IEC (ISA) 62443 シリーズ
IEC (ISA) 62443 シリーズは、制御システムのセキュリティに関する国際規格の集まりである。本規格は、4つに区分されていて、管理面から技術面までをカバー。制御システム運用者、制御システムのシステム・インテグレータ、制御システムの製品ベンダが実現すべきセキュリティ要件を規定。
| 要件を実現すべき対象 | 区分 | 規格番号 | 標題 | プレビュー(注1) |
|---|---|---|---|---|
| 全体 | 用語定義と原則 | 62443-1-1 | Terminology, concepts and models | |
| 62443-1-2 | Master glossary of terms and abbreviations | - | ||
| 62443-1-3 | System security conformance metrics | - | ||
| 62443-1-4 | IACS security lifecycle and use-cases | - | ||
| 制御システム運用者 | セキュリティ管理のポリシーと手順 | 62443-2-1 | Establishing an industrial automation and control system security program | |
| 62443-2-2 | Security protection rating | - | ||
| 62443-2-3 | Patch management in the IACS environment | |||
| 62443-2-4 | Security program requirements for IACS service providers | |||
| 62443-2-5 | Implementation guidance for IACS asset owners | - | ||
| システム・インテグレータ | システム | 62443-3-1 | Security technologies for IACS | |
| 62443-3-2 | Security risk assessment for system design | |||
| 62443-3-3 | System security requirements and security levels | |||
| 製品ベンダ | コンポーネント | 62443-4-1 | Secure product development lifecycle requirements | |
| 62443-4-2 | Technical security requirements for IACS components |
注1) 2022年7月末時点で発行済みの規格のみ、プレビュー用ファイルへのリンクを掲載しています。なお、正規版の閲覧には、購入が必要です。
- ISA 99 ISA配下の産業オートメーション制御システムセキュリティ委員会。 ISA 62443シリーズ標準の策定を行っている。
NIST SP 800-82 OTセキュリティへのガイド
SCADA システム、分散制御システム (DCS)、プログラマブル論理制御装置 (PLC) などを含む、産業制御システムのセキュリティを確保するための、ガイダンスがまとまっている。 このガイドラインには、産業制御システムの典型的なシステムトポロジー、脅威と脆弱性、その回避策がまとめられている。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2022/4/26 | NIST SP800-82 Rev.3 (ドラフト) 英語版 | - | - |
| 2016/3/14 | NIST SP800-82 Rev.2 産業用制御システム(ICS)セキュリティガイドSCADA、DCS、PLC、その他の制御システムの設定 日英対訳版 |
6.12MB デジタル 署名付 |
PGP 署名 |
| 2015/5 | NIST SP800-82 Rev.2 英語版 | - | - |
| 2013/4 | NIST SP800-82 Rev.1 英語版 | - | - |
NIST SP 800-53 情報システムと組織に関するセキュリティとプライバシーの管理策
グッド・プラクティス・ガイド パッチ管理
パッチ管理は、運用環境への暫定的なソフトウエアリリースの展開と保守を管理するための手順です。事業のためにシステムの実効性と効率を維持しつつ、セキュリティの脆弱性を最小限まで緩和し、実運用環境の安定性を維持するのに役立ちます。本書は、重要国家インフラに関わる組織向けにパッチ管理に関するガイドを示したもので、すべてのシステムにパッチを正しく適用するための 4 段階の手順と、パッチ適用計画の有効性を測定するための指標について説明しています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-05-31 | グッド・プラクティス・ガイド パッチ管理 | 640KB デジタル 署名付 |
PGP 署名 |
制御システム環境におけるサイバーセキュリティ文化の支援を目的とした運用セキュリティ(OPSEC)の使用
大部分の組織は、制御システム領域においても堅牢なアーキテクチャを採用し、外部ネットワーク、業務ネットワーク、制御システムネットワークの統合を推し進めることで業務の強化とコスト削減を図っています。セキュリティは、関係者が形成するサイバーセキュリティ「文化」によって支えられ、運用セキュリティ(OPSEC)の手法を使用することでセキュリティ「文化」の維持・強化への取組みを促進できます。しかし、事務処理領域でのセキュリティを主眼に形成された文化は、制御システムの領域に簡単には持ち込めません。本書は、制御システム領域におけるサイバーセキュリティの開発、配備、改善を担当する管理者およびセキュリティ専門家を対象に、制御システムおよび産業ネットワークのサイバーセキュリティにとって非常に重要な運用セキュリティ(OPSEC)のいくつかの要素を示し、それらがセキュリティ文化の形成をどのように促進しうるかについて述べています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-05-31 | 制御システム環境におけるサイバーセキュリティ文化の支援を目的とした運用セキュリティ(OPSEC)の使用 | 621KB デジタル 署名付 |
