{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
2024年3月、IEC(International Electrotechnical Commission:国際電気標準会議)よりIEC TS 62443-6-1「IEC 62443-2-4のためのセキュリティ評価方法論 (Security evaluation methodology for IEC 62443-2-4)」が発行されました。これは、OT環境のサービスプロバイダのセキュリティ要件を定めたIEC 62443-2-4「IACSサービスプロバイダに対するセキュリティプログラム要求事項 (Security program requirements for IACS service providers)」(2023年12月に第2版発行)に基づき、サービスプロバイダのセキュリティ対策を評価するための国際標準規格です。本稿では、OT環境のサプライチェーンのセキュリティリスクを取り巻く状況、IEC 62443-2-4とIEC TS 62443-6-1の解説、サービスプロバイダ及びアセットオーナーに推奨される対応について解説します。
はじめに:読者のためのガイド
本稿は、OT環境の構築サービス・保守サービスのセキュリティに関する2つの文書について、背景となるセキュリティリスクから順を追って解説しています。特に以下の内容について知りたいという方は、それぞれ対応するセクションを参照してください。
- OT環境のサービスプロバイダへのセキュリティ要求事項 → IEC 62443-2-4の概要
- OT環境のサービス提供におけるセキュリティ対策の評価方法 → IEC TS 62443-6-1の概要
- OT環境のサービス提供におけるセキュリティについてどう対応すべきか → サービスプロバイダ、アセットオーナーに推奨される対応
OT環境のサプライチェーンのセキュリティリスクを取り巻く状況
近年、サプライチェーンのセキュリティリスクに対する注目が高まっています。PwCコンサルティングが2024年に日本企業の経営層を対象に実施した「サプライチェーン・デジタルリスク実態調査」でも、サプライチェーン上のリスクのうち「デジタルリスク(サイバー攻撃、IT障害など)」を懸念しているとの回答は57.5%と最も多くなりました。これはサプライチェーンに起因するセキュリティインシデントが多発しているためと考えられます。例えば、標的とする組織の取引先や委託先が保有する機密情報が窃取される、取引先や委託先を経由した攻撃・侵入が行われる、ソフトウェアの開発元が攻撃されマルウェアを仕込まれる、といったインシデントが起こっています。OT環境でもサプライチェーンに関するセキュリティインシデントが発生する可能性があり、実際にベンダが持ち込んだ機器を経由したマルウェア感染などの事例があります。
こういった状況に伴い、サプライチェーンのセキュリティ対策に関する社会的な要求も高まっています。特に重要インフラ分野に対しては、EUの改正ネットワーク及び情報システム指令(NIS2指令)や日本の経済安全保障推進法など、法規制によってサプライチェーンのセキュリティリスク管理が求められています。これらの重要インフラ分野にはOT環境を保有する企業や組織が多く関わっており、OT環境においてもサプライチェーンのセキュリティ対策の必要性が増しています。
サプライチェーンのセキュリティリスクを管理するために、OT環境を保有する企業や組織はサプライヤに対してセキュリティ対策を要求するだけでなく、サプライヤ側が要求に対応できていることを確認する必要が生じます。また、サプライヤ側も同様に、自社が供給するサービスや製品のセキュリティ対策を実施するだけでなく、セキュリティ対策を実施していることを顧客に示すことが必要です。最終的には、セキュリティ対策を実施済みであることを認証制度などで確認できることが、サービス・製品の選定基準に含まれるようになっていくと考えられます。
IEC 62443シリーズにおけるサプライチェーンのセキュリティ対策
では、OT環境のサプライチェーンのセキュリティリスクを管理する上で、IEC 62443シリーズをどのように活用できるでしょうか。
「IEC 62443シリーズの概要と近年の動向」でも述べたとおり、IEC 62443シリーズは「IACS(Industrial Automation Control System:産業用自動制御システム)」、すなわちOTシステムを対象とした規格です。図表1のとおり、役割と責任もOTシステムへの関与の仕方に沿って整理されています。
図表1:IEC 62443シリーズにおける役割及び責任
アセットオーナー(OTシステムを所有・運用・管理し、最終的な責任を負う組織)の立場からすると、OTシステムの保守・構築サービスを提供するサービスプロバイダ、OTシステムやその構成要素(コンポーネント)を提供する製品サプライヤがOTシステムに関するサプライヤとなります。
IEC PAS 62443-2-2では、サービスプロバイダ、製品サプライヤがそれぞれ準拠すべきIEC 62443シリーズの文書について、以下の図表2のとおり記載されています。本稿では、このうちIEC 62443-2-4とIEC TS 62443-6-1について解説します。
図表2:サービスプロバイダ・製品サプライヤに関するIEC 62443シリーズの文書
IEC 62443-2-4の概要
IEC 62443-2-4(以下、2-4と記載)は、タイトルのとおりサービスプロバイダへのセキュリティ要求事項を規定した文書です。IEC 62443シリーズでは、汎用的な用語である「ベンダ」と区別するために「サービスプロバイダ」という用語が使用されており、「構築サービスプロバイダ」がシステムの設計から設置、設定、テスト、試運転、引渡しまでの活動を行うもの、「保守サービスプロバイダ」が引渡し以後のサポート活動を行うものと定義されています。この「サービスプロバイダ」は組織の役割に対する名称であり、これらのサービス提供を専門としている企業だけでなく、メーカー企業や、アセットオーナーの社内部門が該当する場合もあります。
