IEC 62443 認証取得審査サービス - 産業機器のセキュリティ対策

Delivering real business benefits across key segments

Delivering real business benefits across key segments

背景

オープンなネットワーク環境に移行しつつある現在の制御システムは、様々な脅威に絶えずさらされています。新しいテクノロジーが普及するにつれて、内部または外部からの偶発的、人的な事件や事故などの脅威の範囲は拡大し、その種類も多様化しています。また、各国の法規制も厳しくなり、規制当局からの圧力も高まっています。セキュリティ対策は単なるテクノロジー上の問題に留まらず、コーポレートガバナンス上の問題でもあり、企業の評価や事業継続に直接影響します。このため企業は自社をセキュリティの脅威から保護する対策を講じることが極めて重要です。

これまでのセキュリティ対策はデータ保護が目的でしたが、欧州や北米で注目されているのは工場やインフラの中で制御用に利用される産業用オートメーションおよび制御製品をサイバー攻撃から保護することです。つまり、工場の操業を止めない、あるいは意図的に危険なオペレーションをさせない対策です。そのサイバー攻撃の対策として実証されたソリューションが、産業システムのセキュアな開発をサポートする産業セキュリティ認証“IEC 62443シリーズ”です。

 

IEC 62443とは

IEC 62443とは、産業用オートメーション及び制御機器及び開発プロセスを対象とした規格です。産業用制御機器の構築にセキュリティ機能の実装は必要不可欠です。IEC 62443認証登録は、確実なセキュリティ機能の実装を証明します。

IEC 62443シリーズは国際的に認知された電気安全規格として開発された規格であり、欧州や北米で開発されている産業向けセキュリティ規格の開発時に参照される規格のうちのひとつです。この規格は産業用オートメーションおよび制御機器を保護することを目的としていますので、アセットオーナー、インテグレータ、セキュリティ対応制御機器製造メーカの高いセキュリティニーズに応えることができます。


規格:

IEC 62443-2-4 インテグレーションプロセスに関するセキュリティ要求事項

IEC 62443-3-3 制御システムにセキュリティ技術機能を実装させる要求事項

IEC 62443-4-1    制御機器メーカのセキュアな製品開発ライフサイクルの要求事項

IEC 62443-4-2    制御機器にセキュリティ技術機能を実装させる要求事項

 

テュフズードのIEC 62443 認証取得審査サービス

目指すゴール ー 認証書の発行に向けて、規格(IEC 62443)が要求するセキュリティ要求事項に適合していることを第三者機関が認証審査で実証していきます。

特徴 ー テュフズードは適切な認証の形態に向けてソリューションを開発し、認証審査を提供しています。網羅的なセキュリティ対策を維持し、更なる向上を目標とした審査をご提供します。

 

サービスの流れと詳細:

 項目   内容

 [STEP 1]

認証審査に向けて契約

 スコーピングシート、チェックリスト、エビデンス及びセキュリティ評価など、審査に必要なドキュメント類をご提出いただいた後、御見積書をご案内します。ご注文後、審査日程を確定させます。

提出物
・適用範囲の確認 → スコーピングシート(適用規格、適用範囲の情報)
適用状況の確認 →  チェックシート(準拠状況、各要求事項の適合理由及びエビデンス:脆弱性テストや侵入テストの結果)

 [STEP 2]

IEC 62443 認証審査の実施

 認証審査はオフサイトおよびオンサイトで実施します。ご提出いただいたドキュメント類は、オフサイトで評価、オフサイトで確認できない内容はオンサイトで確認していきます。審査内で確認できたOpen point(不適合)は、テクニカルレポート内に評価結果として記載されます。適合に向けた対策の結果全てのOpen pointがCloseした後、認証書が発行されます(追加審査)。

 

認証審査

・オフサイト確認 → 提出物記載の内容及びエビデンスと要求事項の適合状況を評価

・オンサイト確認 → オフサイトで確認出来ない箇所をインタビューで評価

テクニカルレポート → 適合性評価(オフサイト・オンサイト)の結果をテクニカルレポートとして作成

[STEP 3]

IEC 62443 認証の維持

 認証取得時に、3年間有効の認証書と付属の報告書を発行します。認証の有効性、評価レベルを維持するために毎年サーベイランス審査を実施します。

 認証取得

・認証書発行 → 全要求事項の適合を確認した後、認証書を発行(認証書及び付属の報告書)

認証有効性 → 認証は3件間有効。認証の有効性、評価レベルの維持を目的に毎年審査を実施。

認証の更新 → 有効期限を迎えるタイミングもしくは適用範囲を変更する場合に実施。

 

IEC 62443認証審査サービス前後の流れ

テュフズードジャパンは、IEC 62443関連サービスを包括的に提供しています。詳細は各ページを参照ください。

1.IEC 62443サイバーセキュリティ対策(無償) -サイバーセキュリティ対策をご検討中の企業様へのサービスです。アドバイザリーサービスでは、個別のご相談、個別セミナーの開催も全て無償でご支援します。

2.IEC 62443 トレーニングサービス -産業用制御システムセキュリティの導入に向けて、IEC 62443 seriesの規格に基づいたセキュリティ要求事項の意図と解釈を学習していきます。本トレーニングでは、産業用制御システムセキュリティの基礎を理解する上で、ベストプラクティスとして参考にされている「IEC 62443」のセキュリティ要求事項、脅威分析の手法などを網羅的に解説していきます。

3.IEC 62443 Gap Analysisサービス  -産業用制御システムセキュリティ(IEC 62443)との適合状況を評価する上で、適用範囲をプロファイリング。GAP Analysisを実施して規格が要求するセキュリティプロセスとの差分を評価します。現状のレベル、規格適合に向けた対応策までのレポートを作成し、規格の準拠に向けたセキュリティ対策をご支援します。

4.IEC 62443 認証取得審査サービス - 第三者機関によるIEC 62443の適合にむけた審査を実施。「認証審査の実施」「認証書の発行」など、IEC 62443認証の成立に向けてご支援します。また「認証の継続」「セキュリティレベルのアップ」などの認証の維持に向けたサービスも提供しています。

5.脆弱性テスト(セキュリティ診断)・侵入テスト(ペネトレーションテスト)サービス -セキュリティテストのご要望に適したテストプランを作成。製品出荷前のセキュリティ対策、製品の脆弱性対策もしくはシステム、製品のセキュリティ認証に向けた(IEC 624433-3、IEC 62443-4-2)評価診断としてセキュリティテストをご支援します。

 

IEC 62443-4-1の特徴

IEC 62443-4-1は産業用オートメーション及び制御製品を製造するプロダクトサプライヤに導入可能です。この規格は、確実なセキュリティ機能の実装を目指す組織に役立ちます。組織がこのフレームワークを適用することは、産業用オートメーション及び制御製品の開発ライフサイクルを通して想定されるセキュリティリスクに対し、多層の防御プロセス運用を実行している証明として非常に効果的です。

 

セキュリティマネジメントとは

セキュリティマネジメントは、セキュリティ機能の実装を制御機器のライフサイクルを通して適切に計画し、文書化し、実行することでセキュリティリスクを効果的に管理します。プロダクトサプライヤは、IEC62443-4-1の活用によりセキュアな制御機器の提供を確実とし、組織の顧客とアセットオーナーを含む利害関係者からの信頼を得ることができます。

開発プロセスのアプローチでセキュリティ管理を行いますので、それぞれの組織に適した方法で、効果的に成果が得られます。
そしてセキュリティマネジメントの運用によって、継続的にセキュリティプロセスを改善し、セキュリティに関するテクノロジーの変化にも対処できます。


セキュア開発プロセスの確立

[STEP 1] Maturity Level 2

文書: 設計・開発・保守・サポート(組織、管理、トレーサビリティ、検証、記録等)

知識: 役割毎の専門知識(セキュリティトレーニング、評価プログラム等)

 

[STEP 2] Maturity Level 3

実践: STEP 1で導入したセキュア開発プロセスを実践(実施記録等)

 

[STEP 3] Maturity Level 4

継続: セキュア開発プロセスの有効性を確認し、継続的な改善を実施

 

IEC 62443 認証取得による付加価値とは

IEC 62443-4-1を認証したプロダクトサプライヤは、その開発プロセスにセキュリティ機能を組み込んだ組織として評価されますし、そのサプライヤが開発した制御機器はIEC 62443シリーズのセキュリティを考慮した製品として認識されますので、組織、製品共に社会的信頼性も高まります。

IEC 62443-4-2の認証を受けた制御機器は、セキュリティプロセスを有した組織が、確実にセキュリティ機能を実装した機器として実証されます。そのためアセットオーナー、インテグレータ、運用保守事業者を含むステークホルダーは安心して、実証された制御機器を選択し導入することが可能となります。プロダクトサプライヤがIEC62443-4-1,4₋2を導入し認証を取得することは、制御システムをサイバー攻撃の脅威から保護できることを意味します。

 

お問い合わせはこちら

もっと知る

Cyber security for medical devices
ウェビナー

IoT機器セキュリティに関する技術基準適合認定等について

本ウェビナーでは、この新たなセキュリティ基準の対象機器と技術要件、基準認証制度の審査について解説しています。

詳細はこちら

イベント

ライブウェビナー・個別セミナー・展示会など

詳細はこちら

サイバーセキュリティ
ストーリー

制御システムのサイバーセキュリティ対策

IEC62443で安全性を実証

詳細はこちら

Consumer IoT Security
ウェビナー

IEC 62443 概要とその認証

産業用オートメーションおよび制御製品のセキュリティ対策として実証されている「IEC 62443シリーズ」。その概要と認証について解説します。

詳細はこちら

Gateway to Industry 4.0
ストーリー

スマートマニュファクチャリング ― インタストリー4.0

スマートマニュファクチャリング のポテンシャル向上

詳細はこちら

リソースセンターへ

次のステップ

Site Selector