工場やプラントの制御システムを狙ったサイバー攻撃のニュースを、最近よく目にするようになりました。こうした「産業用オートメーション・制御システム(IACS)」のセキュリティを守るための国際規格として注目されているのが、今回ご紹介するIEC 62443です。
この記事では、IEC 62443の基本を初めて学ぶ方にも分かりやすく解説しつつ、後半ではこの規格を軸にどのような「認証・監査支援ビジネス」が成り立ちうるのかを、ご紹介します。
IEC 62443全体解説
規格が生まれた背景
もともとは、アメリカの計装・制御・自動化の専門団体であるISA(International Society of Automation)が策定した「ISA99」という規格が土台になっています。その後、国際電気標準会議(IEC)によって国際規格として整備され直したものが、現在のIEC 62443です。
工場の制御システムは、以前はインターネットから切り離された「閉じた世界」で運用されるのが当たり前でした。しかし近年は、生産性向上やリモート監視のために制御システムが社内ネットワークやクラウドとつながるケースが増え、サイバー攻撃のリスクが一気に高まりました。IEC 62443は、こうした変化に対応するために生まれた規格です。
規格全体の構造
IEC 62443は1つの規格ではなく、複数のパートからなる「規格群(シリーズ)」です。大きく分けると、次の4つの領域で構成されています。
- General
-
用語の定義や概念など、全体に共通する基礎部分
- Policies & Procedures
-
組織としてどのようにセキュリティを管理するかというルール作り
- System
-
プラントやシステム全体としてのセキュリティ要求事項
- Component
-
個々の機器やソフトウェア製品に求められる要求事項
この「System」と「Componentという2つの領域が、記事の公判で紹介する認証・監査支援ビジネスにも深くかかわってきます。
中核となる2つの考え方
IEC 62443を理解するうえで欠かせないのが、次の2つの考え方です。
ゾーンとコンジット
工場全体を、機能や重要度に応じていくつかの「ゾーン(区画)」に分け、ゾーン同士をつなぐ通信経路を「コンジット(管路)」として管理する考え方です。家に例えるなら、玄関・リビング・金庫室で扉の鍵の厳重さを変えるようなイメージに近いかもしれません。
セキュリティレベル
どの程度の攻撃者からシステムを守るかを、SL0(対策なし)からSL4(高度な攻撃者にも対抗)まで、5段階で表す指標です。すべてのゾーンに一律で最高レベルの対策を施すのではなく、重要度に応じてメリハリをつけるための物差しとして使われます。
なぜ今、注目されているのか
製造業のDX化やスマートファクトリー化が進み、工場の制御システムが外部とつながる機会が増えたことで、セキュリティ対策は「あれば良いもの」から「取引の前提条件」に変わりつつあります。特に自動車・電力・医療機器などのサプライチェーンでは、取引先から規格への準拠を求められるケースも出てきており、対応の遅れが事業機会の損失につながりかねない状況になっています。
System認証・監査支援
どんな人に関わる話か
ここでいう「System認証」は、主に工場やプラントを保有・運用する企業(プラントオーナー)や、システムを構築するシステムインテグレーターに関わるものです。個々の機器ではなく、「プラント全体としての仕組み」がきちんとセキュリティを考慮して作られ、運用されているかが問われます。
主に問われること
System認証では、先ほど紹介したゾーニングの設計や、各ゾーンに設定したセキュリティレベル(SL-T:目標とするセキュリティレベル)が妥当かどうかに加え、組織としてのセキュリティマネジメント体制(CSMS:Cyber Security Management System)が整っているかも評価の対象になります。つまり「技術的な設計」と「組織的な運用ルール」の両方が問われる点が特徴です。
認証取得までの一般的な流れ
多くの場合、次のようなステップを踏みます。
- 現状の把握(どんな機器・ネットワークがあるかの棚卸)
- あるべき姿とのギャップ分析
- ゾーニングの見直しや、不足している対策の実施
- 社内規程・運用ルールの整備
- 第三者機関による審査・監査
支援ビジネスとして考えられること
このプロセスの中には、専門知識がないと進めにくい部分が数多くあります。たとえば、現状把握やギャップ分析を代行・サポートする「アセスメント支援」、社内規程やマニュアルの整備を手伝う「文書作成支援」、本番の審査前に模擬的な確認を行う「監査対応リハーサル」などが、ビジネスとして成立しうる領域です。認証取得後も定期的な見直しが必要になるため、単発の支援だけでなく、継続的な「維持監査支援」として長期的な関係を築けることも、このビジネスの特徴といえるでしょう。
Component認証・監査支援
どんな人に関わる話か
一方の「Component認証」は、PLC(制御用コンピュータ)やネットワーク機器、制御用ソフトウェアなどを開発・販売する機器ベンダーやソフトウェアメーカーに関わるものです。プラント全体ではなく、「製品そのもの」がセキュリティを考慮して作られているかが問われます。
主に問われること
Component認証では、製品の「作り方」と「性能」の両方が評価されます。具体的には、開発プロセスそのものがセキュリティを考慮した手順で行われているか(セキュアな開発ライフサイクル)、そして完成した製品が求められる技術的なセキュリティ機能(アクセス制御、通信の暗号化、ログ記録など)を備えているか、という2つの側面です。
認証取得までの一般的な流れ
こちらも大まかな流れはSystem認証と似ていますが、対象が「組織の運用」ではなく「製品と開発プロセス」になる点が異なります。
- 対象製品と、開発プロセスの現状把握
- 要求事項とのギャップ分析
- 開発プロセスの見直しや、製品への機能追加
- 製品評価・技術文書の整備
- 第三者機関による製品評価・審査
支援ビジネスとして考えられること
こちらも、開発プロセスの見直し支援や、必要な技術文書の整備支援、製品がどの程度要求事項を満たしているかを事前に確認する「製品評価の併走支援」といった形で、ビジネスの余地があります。機器メーカーにとっては、「セキュア認証取得済み」という肩書きが、海外市場や規制の厳しい業界への参入を後押しする材料になるため、認証取得を単なるコストではなく競争力として捉える企業も増えてきています。
まとめ
IEC 62443の基本的な考え方から、System認証・Component認証という2つの切り口での認証・監査支援ビジネスの可能性まで見てきました。
あらためて整理すると、System認証は「プラント全体の仕組み」を、Component認証は「個々の製品」を対象にしており、それぞれ求められる知識や支援の形が異なります。裏を返せば、プラントオーナー向け・機器ベンダー向けという異なる2種類の顧客層に対して、それぞれ専門性を発揮できる余地があるとも言えるでしょう。
製造業のDX化やサプライチェーン全体でのセキュリティ要求の高まりを背景に、こうした認証・監査支援へのニーズは今後も広がっていくことが予想されます。IEC 62443という規格そのものを理解することは、セキュリティ対策の第一歩であると同時に、こうした新しいビジネスの可能性を見つけるきっかけになるのではないかと思います。

コメント