2-4の利用方法としては、サービスプロバイダが自組織のセキュリティ対策をする際のほか、アセットオーナーがサービスプロバイダにセキュリティ対策を要求する際や、アセットオーナーとサービスプロバイダがセキュリティ対策について交渉・合意する際に用いることが想定されています。
2-4の要求事項は、図表3のとおり12の機能領域(カテゴリ)に分かれています。このうち、SP.02の「保証」はOTシステムでセキュリティポリシーが実施されていることを検証する能力についての要求事項、SP.03の「アーキテクチャ」は設計に関する要求事項、SP.05の「SIS」はOTシステムへのSIS(安全計装システム)の統合に関する要求事項です。
図表3:IEC 62443-2-4の要求事項の構成
要求事項の評価には、IEC 62443-2-1第2版及び4-1と同じく成熟度モデルが用いられます。成熟度のレベルの定義などについては後段の図表4に記載します。
2-4は2015年に第1版が発行され、2023年に改訂第2版が発行されました。第2版では要求事項の内容は変更されておらず、要求事項の記載の仕方が変更されています。
第1版では、「サービスプロバイダは○○する能力を持たなければならない(The service provider shall have the capability to …)」というように、サービスプロバイダを主体とした記載となっていました。これが、第2版では「サービスプロバイダは、○○するための、アセットオーナーのために実行できるプロセスを持たなければならない(The service provider shall have a process that can be performed for the asset owner to …)」という記載に変わりました。図表1のとおり、IEC 62443シリーズにおいてOTシステムのセキュリティに対する最終的な説明責任を負うのはアセットオーナーであるという整理を踏まえ、サービスプロバイダはセキュリティ対策に関するプロセスを持ち、プロセスの実行はアセットオーナーからの要求に基づく形になるように変更されたものと考えられます。
IEC TS 62443-6-1の概要
IEC TS 62443-6-1(以下、6-1と記載)は、2-4の要求事項に対する適合性評価を行うための方法論を規定した文書です。評価を行う主体としては、サービスプロバイダ自身、サービスを受けるアセットオーナー、第三者評価機関が想定されています。
評価においては、2-4の要求事項のそれぞれに対して成熟度レベルML-1~ML-4のどのレベルを満たしているかを判断します。その際、成熟度レベルを裏付けるエビデンス(適合性証拠)の提供が義務付けられています。
成熟度レベルの説明と、各レベルで求められるエビデンスを図表4に示します。6-1本文では、要求事項ごとに求められるエビデンスの詳細例が記載されています。
図表4:成熟度のレベルごとの説明と求められるエビデンス
ML-4については継続性を評価する必要があるため、ML-3を達成した後、長期間(典型的には1年間)にわたって評価が実施されるとされています。ML-4を達成するためには、プロセスを文書化して実践する(ML-3を達成する)ことまでを含めて、年単位の時間が必要であることが分かります。
サービスプロバイダ、アセットオーナーに推奨される対応
ここまで、2-4及び6-1の内容について説明をしてきました。サービスプロバイダやアセットオーナーは、これらをどのように活用すべきでしょうか。
サービスプロバイダ
サプライチェーンのセキュリティリスクに対する注目が高まる中で、OT分野においてもサプライチェーンのセキュリティ対策が求められるようになってきています。2-4、6-1を参考に、自社のサービスに必要なセキュリティ対策を把握し、実装・実践することが推奨されます。
前述のとおり、セキュリティ対策の成熟度を向上させるには時間がかかります。顧客の要求を受けてから成熟度の向上を図るのでは手遅れになる危険があるため、できるだけ早期に対応を開始することが望ましいです。
アセットオーナー
サプライチェーンのセキュリティリスク管理のためには、2-4を用いてサービスプロバイダにセキュリティ対策を要求すること、6-1を用いて対策の実施状況を評価することが推奨されます。
自組織に関与するサービスプロバイダが多数存在する場合は、全てのサービスプロバイダに対して、全ての要求事項の評価をアセットオーナー自身が行うのは現実的とは言えません。そのような場合、サービスプロバイダや要求事項の優先度付けやサンプリング、評価機関を含む外部リソースの活用などの手段を用いて、リスク管理のために実効性のある体制やスキームを構築することが必要になるでしょう。
まとめ
サプライチェーンのセキュリティリスク管理の必要性は高まる一方であり、自社のシステムやサービスを守るためにも、また社会的要求に応えるためにも対応が必要です。前出の「サプライチェーン・デジタルリスク実態調査」においても、サプライチェーンのデジタルリスクについて、経営層の30%が国内外の関連法規制への違反を危惧していることは、NIS2指令や経済安全保障推進法などの要求への対応の必要性について強い認識がうかがえます。リスクへの対応としては、契約によるセキュリティ要求や取引先の対策状況の点検・調査などが必要となります。
IEC 62443-2-4、IEC TS 62443-6-1を活用することで、OT環境のサプライチェーンのセキュリティリスク管理を向上させることができます。サービスを提供する側、受ける側の双方の合意の下、網羅的かつ評価可能な形でセキュリティ対策を推進することを推奨します。
次回は、製品サプライヤ(コンポーネント)に対するセキュリティ要求事項を定めたIEC 62443-4-1及びIEC 62443-4-2と、IEC 62443-4-2を用いた評価方法を定めたIEC TS 62443-6-2について解説します。
PwCコンサルティング合同会社では、OT環境に限らず、サプライチェーンのセキュリティについて、成熟度評価や体制・プロセス構築などのご支援を行うことが可能です。ご興味がある方はお気軽にお問い合わせください。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
