのポイントを説明します。

国際標準の解釈_図表1

原則主義と細則主義

たとえば、ISO 9001などマネジメントシステムと呼ばれる国際標準は、原則主義により要求事項が規定されています。IEC 62443についても、基本的には原則主義による規定です。
原則主義では、基本的・本質的な事項のみを定め、細かい部分については読み手がケースバイケースで判断することを求めています。これに対して細則主義では、個別具体的なルールまで詳細に定め、内容を明確にします。
一見、細則主義の方が良さそうな気もしますが、それぞれのメリット・デメリットを見ていきましょう。

国際標準の解釈_図表2

細則主義
メリットは、ルールの細部まで定めているため、内容を理解する上でのブレが少なくなります。企業間での適用状況に関して、比較評価等がしやすくなります。
デメリットは、規定をいろいろな業界・業種・業態の企業の状況にマッチさせるのが難しいことです。細かくなればなるほど適用の対象が狭くなるため、どうしても実態に合わないケースが生じます。それを防ごうとすると、さらに規定のボリュームが増えてしまい、内容がかなり複雑になります。また、細かなところ(手段)ばかりに焦点があたるため、そもそも規定の本質(目的)から逸れてしまうことも少なくありません。

原則主義
メリットは、ルールの本質部分だけを規定することで、さまざまなケースへの対応ができることです。原則主義では、規定の内容を自社にマッチするように解釈し、それを基に個別具体的なルールを自ら定めていきます。細則主義のように、ありとあらゆるケースをあらかじめ想定することなく、シンプルで包括的な規定にまとめることが可能です。
デメリットは、どうしても規定が抽象的な内容になるため、具体的にどうすればいいのか一見わかりづらくなることです。そのため、規定の内容を自社に合わせて解釈するわけですが、企業によって認識に齟齬が生じることも少なくありません。

そのようなメリット・デメリットがあるなか、国際標準が規定する内容としては、より広く一般的に活用できるよう原則主義が多く採用されています。

国際標準の規定を解釈してみる

原則主義で規定された国際標準を効果的に活用するには、その内容をいかに解釈するかがポイントになるはずです。しかしながら、実際には自社の状況を踏まえてどのように解釈すればいいのか、戸惑うことも多いのではないでしょうか。
ここでは参考例として、IEC 62443-2-1 のなかから、2つの要求事項を解釈してみます。ただし、この解釈が必ずしも正解といったことではありませんので、ご注意ください。

◇ 4.2.3.4 IACSの識別

<原文の内容>
組織は、各種のIACSを識別し、装置に関するデータを収集してセキュリティリスクの特性を識別し、それらの装置を論理的システムにグループ化しなければならない。

要求事項の内容は抽象化されているため、最初は何を求めているかイメージがしづらいと思います。
よって、次のように少し手を加えてみます(説明箇所をわかりやすくするために下線を引いています)。

OTセキュリティ推進チームは、次の手順により各種のIACSを識別し、装置に関するデータ(IACSに関する資産情報等)を収集してセキュリティリスクの特性を識別し、それらを論理的システムにグループ化すること。
1. IACS資産の洗い出し
対象範囲のIACS資産について、次に該当するものを漏れなくピックアップする。
(1)ハードウェア
(2)ソフトウェア
(3)電子データ
(4)その他(IACSとして扱い、セキュリティリスクから守るべきもの)
2. IACS資産台帳の作成
洗い出したIACS資産を、その機能や用途の類似等からグループ化し、「IACS資産リスト」にまとめる。

ここでは、この要求事項を一般的な情報セキュリティ管理で求められる資産台帳の整備として捉えます。
主語の「組織」は、OTセキュリティ推進チームとしましたが、それぞれの企業で主管となる体制を当てはめるとよいでしょう。装置に関するデータは、()内でIACSに関する資産情報等として注釈を加えました。
論理的システムについては、たとえば「Aライン計装制御システム」や「Bラック入出庫管理サーバ」、「Cライン組立制御盤」などが考えられます。一般的な情報セキュリティの資産台帳においても、単体機器を1台ずつあげるのではなく、周辺機器等を含めてグループ化することが多いと思います。セキュリティリスクアセスメントにおいて、資産に及ぼす影響度などを資産台帳から想定するには、単体ではなくグループ化した資産単位の方が評価しやすい場合があるからです。
なお、IACS資産リストは、あらかじめ入力項目等を定めたデータシートを書式として準備します。

【IACS資産リスト(サンプル)】

国際標準の解釈_図表3

◇ 4.2.3.6 システムの優先順位付け

<原文の内容>
組織は、各論理制御システムのリスクを軽減するため、基準を策定して優先順位を割り当てなければならない。

これを先ほどの4.2.3.4(IACSの識別)と関連させて、少し内容に手を加えてみます(説明箇所をわかりやすくするために下線を引いています)。

OTセキュリティ推進チームは、各論理制御システム(IACS資産)のリスクを軽減する(リスクアセスメントを実施する)ために、次の基準により優先順位(重要性)を割り当てること。

レベル 可用性(A) 完全性(I) 機密性(C)
0 許容可 影響なし 公開可
1 数日程度は許容 単体のみ影響 工場内に限定
2 半日程度は許容 システム範囲に影響 一部の部門に限定
3 許容不可 生産全体に影響 一部の関係者に限定
重要性 可用性レベル 完全性レベル 機密性レベル
A 3 - -
2以下 3 3
B 2 - -
1以下 3 -
1以下 - 3
C 1以下 2以下 2以下

ここで気になるのが、4.2.3.4(IACSの識別)の原文で用いられている論理的システムと、論理制御システムの用語の違いです。IEC 62443のなかで、この用語に関する明確な定義等はないため、ここでは()内でIACS資産の全般を広く示すように注釈しました。
リスクを軽減するとは、この後にリスクアセスメントの実施要求が続きますので、()内で説明を加え、優先順位は重要性として()で示しました。ここに、HSE(Health、 Safety、 Environment:健康、安全、環境)の項目を追加することも考えられます。

【重要性の評価部分(サンプル)】

国際標準の解釈_図表4

このように解釈していくには、原則主義で規定する内容を、自社の状況に合わせて試行錯誤しながら考えることが必要です。その過程において、国際標準の理解を深めるとともに、自社のOTセキュリティに対する組織的なスキルやノウハウを培うことになるのではないでしょうか。
そこが国際標準を読み解くにあたって、非常に重要なポイントの1つになると考えます。

さいごに

本テーマのまとめとして、国際標準の内容を理解する上でのポイントを解説しました。国際標準を読み解くことで、OTセキュリティに対する企業の組織力向上につなげていただければ幸いです。

TRS顧問 福田さん

国際標準を読み解く IEC 62443の本質

関連リンク

工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。

 

お問合せ