制御システムセキュリティに関する規格について

     

概要


ここでは、制御システムセキュリティに関する規格について解説していきます。
規格とは、標準化(放置すると多様化・無秩序化する事柄について統一すること)することを目的とし、標準化団体等が定めた共通のルールのことです。

以下では、「規格について」、「規格の違い」、「法律と規格」、「制御システムセキュリティに関する規格」の順に説明していきます。
制御システムセキュリティに関する規格については、今後も本記事において種類を増やしていく予定です。

     

規格とは


繰り返しになりますが、規格とは、標準化団体等が定めた標準化することを目的とした共通のルールのことです。
規格に沿った対応や製品を作成することで、それらが一定以上の基準を満たしていると評価され、世界へ安全性や信頼性をアピールできます。

「規格」と「標準」は、本来異なる意味合いで用いる用語ですが、規格について説明する際においては、両者はほぼ同じ意味で用いられています。
似た用語で「基準」という用語もありますが、これも「規格」と「標準」と同義で用いられていることが多いです。
このため、「規格 = 標準 = 基準」と考えてもらって問題ございません。
本ページでは、「規格」という用語で説明していきます。

さて、制御システムセキュリティに関する規格は数多く存在しており、国際規格、業界規格、ガイドライン、フレームワーク等、数多くの関連ルールがあります。
これらの規格は、何らかのセキュリティ要件を満たすべき項目が記されていることについては何となく理解しているが、違いや利用方法が分からないといった疑問を持たれているケースも多いと思います。
そこで、これらの規格の定義と違いを説明し、具体例を示していきます。

     

規格の種類と水準レベル


規格には、大きく分けると下記のような種類があります。

規格分類 概要
国際規格(国際標準) 国際標準化団体が策定した全世界で共通のルール。
代表的な国際標準化団体として、IEC、ISO、ITU-T がある。
地域規格(地方標準) 複数の国が共通して策定する共通のルール。
国家規格(業界標準) 単一の国が策定し、その国のみで適用される共通のルール。
業界規格(業界標準) ある業界が策定し、その業界のみで適用される共通のルール。
ガイドライン ある団体や業界が策定し、その団体・業界等で適用され自主的に遵守することが推奨されるルール。
フレームワーク ガイドラインよりも具体的な手法(枠組み)を取り入れており、自主的に遵守することが推奨されるルール。

     
また、各規格の水準レベル(適用範囲)は図の通りです。
     

     

図の水準レベルと規格内容自体の目標レベルに関連性はなく、決して国際規格が高度な目標を定めているわけではございません。
水準レベルが高い規格の方が、より「世界においての認知度が高い」と認識していただければと思います。
目標レベルについては、ガイドライン・フレームワークの方が国際規格よりも高度な目標を設定しているケースもあります。

規格の説明でよく登場する用語で、「認証」があります。
認証については、Hipops寺子屋でも解説しているいますが、認証とは企業や製品が「ある規格等を満たしている」ことを証明するものです(認証について)。
規格と認証には明確な違いがありますので、適切に理解しておきましょう。

     

規格と法律


続いて、規格と法律について説明します。
法律によっては、ある規格を遵守することと定められたものもあり、これを遵守しなければ法律違反ということになります。

規格以外にも、法律としてガイドライン等を満たすことを必須としている場合、そのガイドライン等を確実に遵守する必要があります。

例えば、電気事業法の第50条第2項第15号(リンク)には「その他事業用電気工作物の工事、維持及び運用に関する保安に関し必要な事項」と記されており、この項目に関する「解釈適用に当たっての考え方を定める規程(リンク)」が定められています。

この規程には「スマートメーターシステムセキュリティガイドラインと電力制御システムセキュリティガイドラインにより適切な措置を講じること」と記されており、対象となる電気事業者はこの2つガイドラインを満たさなければ法律違反となります。

このように、規格は法律とも深い関係性があります。

続いて、制御システムセキュリティに関する各規格の具体例を説明していきます。

     

制御システムセキュリティに関する規格


制御システムセキュリティに関する代表的な規格について、以下の表にまとめています。
(※日本国内で発行された規格やガイドライン等については、今後追加していく予定です。)

ここでは、サイバーセキュリティ以外にも制御システムの機能安全に関する規格も載せています。
Hipops図書館にも規格についての資料を置いていますので、ご参考ください。

