Delivering real business benefits across key segments
Delivering real business benefits across key segments
<目次>
>IEC 62443とは
>テュフズードのIEC 62443 認証取得審査サービス
>IEC 62443認証審査サービス前後の流れ
>IEC 62443-4-1の特徴
>セキュリティマネジメントとは
>セキュア開発プロセスの確立
>IEC 62443 認証取得による付加価値とは
オープンなネットワーク環境に移行しつつある現在の制御システムは、サイバー攻撃などセキュリティ上の様々な脅威に絶えずさらされています。新しいテクノロジーが普及するにつれて、セキュリティの内部外部からの偶発的、人的な事件や事故などの脅威の範囲は拡大し、その種類も多様化しています。また、各国の法規制も厳しくなり、規制当局からの圧力も高まっています。セキュリティ対策は単なるテクノロジー上の問題に留まらず、コーポレートガバナンス上の問題でもあり、企業の評価や事業継続に直接影響します。このため企業は自社をセキュリティの脅威から保護する対策を講じることが極めて重要です。
これまでのセキュリティ対策はデータ保護が目的でしたが、欧州や北米で注目されているのは工場やインフラの中で制御用に利用される産業用オートメーションおよび制御製品をサイバー攻撃から保護することです。つまり、工場の操業を止めない、あるいは意図的に危険なオペレーションをさせない対策です。そのサイバー攻撃の対策として実証されたソリューションが、産業システムのセキュアな開発をサポートする産業セキュリティ認証“IEC 62443シリーズ”です。
>>関連セミナー:【オンデマンドプライベートセミナー】EUサイバーセキュリティ規制の動向
IEC 62443とは、国際標準化団体であるIEC(International Electrotechnical Commission:国際電気標準会議)が発行している、産業用オートメーション及び制御機器及び開発プロセスを対象とした規格です。産業用制御機器の構築にセキュリティ機能の実装は必要不可欠です。IEC 62443認証登録は、確実なセキュリティ機能の実装を証明します。
IEC 62443シリーズは国際的に認知された電気安全規格として開発された規格であり、欧州や北米で開発されている産業向けセキュリティ規格の開発時に参照される規格のうちのひとつです。この規格は産業用オートメーションおよび制御機器を保護することを目的としていますので、アセットオーナー、システムインテグレータ、セキュリティ対応制御機器製造メーカの高いセキュリティニーズに応えることができます。テュフズードでは、IEC 62443に関連するサービスを網羅的に提供しています。
規格:
IEC 62443-2-4 インテグレーションプロセスに関するセキュリティ要求事項
IEC 62443-3-3 制御システムにセキュリティ技術機能を実装させる要求事項
IEC 62443-4-1 制御機器メーカのセキュアな製品開発ライフサイクルの要求事項
IEC 62443-4-2 制御機器にセキュリティ技術機能を実装させる要求事項
アドバイザリーサービス
サイバーセキュリティの第三者評価やセキュリティテストを検討している方に、アドバイ ザリーサービスを提供しています。IEC 62443導入支援の契約に至るまでの個別相談・個 別セミナーなどを実施しています。
>産業用制御システム向けサイバーセキュリティ IEC 62443 アドバイザリーサービス
サポートサービス
サイバーセキュリティの第三者評価やセキュリティテストを検討している方に、目標レベルに応じた各種導入支援サービスを提供しています。セキュリティ人材育成を支援するプライベートトレーニング、IEC 62443適用に向けたギャップ分析、また各種テストを提供しています。
>産業用制御システム向けサイバーセキュリティ IEC 62443 導入支援サービス
サービス概要ー IEC 62443認証書の発行に向けて、規格(IEC 62443)が要求するセキュ リティ要求事項に適合していることを第三者機関であるテュフズードが認証審査で実証し ていきます。
特徴 ー テュフズードは適切な認証の形態に向けてソリューションを開発し、 IEC 62443 認証審査を提供しています。網羅的なセキュリティ対策を維持し、更なる向上を目標とし た審査をご提供します。
IEC 62443 認証取得審査サービスの流れと詳細:
| 項目 | 内容 |
|
[STEP 1] IEC 62443認証審査に向けて契約 |
スコーピングシート、チェックリスト、エビデンス及びセキュリティ評価など、審査に必要なドキュメント類をご提出いただいた後、御見積書をご案内します。ご注文後、審査日程を確定させます。 提出物 |
|
[STEP 2] IEC 62443 認証審査の実施 |
IEC 62443認証審査はオフサイトおよびオンサイトで実施します。ご提出いただいたドキュメント類は、オフサイトで評価、オフサイトで確認できない内容はオンサイトで確認していきます。審査内で確認できたOpen point(不適合)は、テクニカルレポート内に評価結果として記載されます。適合に向けた対策の結果全てのOpen pointがCloseした後、認証書が発行されます(追加審査)。
IEC 62443認証審査 ・オフサイト確認 → 提出物記載の内容及びエビデンスと要求事項の適合状況を評価 ・オンサイト確認 → オフサイトで確認出来ない箇所をインタビューで評価 ・テクニカルレポート → 適合性評価(オフサイト・オンサイト)の結果をテクニカルレポートとして作成 |
|
[STEP 3] IEC 62443 認証の維持 |
