国内外におけるOTセキュリティを取り巻く環境

今回は「国内外におけるOTセキュリティを取り巻く環境」についてご紹介します。

関連ワード （ITとOTセキュリティの統一、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　前回の記事で取り上げたSociety5.0の実現や、デジタルトランスフォーメーション（DX）の推進に伴う制御系技術（OT）のシステムにおけるセキュリティリスクの増加とその課題については、日本だけでなく世界各国で直面する社会課題になっています。

　2021年5月に起きたColonial Pipelineへのランサムウェア攻撃は、米国東部におけるガソリン供給網への影響があり、ガソリンスタンドに大行列ができるなど、OTシステムを保有する企業においてサイバー攻撃が成功すると、物理空間への影響が大きいことが自明となったインシデントでした。

　このようなリスクを回避するために各研究機関や国際団体のガイドラインを発刊しており、OTシステムにおけるセキュリティの対策基準として、国際標準と業界標準が発刊されています。

　この中でも汎用制御システム（ここではOTシステムと同義と捉えます）のガイドラインとして、「IEC62443」と「NIST SP800-82」があります。それぞれ前回の記事にも述べた、情報系システム（IT）とOTのセキュリティ対策を講じる上での異なるポイントについて考慮した上で記載されたガイドラインとなっています。また、どちらも「組織」「システム」「コンポーネント（システムを構成するデバイス）」に渡る要求内容が書かれており、包括的な対策のためのガイドラインとなっています。

　この草案は国際自動制御学会(ISA)によって作成され、その後国際電気標準会議（IEC）によって発刊されました。現在のIEC62443は大きく「IEC62443-1,2,3,4」と4つのパートに分かれており、それぞれ以下の内容に特化しています。

　これらの基準への準拠を証明する第三者認証も行われており、組織に対してはCSMS（Control Systems Security Management Systems）認証、コンポーネントについてはCSA（Component Security Assurance、旧EDSA）認証、システムとしての認証にはSSA（System Security Assurance）があります。

　今後このIEC62443については、国内において広く知られている日本産業規格（JIS）としての規格化の動きがあります。JISは法令の技術基準などにもこれまで引用されてきていることから、今後は法令内の技術基準としてIEC62443が間接的に盛り込まれる可能性があります。

　米国国立標準技術研究所（NIST）によって発刊された文書で、米国政府機関に産業用制御システムを納入する際に、納入業者が守るべきセキュリティポリシーを示した文書になります。ここでは産業用制御システムをOTシステムとして捉えます。

　NISTがこれまでに発刊してきたITセキュリティ規格の一つである、「NIST SP800-53」において示されている管理策が元となっており、それをどのようにOTシステムに適用するかという考え方をガイドラインとして提供しています。NIST SP800-82発刊後には、NIST SP800-53のAppendix Iにおいても、ITシステム向けの管理策をOTシステムへ適用するためのガイドラインが記載されました。