近年、産業界では工場や生産設備のIT/OTの融合が急ピッチで進んでいます。そうなると、当然ながらサイバーセキュリティに関わる脅威も大きくなります。いま産業用IoT（以下、IIoT）における主要課題として、サイバーセキュリティ対策がクローズアップされています。そこで今回から3回にわたり、OT分野でサイバー脅威から保護するために必要な最新情報について解説していきます。まず最初にMoxa Japan合同会社の長澤宣和氏に「進化した産業用ネットワークのグローバルトレンド」について解説していただきました。

 

OT分野のサイバーセキュリティ対策が分からない企業が8割も！

日本では先般、トヨタ自動車のグループ企業であるデンソーや小島プレス工業がランサムウェアの被害に遭い、工場が一時停止するというニュースがありました。そこで判明したことは、セキュリティ対策は一企業だけでなく、グループ企業も含めたサプライチェーン全体でのセキュリティを強化していく必要があるという点でした。

しかしサイバー攻撃による被害は、目に見える形で表面化するケースは少ないのが実態で、実数値よりも多くの企業で散発的に被害が発生しているようです。こういった現状に対する危機感や経済安全保障上の観点もあり、ついに今年初頭、経済産業省が産業サイバーセキュリティ研究会ワーキンググループ1（制度・技術・標準化）のなかで「工場サブワーキンググループ1」を発足させました。

ただIIoTを取り組む現場では、サイバーセキュリティ対策を具体的にどう進めればよいか分からず、教育や対策に自信がないという企業が8割もいるという調査もあります。そこで産業用ネットワーク機器のグローバルベンダーであるMoxaは、国際標準に則ったサイバーセキュリティ対策を製品に実装してきました。

ここからはMoxaのサイバーセキュリティ対策の考え方について紹介しましょう。

 

サイバーセキュリティ対策のグローバルトレンド「IEC62443」とは何か？

Moxaは、サイバーセキュリティ対策のグローバルトレンドとして「IEC62443」を中心に対策を進めています。このIEC62443は、汎用制御システム分野における国際的なセキュリティ標準に位置づけられるもので、コンポ―ネントからシステム、組織に至るまでのガイドラインをカバーしています【★写真1】。

 

【★写真1】

 

具体的にIEC62443は、IEC62443-1からIEC62443-4まで4つの種類があります。IEC62443-1は一般的な用語・略語や判定基準などの概要説明、IEC62443-2はアセットオーナー（工場の経営者）向けの情報（ポリシーや運用など）、IEC62443-3はSIer向けの情報（システムセキュリティの要件やレベルなど）、IEC62443-4は製品供給者（メーカー）向けの情報（コンポ―ネット開発など）で構成されています【★写真2】。

 

【★写真2】

 

たとえばIEC62443-3には、以下のように4つのセキュリティレベル（SL：Security Level）【★写真3】と、そのセキュリティレベルを定める7つの基本的な要件（FR：Fundamental Requirement）【★写真4】があります。

 

【★写真3】

 

【★写真4】

 

さらに、システムインテグレータがセキュアなシステムをデザインする際、基本要件（FR）からブレイクダウンして51個のシステム要件（SR：System Requirement）が洗い出されており、そのセキュリティの強化策を追加することで、セキュリティレベルを高めることができます【★写真5】。

 

【★写真5】

 

たとえば「認証については、こういった仕組みが求められる」「ログ管理ではここまで満たす必要がある」といったSRがまとめられています。IEC62443の優れた点は、自社が目標とするセキュリティレベルに照らし合わせて、どこまでSRをクリアすればよいのか、その指標が明記されている点です。そのため、どこから手を付ければ良いか迷っている企業でも着手しやすいのです。

 

製品サプライヤとしてIEC62443-4-1/2の認定済のMoxa

さて、Moxaの場合は、このIEC62443-4をベースとし、開発段階から事前にセキュリティをどうすべきかという要件（リクアイアメント）を盛り込みながら、セキュア設計を行っています。たとえば、Moxaは産業用ネットワーク機器メーカーとして、2020年5月に業界に先駆けて、IEC62443-4-1の認証を取得しています【★写真6】。

 

【★写真6】

 

このIEC62443-4-1は、産業用オートメーションや制御システムで使用されるセキュアな製品を開発することを目的に、セキュアな開発ライフサイクルを定義するものです。これによりMoxaが安全な製品開発を行っているベンダーとして、SRを実現する製品を提供している証となりました。

さらにMoxaは、IEC62443-4-2の準拠または認証も取得しています【★写真7】。こちらは、セキュリティに必要な機能が盛り込まれているのかを確認するものです。たとえばMoxaでは「デバイスの信頼性」「最低限のデバイス機能」「ユーザー認証と権限付与」「ネットワークアクセスと認証」「通信の信頼性」など、IEC62443-4-2を満たす産業用イーサネットスイッチ「EDS-4000シリーズ」を販売しています。こちらは次回のコラムで詳しく解説します。

 

【★写真7】

 

いずれにしても今回のキーワードであるIEC62443-4は、OT分野で制御セキュリティが担保された製品を選定する際に、本当に安心して採用できるベンダーなのか、あるいはシステムインテグレータなのか、その産業用セキュリティを担保するグローバル・チケットになるものと言えるでしょう。ぜひ心に留めていただけると幸いです。

 

コラムで紹介されている製品はこちら

Moxa EDS-4000シリーズ
EDS-4008シリーズ	EDS-4009シリーズ	EDS-4012シリーズ	EDS-4014シリーズ

 

Moxa EDS-G4000シリーズ
EDS-G4008シリーズ	EDS-G4012シリーズ	EDS-G4014シリーズ

 

こちらのコラムを読まれた方には、下記の記事もおすすめです。

深層防御アプローチとゼロトラストアーキテクチャに関する実践的アプローチ

産業用サイバーセキュリティにおける意思決定プロセスを円滑にする2つのポイント