IEC 62443-2-1第2版の改訂内容と推奨される対応

2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項 (Security program requirements for IACS asset owners)」が発行されました。2010年発行の第1版から全面的な改訂が行われており、要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたる差異があります。本稿では、IEC 62443-2-1第2版の概要、第1版からの改訂内容、改訂に伴って推奨される対応について解説します。

2-1第2版の改訂内容

2-1第2版のまえがきでは、第1版に対する重要な技術的変更として以下の3点が挙げられています。

（a）要求事項構造のSP要素（SPE）への改訂
（b）情報セキュリティマネジメントシステム（ISMS）の重複を排除するための要求事項の改訂
（c）要求事項を評価するための成熟度モデルの定義

以下、順を追って説明します。

要求事項構造の改訂

2-1第1版の要求事項は図表3のような構造となっていました。リスク分析、リスクへの対処、監視及び改善を反復して行うイメージになっています。

図表3：IEC 62443-2-1第1版の要求事項の構造

第1版は、全体としてCSMS（Cyber Security Management System）の構築・運用を定めており、マネジメントシステムに関する要求事項といわゆるセキュリティ対策に関する要求事項の両方が含まれていました。これが図表1のような構造に変わったのは、重要な技術的変更3点の中の変更点b（情報セキュリティマネジメントシステムとの重複の排除）と強く関係しています。

情報セキュリティマネジメントシステムとの重複の排除

マネジメントシステムとは、簡単に言えば組織の活動を管理する仕組みです。セキュリティに関するマネジメントシステムとしては、ISO/IEC 27001などIEC 62443シリーズ以外の文書で定められているものが複数あります。情報セキュリティに取り組んでいる組織であれば、既にそれらの標準類に基づくマネジメントシステムが導入・運用されているケースもあると考えられるため、重複する要求事項が排除されています。

代わりに、2-1第2版ではISMSとの調整を図る要求事項（ORG 1.1）が追加されるとともに、「IACS SP（セキュリティプログラム）はISMSを補完することが期待されている」「IACS SPはISMSと互換性があることが望ましい」といった記載が増えています。具体的な要求事項の変更内容については、後段の図表5にまとめています。

成熟度モデルの定義

2-1第2版では、上記のORG1.1を除くすべての要求事項が「アセットオーナーは○○する／○○に関するポリシー及び手順を有していなければならない（The asset owner shall have policies and procedures …）」という書きぶりになっており、セキュリティ対策のプロセスを実装することを求めています。

このプロセスを評価するため、図表4の成熟度モデルが導入されました。これは同じくプロセス的セキュリティ対策の要求事項を定めているIEC 62443-2-4及び4-1と共通のものです。この成熟度レベル（ML）を、目標設定や評価・改善の指標として活用することが想定されています。

図表4：成熟度のレベルごとの説明

セキュリティ保護のレベルの評価方法を扱っているIEC 62443-2-2では、セキュリティ対策が反復実行可能であるML3以上と、ML2以下を明確に区分しています。これは、OTシステムが長期間運用されることが多いことから、プロセス的セキュリティ対策が確実に実施されることが重要という考え方によります。したがって、2-1第2版の要求事項の実装においては、ポリシー及び手順を文書化する（ML2）だけでなく、実際にポリシー及び手順に基づくアクションを実行し、かつ反復実行可能であるように環境に適応させること（ML3）を目標にすることが望ましいと考えられます。

改定に伴って推奨される対応

ここまで述べたとおり、2-1第2版は第1版から大きく変更されています。今回の改訂を受けてどのように対応すべきか、推奨される対応を図表1の役割に応じて整理します。

アセットオーナー（既に2-1第1版に沿ったOTセキュリティ対策を実装している）

まずは、第2版の改訂内容を理解することが必要です。その上で、差分のうち対応が不足している箇所がある場合は、追加対応を検討することが推奨されます。ITセキュリティとOTセキュリティのマネジメントシステムに相違や不一致がある場合は、調整、同期、統合などを検討し、効率化を図ることが望ましいです。

追加対応の内容によっては、当該要求事項に直接的に関わるセキュリティ対策以外の対策も考慮すべき場合があります。例えば、ネットワークに関する要求事項について見直しを行った結果、セグメント化の方針を変更する場合、リモートアクセスやセキュリティイベントの監視、インシデント時の対応などについても変更が必要になるかもしれません。また、構成管理の要求事項への追加対応だけなら手動でも可能だが、パッチマネジメントやイベント及びインシデントマネジメントの要求事項への対応も考えるとツールを導入したほうが良いというようなケースも考えられます。このような場合、対応の検討や実装に時間とコストが必要になるため、計画的な対応が求められます。

アセットオーナー（2-1第1版に沿ったOTセキュリティ対策実装を行っていない）

基本的には2-1第2版の要求事項に基づいてOTセキュリティ対策を実装することが推奨されます。一般的には、OT環境の現状把握及びリスクアセスメントを行った上で、リスクを低減する対策の立案において2-1第2版の要求事項を参照することになります。

ITセキュリティにおいてISMSを構築済みの場合は、ISMSと2-1第2版の要件を調整し、ITセキュリティとOTセキュリティの管理の同期、統合を図ることが望ましいです。

ISMSが構築されていない場合は、ISO/IEC 27001などを参考に管理プロセスを導入することが必要になります。その際は、将来的なITセキュリティとOTセキュリティのマネジメントシステムの同期、統合を視野に検討を進めると良いでしょう。

保守サービスプロバイダ、構築サービスプロバイダ、製品サプライヤ

直接的に2-1第2版の要求事項を実施する対象ではありませんが、2-1第2版の要求事項に基づく要求をアセットオーナーから受ける可能性があります。

たびたび触れているとおり、第2版の附属書Aには各要求事項とIEC 62443シリーズの他文書（2-4, 3-3, 4-2）の要求事項との対応表が含まれています。2-1第2版の要求事項を理解し、それらとIEC 62443-2-4、3-3、4-2の要求事項との関連を把握することで、アセットオーナーからのセキュリティ要求に対する理解が深まり、より適切に対応することが可能となります。