規格名 分類/初版年度 概要
IEC 62443 国際規格/2010 IECが策定しており、事実上 ISA 99 が作成した規格の後継の規格。
ISMS、WIB、EDSA なども参考に、制御システムのセキュリティに関するマネジメント、統合装置、
および機器・装置のそれぞれのセキュリティ要件を策定。
62443-1~62443-4 のシリーズが存在する。
ISO 28000 国際規格/2007 ISOが策定しており、サプライチェーンに関するセキュリティマネジメントシステムの
セキュリティ要件を策定。28000~28004のシリーズが存在する。
ISO/IEC 27019:2017 国際規格/2017 IECが策定しており、エネルギー業界向けの情報セキュリティマネジメント(ISMS)に関する規格。
ISO/IEC 27002 をベースに作成されている。
認証制度はまだない(2019/5月 時点)。
ISO 22320 国際規格/2011 ISO が策定しており、危機対応に関するあらゆる種類への必要最低限の要求を定義。
IEC 62278 国際規格/2002 IECが策定しており、鉄道における機能安全規格の最上位の国際規格であり、
構想から廃棄までのライフサイクルにおける安全規格を定義している。
IEC 62280 国際規格/2002 IECが策定しており、鉄道の制御システムにおいて、
安全にかかわる情報の伝送を行う通信システム(有線無線問わない)の性能に対する要求事項を定義。
安全性の確保は、IEC 62778 で定義。
IEC 62351 国際規格/2007 IECが策定しており、電力業界におけるデータ通信のセキュリティ要件を定義。
IEC 61850 で記されているセキュリティ要件等も含む。
IEC 61508 国際規格/2000 IECが策定しており、電気・電子・プログラマブル電子システムに関する機能安全についての要求を定義。
IEC 61511 国際規格/2003 IECが策定しており、PA分野における安全計装システムの機能安全についての要求を定義。
IEC 61513 国際規格/2001 IECが策定しており、原子力分野における安全計装システムの機能安全についての要求を定義。
UL2900 地域規格/2016 アメリカとカナダで広く認められている地域規格であり、UL2900 シリーズとして、
ネットワーク接続可能製品のソフトウェアにおけるセキュリティ要件を定義。
ヘルスケアや制御システムに特化した規格もある。
NIST SP800 国家規格/1998~ NIST の ITL(Information Technology Laboratory)内の CSD(Computer Security Division)
と呼ばれる部門が策定しており、米国内での使用を目的とした規格であり、
幅広いセキュリティ要求を定義している。
CI(Classified Information:政府機密情報)とCUI(Controlled Unclassified Information:
大統領令(Executive Order 13556)により定義された重要情報)を保護することが必要とされ、
CI は SP800-53、CUI は SP800-171 で定義された内容を満たすように求められている。
NERC CIP 業界規格/2005 NERC (North American Electric Reliability Corporation) が策定しており、北米の電力事業者向けに、
電力の安定供給を目的として発電と送電に関するセキュリティ要求を定義。
セキュリティ要件を8項目の体系に分類しており、チェックリストとリスクベースを用いる。
IEEE 1686 業界規格/2007 IEEE が策定しており、インテリジェント電子機器(IED)のセキュリティ要件について定義している。
IED とは、主に電力システムで使用される機器である。
IEEE 2030 業界規格/2011 IEEEが策定しており、スマートグリッドの相互運用に必要なエネルギー技術、情報技術、
サイバーセキュリティ等の要件について定義している。
WIB 業界規格/2010 International Instrument Users’ Association が策定しており、欧州の石油業界を中心に利用されている。
制御システムを所有する事業者に対して、制御システムの統合装置や
機器・装置を調達する際のセキュリティ要件などが記されている。
NIST IR7628 ガイドライン/2010 NIST が策定しており、スマートグリッドのセキュリティ要件について定義しているガイドライン。
リスクベースでの評価を用いる。
RMP Guideline ガイドライン/2012 Electricity Subsector Cybersecurity Risk Management Processという。
DoEが発行した電力業界におけるサイバーセキュリティのリスクを管理するためのアプローチ方法として、
政府と産業界が共同で開発したガイドライン。
サイバー攻撃に対して迅速に対応できる組織を構築することを目的としている。
CPNI GPG ガイドライン/2007 CPNI GPG(Centre for Protection of National Infrastructure Good Practice Guideline)は CPNI が
策定しており、制御システムの開発、設計、および遠隔制御・監視システム(SCADA)の
使用におけるセキュリティ要件を定義。
NIST CSF フレームワーク/2014 NISTが策定し、大統領令第13636に基づき、企業のサイバーセキュリティリスクの管理を支援するために、
産業界で効力を発揮している標準・ガイドライン・ベストプラクティスを集約し、
リスクベースによりセキュリティアプローチを体系化・構造化している。
NCWF フレームワーク/2017 NCWF(NICE Cybersecurity Workforce Framework)は NIST が策定しており、NIST SP800-181 として
発行されている。サイバーセキュリティ人材に求められる役割、業務、知識、技術、能力を定義。

     

登録日時2019-06-08 19:17:54 +0900
更新日時2019-09-29 19:53:09 +0900