医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
2009年から発行が始まったIEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。他の法規制・ガイドラインからも参照されるなど、OTセキュリティにおける代表的な規格となっています。一方で、10以上の文書によって幅広い領域がカバーされている上に、直近1、2年で複数の文書が発行・改定されるなど活発な活動が行われているため、全容を把握するのは容易ではありません。本稿では、IEC 62443シリーズ全体の概要と近年の動向について解説します。
IEC 62443シリーズの概要
IEC 62443シリーズは、ISA(International Society of Automation:国際自動制御学会)とIEC(International Electrotechnical Commission:国際電気標準会議)の2団体により開発・発行されており、総称してISA/IEC 62443とも呼ばれています。
規格の対象は「IACS(Industrial Automation Control System:産業用自動制御システム)」です。このIACSについては62443-1-1で定義されており、
「制御プロセスの安全、セキュリティ、信頼性(Reliability)のある運用に作用、もしくは影響する人的資産、ハードウェア及びソフトウェアの集合体」(IEC/TS 62443-1-1 Ed. 1.0:2009(日本規格協会による邦訳)より引用)
となっています。技術的な範囲だけでなく、人、手順、プロセス、ポリシーなどもスコープに含まれるのがIEC 62443シリーズの特徴です。
2025年4月現在の文書の発行状況は図表1のとおりです。現在13の文書が発行されています。文書は扱う内容に応じて6つの領域に分けられており、62443-1-xから62443-6-xまでの番号が付与されています。
図表1:IEC 62443シリーズの発行状況(2025年4月時点)
多くの文書が発行されていますが、必ずしもすべての文書を利用しなければならないわけではありません。IEC 62443シリーズでは以下の図のように役割及び責任が想定されており、それぞれに必要な文書が異なっています。
図表2:IEC 62443シリーズにおける役割及び責任
※ IEC 62443-2-1Ed. 2.0:2024(日本規格協会による邦訳)から引用
このうちアセットオーナーは、OTシステムを所有・運用・管理し、最終的な責任を負う組織であり、例えば工場やプラント、インフラ施設などを持つ企業が該当します。このアセットオーナーの場合、自らのセキュリティ要件を定めた2-1、委託先のサービスプロバイダ向けのセキュリティ要件を定めた2-4などを参照する必要があります。
また、OTシステムやコンポーネント(デバイス、ソフトウェア)を製造・販売する製品サプライヤの場合は、セキュアな製品開発プロセスを定めた4-1、製品のセキュリティ要件を定めた3-3や4-2を参照する必要があります。
IEC 62443シリーズを活用するメリット
IEC62443シリーズを活用することにはどのようなメリットがあるでしょうか。
まず、効率的にセキュリティを強化できる点が挙げられます。他の国際標準規格と同様に、産業分野におけるベストプラクティスを基に作成されており、活用によって対策の強度や網羅性を担保することが可能です。また、汎用的な規格でありさまざまな組織で活用できる点、OTシステムに関するサプライチェーン全体をカバーしており取引先など他組織との共通言語として用いることができる点も、セキュリティ強化の観点でのメリットとなります。
これに加えて、外部に対する説明性の高さも大きな利点です。単に国際標準規格であるというだけでなく、OTセキュリティにおける代表的な規格であることから、他の標準・ガイドラインや法規制(NIST(米国国立標準技術研究所) Cybersecurity Framework(CSF)、EUサイバーレジリエンス法(CRA)・改正ネットワーク及び情報システム指令(NIS2指令)など)への対応に活用することが可能です。また、認証制度があり、製品、システム、開発プロセスがIEC 62443シリーズの要件に準拠していることを対外的に示すことができます。認証制度の詳細は後段で解説します。
近年の発行・改定の動向
2023年以降、複数の文書の発行・改定が行われています。以下、図表3を用いて動向を説明していきます。
図表3:IEC 62443シリーズの発行状況(2025年4月時点)(再掲)
以下の3点については、次回以降で順次解説を行う予定です。
- 62443-2-1(④)の第2版改定(2024年)
- 62443-2-4(⑥)の第2版改定(2023年)及び62443-6-1(⑧)の発行(2024年)