PGP 署名 |
制御システムのサイバーセキュリティ:多層防御戦略
製造業、輸送業、エネルギーなど主要な産業や社会を支える重要インフラでは、制御システムが多用されています。これらのシステムは、旧来システムから、新しいIT技術を取り入れたオープン・システムに移行しつつあり、制御システムの多種多様で独自の構造が、共通の通信プロトコルやオープンアーキテクチャ標準に置き換えられています。これには、プラスとマイナスの両側面の影響があります。
こういった事実を背景として、この文書では制御システムネットワークを使用している組織向けに、多層情報アーキテクチャを維持しつつ、「多層防御戦略」を策定するための指針と方向性を示しています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-03-31 | 制御システムのサイバーセキュリティ:多層防御戦略 | 1.62MB デジタル 署名付 |
PGP 署名 |
人的セキュリティガイドライン
2003年8月14日に米国で発生した最大規模の停電の原因は、人員の能力不足と教育・訓練不足、コミュニケーション不足、設備の不備であったことが判明し、停電の調査委員会は、政府機関による法規制、監視、違反への罰則を勧告しました。この後さまざまな産業や政府機関が人的セキュリティガイダンスを提供していますが、この文書では、米国で全国的に認知されている7つの産業団体と政府機関の推奨事項に基づいて作成された人的セキュリティプログラムガイダンスを紹介しています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-03-31 | 人的セキュリティガイドライン | 433KB デジタル 署名付 |
PGP 署名 |
推奨プラクティス:工業用制御システムにおけるサイバーセキュリティインシデント対応能力の開発
工業用制御システムは、従来のビジネス情報システムと同様、悪意のあるさまざまな攻撃を受ける可能性が増しています。攻撃目的もさまざまですし、攻撃元もまた、不満を持つ従業員、競合相手、そして不注意でサイトをマルウエアに感染させてしまう友好的な相手の場合とさまざまです。この文書は、制御システムを利用する施設が、攻撃元を問わずサイバーインシデントに備え、対応するのに役立つ推奨事項を、①サイバーインシデントに関する計画の作成、 ②インシデントの防止、 ③インシデント管理、 ④インシデント後分析、の4つのセクションに分けて解説しています。そして、インシデントから得た教訓を活かし、潜在的攻撃に備えてシステムを強化する方法も提案しています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-03-31 | 推奨プラクティス:工業用制御システムにおけるサイバーセキュリティインシデント対応能力の開発 | 1.31MB デジタル 署名付 |
PGP 署名 |
重要社会インフラのためのプロセス制御システム (PCS) のセキュリティ強化ガイド
この文書は、プロセス制御システム (PCS: Process Control System) のセキュリティに関する意識向上を意図して、SEMA (スウェーデン緊急管理庁) によりスウェーデン語で作成された文書の英訳版を JPCERT/CCが邦訳したものです。
ヨーロッパの産官学の各界が、さまざまな共通課題に共同で取り組めるよう、また、必要に応じて集中的な取り組みとリソースの共有を行えるよう、制御系に特化したセキュリティに対する推奨事項が実例とともに分かりやすく述べられています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2009-11-24 | 重要社会インフラのためのプロセス制御システム (PCS) のセキュリティ強化ガイド | 970KB デジタル 署名付 |
PGP 署名 |
CPNI Good Practice Guidelines
この文書は、制御系システムの開発・設計ならびにユーザーが遠隔制御・監視システムを使用するにあたってセキュリティ要件と仕様のガイドとして、英国の国家インフラ保護センター(CPNI: Centre for the Protection of National Infrastructure)が作成したものです。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きにもなります。 JPCERT/CCが翻訳した日本語版は、2007年に公開されています。なお、現在の英国のサイバーセキュリティ政策はNational Cyber Security Centre (NCSC;2016年に設置)が担当しています。
グッド・プラクティス・ガイド プロセス・制御と SCADA セキュリティ
この文書は、制御系システムの開発・設計ならびにユーザーが SCADA を使用するにあたってセキュリティ要件と仕様のガイドとなるものです。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きにもなります。
* SCADA: Supervisory Control and Data Acquisition、遠隔制御・監視システム
| 概 要 |
|---|
重要インフラで使用されるシステムには、事業とその用途に応じてさまざまな形態があるがそのなかでもいくつかの共通機能のコンポーネント化が進んでいる分野がある。 昨今の情報通信技術とオープン化の波は、開発コストの低コスト化、汎用化、ネットワーク化をもたらし、分散制御システム、監視制御、プロセス制御の分野においてもオープン系の技術を取り入れた製品、システムの利用が進んでおりそれらは重要インフラで使用もされている。 SCADA(Supervisory Control And Data Acquisition) は監視・制御データの収集を目的としたシステム全般を指し、小規模システムから大規模プラントまで産業分野に広く用いられている。 本文書は、制御系システムの開発・設計ならびにユーザーがSCADAを使用するにあたってセキュリティ要件と仕様のガイドとなるものである。 また、制御系システム開発者がオープン系システムを取り込もうとする場合の手引きともなる。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-07-06 | GPG No. 1 - 事業リスクの理解 | 984KB | PGP 署名 |
