IEC62443を習得
ビデオ講座IEC62443実務レベル
IEC62443や制御システムセキュリティについて熟知した講師が実務レベルで徹底解説、オンラインで繰り返し視聴できるeラーニングサービスです。
問題認識を共有
セミナー・研修リモート参加
IEC62443や制御システムセキュリティのセミナーや研修を不定期で開催。社内の認識合わせから、制御システムセキュリティの知見や技術、eICSの活用法まで幅広くご紹介いたします。
コンサルティング
技術の進化が加速してセキュリティニーズが高まる一方で、企業や個人が自身を変革するためには様々な困難を乗り越える必要があります。ICS研究所ではお客様と一体となって、問題を解決するためのご支援を行っています。
ICSジャーナル
IEC62443に取り組む前に
日本国内の生産・製造工場の制御システムセキュリティ対策はIEC62443を基準とします。
IEC62443を基準とする理由や対策を進めていく上で必要なナレッジや教育についてまとめました。
IEC62443認証取得の必要性について
国際標準規格であるIEC62443認証を取得した企業でなければ、
欧米のサプライチェーンから外されていくことが現実味を帯びてきた昨今、
その重要性は国内でも理解が広まりつつあります。その一方で、
「国際認証に関して、まだ顧客からの要望がない」とか、
「社内で国際認証の必要性を説得しきれる人材がいない」など、
コトを進めるにあたり一筋縄ではいかぬ事情を抱える企業も少なくないです。しかし、そこでつまづいていては、今日のグローバリゼーションの変化に着いていくのも厳しくなります。
IEC62443のMaturity Levelとは
IEC62443では、組織の能力成熟度モデルをMaturity Level 1~4の四段階に定義しています。
そのMaturity Levelの数字が大きいほど
「社内ルールドキュメント作成や検査評価、ルールの妥当性評価や改善評価など」を行える高度な組織として認められます。例えばとあるプロジェクトを受注する場合、
「このプロジェクトには、Maturity Level3の技術者が担当し、Maturity Level4の技術評価者が審査し、
Maturity Level3のマネージャーがプロジェクト管理をします。」
という会話を顧客と共有できることが、今後のビジネスの常識となっていきます。よって、IEC62443で定義される組織能力だけでなく、その組織を構成する人材の実務能力も重要視されるようになります。
IEC62443を導入するために必要な人材の育成と検定
ICS研究所が提供するオンデマンドビデオ講座 eICSは、
IEC62443を基準とした実務的な制御システムセキュリティ対策を学ぶ上で役立つ講座が揃っています。
現時点でも250講座以上ある中で、基礎編や用語解説に始まり、
IEC62443で語られるセキュリティ要件を満たすための技術手法や法規制、産業別ガイドラインの解説など実務に特化した内容も豊富です。
また、eICS講座の特徴として、受講者の企業の「顧客企業」や「サプライチェーン企業」といった異なる立場の講座も
見放題となっているため、産業界全体で求められるセキュリティ対策を俯瞰で捉えることも出来ます。
そして、eICSでセキュリティ対策を学んで、実務能力検定でどの程度身に付いたかを確かめることで、
プロジェクトを担当する人員配置構成が設計できるようになります。ICS研究所が提供する検定試験は、
制御システムセキュリティ/制御セキュリティ対策を担当する組織構成員の実務人材能力成熟度モデル
(Practical Human resource Maturity Model)として活用出来るよう開発しました。
その検定試験の基準は、組織の CMMI(Capability Maturity Model Integration:能力成長度モデル統合)を参照し、
IEC62443 が定義している Maturity Level に合わせております。IEC62443を基準とした「脅威リスクモデル設計」
サイバー攻撃を受けた場合の脅威リスクを特定し、
それらを元に設計した攻撃モデルや防御モデルを用いて、攻撃被害と防御効果を確認しておく必要があります。
これは、生産システム設計やコンポーネント設計、デバイス設計などの各設計フェーズで重要です。実際に脅威リスクモデル設計を実施するとなると、
構造上のアーキテクチャが異なることで攻撃被害が大きくなったり、防御効果が出てこなかったりします。
具体的には、対象となるシステムやコンポーネント、デバイスのハードウェアやソフトウェア、
データフローやネットワークによる違いにより求められるものは様々です。IEC62443-3-2に書かれているプロセスに準じて脅威リスクモデル設計を行うと、
攻撃モデル、防御モデル、リスクマトリックス、脅威リスクモデル設計表を作成することになります。
その中でも脅威リスクモデル設計表は、作業をする上での項目チェックリストの役割を果たすため、
システムやコンポーネント、デバイスのセキュリティ要求仕様書作成、試験方案作成、試験成績書確認、トレーサビリティ体系図作成、レビュー時にとても有用です。 IEC62443とは
IEC62443は、高度化するサイバー攻撃から如何に制御システムを守るかを念頭に置き、
技術面や管理面、資源面などで必要な要求項目を定義し、まとめられた国際標準規格です。
※プロテクトレベル、セキュリティレベル、マチュリティレベルが定義されています。その対象となる制御システムは、各分野のIndustry System(産業システム)で使用されており、
センシングデバイス、制御コントローラ、コンポーネント、ネットワークデバイス、ソフトウェア、通信、クラウドなどで構成されたものです。
※電力設備、化学工場、上下水道設備、半導体製造工場、自動車製造工場、航空機製造工場、造船所、機械製造工場、部品製造工場、放送設備、港湾設備、空港設備など。IEC62443の著作権はIECにあるため、該当ドキュメントをIECから購入した上で作業にあたる必要があります。