- 62443-6-2(⑨)の発行(2025年)
本稿ではこれら以外の動向について述べます。
- 62443-1-5(②)の発行(2023年)とプロファイル(特定分野向け規格)
62443-1-5は、IEC 62443セキュリティプロファイルについて規定した文書です。このセキュリティプロファイルは、特定の領域や環境、製品に応じた62443の要求事項のサブセットです。62443-2-1、2-4、3-3、4-1、4-2の要求事項から選択した要求事項の集合であって、要求事項の変更や追加をしてはならないとされています。
今後、この1-5に基づいたセキュリティプロファイルが62443-5-x(⑦)として発行される予定となっています。 - 62443-2-2(⑤)の発行(2025年)
62443-2-2は、IEC 62443シリーズの文書間の関係性を整理し、OTシステムのセキュリティ保護を確立するためにどのように活用すればよいかを述べた文書で、以下の内容が含まれています。- 62443-2-1の要件の成熟度レベル(セキュリティ対策の実施プロセスの成熟度の指標)と62443-3-3の要件のセキュリティレベル(技術的セキュリティ対策の指標)を用いてセキュリティ保護のレベルの評価を行う方法
- IEC 62443シリーズにおける役割と責任(図表2参照)及び関連する規格
- システムライフサイクルにおける役割ごとのアクティビティと関連するIEC 62443シリーズ文書
- 今後改定・発行が見込まれる文書
IECのウェブサイトでは、今後の改定や発行の予定などの活動状況を確認することができます。IEC 62443シリーズにおいては、シリーズに共通する概念やモデルを定義した62443-1-1(①)の改定と、IIoT(産業IoT)アプリケーションセキュリティへの62443の適用に関する文書である62443-1-6(③)の策定が進められています。
シリーズ全体の発行状況をフォローし、自組織への関連や影響について把握しておくことが推奨されます。
IEC 62443シリーズに基づく認証制度とその動向
先述の通り、IEC 62443シリーズについては、各文書の要求事項を満たしているかを評価・認証する制度が存在しています。自社の製品・サービス等がセキュアであることの対外的なアピールに加えて、特に欧州でビジネスを展開している企業にとってはCRA、RED(無線機器指令)、NIS2指令などへの対応のために、重要度が高まると考えられます。
制度には、ISAの下部組織が運用しているISASecureと、IECEE(IEC電気機器・部品適合性試験認証制度)によって認定された各国の認証機関による認証の2つがあります。
ISASecureには、図表4のとおり5種類の認証制度があります。これまで、製品及び製品の開発プロセスを対象とした4種の認証(CSA、SSA、SDLA、ICSA)が取得可能でしたが、新たに運用・保守段階のシステムを対象とした認証であるACSSAが2025年に開始される予定となっています。
図表4:ISASecure認証の種類
IECEEは、IEC規格に基づき登録試験機関で実施された試験結果を国際的に相互承認する制度であり、日本を含め50カ国以上が参加しています。認証は各国の認証機関が行っており、現時点では、2-4、3-3、4-1、4-2に基づく認証が行われていることがIECEEのウェブサイトで確認できます。
まとめ
IEC 62443シリーズ全体の概要と近年の発行・改定の動向、関連する認証などについて解説しました。IEC 62443シリーズはOTセキュリティにおいて国際的に参照される規格であり、利用することで多大なメリットを得ることができます。今後も動向を適宜把握し、自組織のOTセキュリティの向上や社外・法規制によるセキュリティ要求への対応に役立てていくことをお勧めします。
次回は、62443-2-1の第2版改定について解説します。
PwCコンサルティング合同会社では、現状のセキュリティ対策とIEC 62443シリーズの要求事項とのギャップをセキュリティアセスメントで分析し、結果を踏まえたToBe像・ロードマップを策定するなど、OTセキュリティに関する幅広い支援を提供しています。ご興味がある方はお気軽にお問い合わせください。
デジタル化する工場のサイバーセキュリティ
20 results
Loading...
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
能動的サイバー防御有識者会議の提言解説
「能動的サイバー防御」を議論していた政府の有識者会議は、2024年11月29日に法制化に向けた提言をまとめました。提言の背景や概要について解説します。
Loading...
インサイト/ニュース
40 results
Loading...
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
Loading...