| 概要: プロセス制御システムのセキュリティを改善するための第一歩は、電子セキュリティの観点から見た事業リスクを完全に理解することである。 事業リスクは、脅威、影響、脆弱性のそれぞれと相関関係にある。企業では、事業リスクを十分に理解して初めて、適切なレベルのセキュリティ保護を実現するために必要なことが判別できるようになる。 | |||
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-07-06 | GPG No. 2 - セキュア・アーキテクチャの実装 | 904KB | PGP 署名 |
| 概要: 制御系システムは多様な上に、多くのソリューションがあるため、セキュアなシステムアーキテクチャをデザインすることは容易ではない。プロセス制御セキュリティ手段の選択は決して精密科学ではなく、すべてに対応できる「万能」なものでもない。事業リスクを十分に理解することで、制御システムのための総合的なセキュア・アーキテクチャを構築することができるようになる。 | |||
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-07-06 | GPG No. 3 - 対応能力の確立 | 984KB | PGP 署名 |
| 概要: アラート/インシデントへの対応機能を確立することは、制御系システムにおけるセキュリティフレームワークの中でも特に重要な部分である。経営層のサポート、責任の明確化、連絡経路の確立、方針および手順の策定、トレーニングおよび演習の実施は、迅速かつ的確な対応に繋がり、ビジネスインパクトを最低限に抑え、インシデントの影響を低減させる可能性がある。 | |||
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-07-06 | GPG No. 4 - 意識とスキルの改善 | 1,004KB | PGP 署名 |
| 概要: セキュリティフレームワークの成功は、最終的には人的要素にかかっている。人は、最も重要なリソースであると同時に、セキュリティにとって最大の脅威となる恐れも秘めている。プロセス制御システムのセキュリティは、意識の向上、スキルの向上、IT セキュリティ担当者との緊密な関係の構築により、向上させることができる。 | |||
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-07-06 | GPG No. 5 - サード・パーティ・リスクの管理 | 1MB | PGP 署名 |
| 概要: プロセス制御システムは、ベンダー、サポート組織、サプライ・チェーン内の他の関係者等のサード・パーティにより重大なセキュリティ・リスクがもたらされることがあるので、十分な注意を払う必要がある。サード・パーティ・リスクの認識し可視化することが、そのリスクを管理し始めることを可能にする鍵である。 | |||
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-07-06 | GPG No. 6 - プロジェクトへの参画 | 844KB | PGP 署名 |
| 概要: プロセス制御システムは普通、耐用年数が長く、その耐用年限中のシステム変更は、ごく少ないことを期待して設置される。多くの組織では、大抵いつの時点でも、幾つかのプロセス制御システム関連のプロジェクトが実施されていて、それぞれにセキュリティに影響を及ぼす可能性があるため、積極的なプロジェクトへの参加と、リスク評価が必要である。 | |||
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-07-06 | GPG No. 7 - 継続した統制の確立 | 1.1MB | PGP 署名 |
| 概要: プロセス制御システムのセキュリティ管理を、組織全体として首尾一貫した手法で実施するためには、適切なガバナンスが必要である。そのような統制なしでは、プロセス制御システムの防護はその場限りかまたは不十分であり、組織をリスクに曝すことになる。 | |||
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2010-07-06 | グッド・プラクティス・ガイド プロセス・制御と SCADA セキュリティ | 920KB | PGP 署名 |
| 概要: プロセス制御と SCADA システム セキュリティの必要性を概説し、プロセス制御や、SCADA システム セキュリティとITセキュリティの間の違いを明らかにした上で、プロセス制御システム・セキュリティに対応するための7つのステージを示し、各ステージにおけるグッド・プラクティスの原則を示したドキュメント。 | |||
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-14 | SCADA およびプロセス制御ネットワークにおけるファイアウォールの利用につい ての NISCC グッド・プラクティス・ガイド | 1.3MB | PGP 署名 |
| 概要: 近年、監視制御系システムの通信に、EthernetR、TCP/IP、Windows(R) 等の商用情報技術を使うことが多くなってきている。これらの共通プロトコルやOSを使用する利点は多いが、一方極めて重要なSCADAやプロセス制御ネットワーク(PCS)を外界から隔離できる度合いがかなり低くなるという問題を生じる。よく推奨される対策は、ファイアウォールを使って SCADA や PCN システムをインターネットや企業ネットワーク (EN) から隔離することである。その際のファイアウォールのアーキテクチャ、設定、管理について、まとめたガイドライン。 | |||