IEC 62443認証取得時に、3年間有効の認証書と付属の報告書を発行します。IEC 62443認証の有効性、評価レベルを維持するために毎年サーベイランス審査を実施します。 IEC 62443認証取得 ・IEC 62443認証書発行 → 全要求事項の適合を確認した後、認証書を発行(認証書及び付属の報告書) ・IEC 62443認証有効性 → 認証は3件間有効。認証の有効性、評価レベルの維持を目的に毎年審査を実施。 ・IEC 62443認証の更新 → 有効期限を迎えるタイミングもしくは適用範囲を変更する場合に実施。 |
テュフズードジャパンは、IEC 62443関連サービスを包括的に提供しています。詳細は各ページを参照ください。
1.IEC 62443サイバーセキュリティ対策 -サイバーセキュリティ対策をご検討中の企業様へのサービスです。アドバイザリーサービスでは、個別のご相談を無償で提供、個別セミナーの開催もご支援します。
2.IEC 62443 トレーニングサービス -産業用制御システムセキュリティの導入に向けて、IEC 62443 seriesの規格に基づいたセキュリティ要求事項の意図と解釈を学習していきます。本トレーニングでは、産業用制御システムセキュリティの基礎を理解する上で、ベストプラクティスとして参考にされている「IEC 62443」のセキュリティ要求事項、脅威分析の手法などを網羅的に解説していきます。
3.IEC 62443 Gap Analysisサービス -産業用制御システムセキュリティ(IEC 62443)との適合状況を評価する上で、適用範囲をプロファイリング。GAP Analysisを実施して規格が要求するセキュリティプロセスとの差分を評価します。現状のレベル、規格適合に向けた対応策までのレポートを作成し、規格の準拠に向けたセキュリティ対策をご支援します。
4.IEC 62443 認証取得審査サービス - 第三者機関によるIEC 62443の適合にむけた審査を実施。「認証審査の実施」「認証書の発行」など、IEC 62443認証の成立に向けてご支援します。また「認証の継続」「セキュリティレベルのアップ」などの認証の維持に向けたサービスも提供しています。
5.脆弱性テスト(セキュリティ診断)・侵入テスト(ペネトレーションテスト)サービス -セキュリティテストのご要望に適したテストプランを作成。製品出荷前のセキュリティ対策、製品の脆弱性対策もしくはシステム、製品のセキュリティ認証に向けた(IEC 624433-3、IEC 62443-4-2)評価診断としてセキュリティテストをご支援します。
IEC 62443は、以下の4つのグループで構成されています。 IEC 62443-1、IEC 62443-2、IEC 62443-3、IEC 62443-4に分けられ、 IEC 62443-4はさらにIEC 62443-4-1とIEC 62443-4-2に分けられます。
IEC 62443-4-1は産業用オートメーション及び制御製品を製造するプロダクトサプライヤに導入可能です。この規格は、確実なセキュリティ機能の実装を目指す組織に役立ちます。組織がこのフレームワークを適用することで、産業用オートメーションおよび制御製品の開発ライフサイクルを通して想定されるセキュリティ上の脅威に対し、多層防御の考え方を取り入れたセキュアバイデザインにより製品を開発できることに加え、脆弱性も含めた製品のセキュリティ問題を確実に管理していくことができます。
セキュリティマネジメントは、セキュリティ機能の実装を制御機器のライフサイクルを通して適切に計画し、文書化し、実行することでセキュリティリスクを効果的に管理します。プロダクトサプライヤは、IEC62443-4-1の活用によりセキュアな制御機器の提供を確実とし、組織の顧客とアセットオーナーを含む利害関係者からの信頼を得ることができます。
開発プロセスのアプローチでセキュリティ管理を行いますので、それぞれの組織に適した方法で、効果的に成果が得られます。
そしてセキュリティマネジメントの運用によって、継続的にセキュリティプロセスを改善し、セキュリティに関するテクノロジーの変化にも対処できます。
[STEP 1] Maturity Level 2
文書: 設計・開発・保守・サポート(組織、管理、トレーサビリティ、検証、記録等)
知識: 役割毎の専門知識(セキュリティトレーニング、評価プログラム等)
[STEP 2] Maturity Level 3
実践: STEP 1で導入したセキュア開発プロセスを実践(実施記録等)
[STEP 3] Maturity Level 4
継続: セキュア開発プロセスの有効性を確認し、継続的な改善を実施
IEC 62443-4-1を認証したプロダクトサプライヤは、その開発プロセスにセキュリティ機能を組み込んだ組織として評価されますし、そのサプライヤが開発した制御機器はIEC 62443シリーズのセキュリティを考慮した製品として認識されますので、組織、製品共に社会的信頼性も高まります。
IEC 62443-4-2の認証を受けた制御機器は、セキュリティプロセスを有した組織が、確実にセキュリティ機能を実装した機器として実証されます。そのためアセットオーナー、インテグレータ、運用保守事業者を含むステークホルダーは安心して、実証された制御機器を選択し導入することが可能となります。プロダクトサプライヤがIEC62443-4-1,4₋2を導入し認証を取得することは、制御システムをサイバー攻撃の脅威から保護できることを意味します。
新版ISO/IEC 27001:2022に準拠した情報セキュリティマネジメントシステムの構築、認証、継続的な改善へ
詳細はこちら
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa
