制御システムを対象としたセキュリティ認証制度

     
ここでは、制御システムを対象としたセキュリティの認証制度について学習することができます。
制御システムを対象としたセキュリティ認証制度は、国際標準・業界標準・フレームワーク等をベースに認定するものが多く、今後も新たな認証制度が構築されると推測されます。
本コンテンツは、今後も継続して制御システムを対象とするセキュリティ認証制度の詳細について追加していく予定です。

制御システムを対象としたセキュリティ認証制度


認証制度 概要
CSMS CSMS(Cybersecurity Management Systems for IACS(Industrial Automation and Control System))とは、日本で提案された IEC 62443-2-1 の基準を適用した認証制度である。制御システムにおけるリスクベースのセキュリティマネジメントを対象としている。 一般財団法人日本品質保証機構とBSIグループジャパン株式会社が認証業務を実施している。
EDSA認証 EDSA(Embedded Device Security Assurance)とは、 制御機器のセキュリティ保障に関する認証制度である。ISCS (ISA Security Compliance Institute) が策定し、IEC 62443-4-1, 62443-4-2 をベースにしている。日本では CSSC が認証業務を実施している。下記の3つの評価項目がある。
1. ソフトウェア開発の各フェーズにおけるセキュリティ評価
2. セキュリティ機能の実装評価
3. 通信の堅牢性テスト
UL認証 UL認証とは、UL(Underwiters Laboratories Inc.: アメリカ保険業者安全安全試験所) が策定する規格による認証制度である。UL の規格書は COMM2000 を通して購入する必要がある。UL のサイバーセキュリティ認証プログラム(UL CAP)の中心的要求事項として UL2900シリーズがあり、その中で下記の制御システムに関する認証がある。
UL2900-1:ネットワーク接続可能なソフトウェアのサイバーセキュリティの要件
UL2900-2-1:ネットワークに接続可能な医療用機器に固有な要件
UL2900-2-2:ネットワークに接続可能なICSに固有な要件
ISO 28000 認証 ISO 28000 認証とは、サプライチェーンに特化したセキュリティマネジメントシステムの認証制度である。 ISO 28000 シリーズをベースに認定する。製造から販売までのサプライチェーンに潜むセキュリティリスク評価や管理に有効である。
Achilles Communications Certification Achilles Communications Certificationとは、制御機器が一定のネットワーク堅牢性を有することを証明する認証制度である。Achilles Testing Platform (ATP) という独自ファジングツールを用いてセキュリティ検査を行うことで認定する。レベル1 とより厳しい基準のレベル2 が存在する。
Achilles Practices Certification Achilles Practices Certificationとは、制御機器の導入からメンテナンス、および廃止までの各プロセスにおいて、一定のセキュリティ強度を有することを証明する認証制度である。下記の4種類の認証カテゴリが存在する。
1. 製品供給認証
2. メンテナンス提供認証
3. インテグレーター認証
4. ソリューション認証(メンテナンスとインテグレーターの統合)
また、下記の4つの認証レベルが存在する。
1. IECEE Selectable Certification
2. BRONZE Certification
3. SILVER Certification
4. GOLD Certification
TUV SUD 認証 TUV SUD 認証とは、ドイツの第三者認証機関である TUV SUD が IEC 62443 をベースに認定する認証制度である。
CCST 認証 CCST(ISA Certified Control Systems Technician)認証とは、ISA による認定し、主に空気圧・電子・機械・計装分野の制御システムの技術とオペレータを対象とした認証制度である(人への認証制度)。ISA が認定し、3つのレベルがある。
レベル1: 合計5年間の教育、訓練、経験が必要である。
レベル2: 合計7年間の教育、訓練、経験が必要である。
レベル3: 合計13年間の教育、訓練、経験が必要である。
GIAC 認証 GIAC 認証とは、SANS が認定する重要インフラセキュリティに特化した認証制度である(人への認証制度)。下記の3種類の認証がある。
GICSP (Global Industrial Cyber Security Professional)
制御システムの設計から廃棄までのセキュリティについて一定以上のスキルを保有していることを証明した認証制度。DoDD 8570 ガイドラインで承認されている。
GRID (GIAC Response and Industrial Defense)
制御システムのアクティブディフェンス戦略を実行できる一定以上のスキルを保有していることを証明した認証制度。
GCIP (GIAC Critical Infrastructure Protection)
NERC CIP 規制要件等を理解し、サイバーセキュリティの支援技術に関して一定以上のスキルを保有することを証明した認証制度。
CAP認証 CAP (Certified Automation Professional) とは、ISA による認証であり、制御システムや制御機器に関する幅広い知識を保有することを証明した認証制度である(人への認証制度)。
NCMS-ISP 認証 NCMS-ISP(Industrial Automation Professional)認証とは、NCMSが認定する制御システムセキュリティの認証制度(人への認証制度)。認定には、制御セキュリティ分野で5年以上の経験等の条件等が必要である。

     

登録日時2019-05-25 20:35:34 +0900
更新日時2019-08-09 03:04:24 +0900