【特別記事】

本格的SCM参画に求められる セキュリティ対策実務能力とは（その2）

1．生産製品のコンピュータ機能の有無で異なる対象認証範囲

工場設備を持つ企業にとって，どのようなサイバーセキュリティ対策が必要になるかを考える際，生産している製品がコンピュータ機能を有しているか否かでその内容は二つに分かれてくる。

コンピュータ機能がない製品を生産している場合は，顧客と取り合いする品質情報の中にセキュリティ品質情報は存在しない。ところが，製品を製造中とそれ以前にサイバー攻撃を受けたかどうかの情報は，納品した製品の品質に異常が見つかった時に確認する情報の中の一つとして扱う場合がある。

コンピュータ機能がある製品（装置，機械，ロボット，通信製品，制御製品など）を生産している場合は，それらの製品を運用している顧客へ，脆弱性識別情報を含めたセキュリティ品質情報を提供し，設備のセキュリティ管理をしていただくことになる。そして，生産工場を持つ企業にとって，取得対象となる認証規格は，生産している製品によって異なってくる。

一方，コンピュータ機能がない製品を生産している工場は，IEC62443-2-1（工場設備管理）が主対象となる。コンピュータ機能がある製品を生産している工場は，IEC62443-4-1（製品開発組織認証）およびIEC62443-4-2（製品認証）が主対象となる。また，工場の設備をインテグレートしたりメンテナンスしたりする請負企業は，IEC62443-2-4（サービスプロバイダ認証）およびIEC62443-3-3（システム認証）が対象となる。

サプライチェーンのセキュリティ品質をIndustry4.0のサプライチェーン企業関連で見ていくと，図1のようになる。

図1　サプライチェーンのセキュリティ品質

A）構成部品のコンピュータ部分に関する脆弱性識別情報

B）セキュリティ性能および機能情報

C）認証試験取得及び試験結果情報

D）制御システム構成品情報

E）制御製品の安全機能とセキュリティ機能

などが上げられる。

しかし，これらの情報は，サイバー攻撃するハッカーに渡ると攻撃情報として悪用される。そこで，この情報を渡す相手を特定して見られるようにするだけでなく，第三者に渡ると見られなくなるプロテクトか，自動消去する仕組みを施しておく必要がある。いわゆる「データセキュリティ管理」である。

2．国別法規制および産業界の動き

国によってサイバーセキュリティ対策の法規制が異なる。また，世界情勢の変化でサプライチェーン再編成も進んでいる。

2.1 米国市場

米企業は，アメリカ国立標準技術研究所NISTが出している標準規格を基本にしている。サイバーセキュリティ対策は，NIST SP800のシリーズになる。一般産業は，NIST SP800-82を基本とする。政府関係施設は，NIST SP800-171である。工場や設備の脆弱性識別情報管理は，Cybersecurity Frame Workを適用しており，Cybersecurity Frame Work Version1.1（2018）が最新である。半導体製造工場や自動車製造工場など米国企業の工場は，これに準じている。

工場の生産設備を提供する企業は，工場のCybersecurity Frame Work管理に必要なセキュリティ品質情報を提供しなければならない。その中に脆弱性識別情報が含まれている。特に，社会インフラを支える石油パイプラインや原子力発電所，半導体製造工場，病院などへのサイバー攻撃が頻繁にあり，社会的影響を与えたことから，米国は，サプライチェーンのサイバーセキュリティ強化が必須となっている。

米国以外の米国企業の工場もこのCybersecurity Frame Work管理を採用している。日本にある米国企業の工場もこれに従って管理している。（図2）

図2　NIST Cybersecurity Framework（https://www.nist.gov/cyberframework）

それ以外に，中国が人権侵害問題や全体共産主義の支配経済に方針が切り替わったことで，中国から撤退した企業が増えた。さらに，米国のクリスマス商戦の10月，11月，12月に向けた消費のピークを越えるまでは中国から容易に他国へ切り替えることができなかった企業が，新年を迎えてインドやベトナムへ製品調達事務所などがシフトしていくであろうことから，シフト先の新工場のセキュリティ品質情報もCybersecurity Frame Work管理で行うことになろう。当然，そのCybersecurity Frame Work管理を実施している工場への生産設備についても，セキュリティ品質情報をベンダは提供していかなければならない。

2.2 欧州市場

2021年にEUのNIS指令2が発行された。それにより今まで社会インフラを支える産業対象にサイバー攻撃に強い設備管理義務を立法化してきたが，これが一般産業まで拡がった。さらに，中国の一帯一路構想を理由に周辺国に債務を負わせ主要港や鉄道や社会インフラの実権を奪い，実質的属国にしていくことに対応するべく，EUはグローバルゲートウェイ構想を打ち出して巨額投資を展開することを決めている。

それに，中国の経済が全体共産主義支配になったことで，サプライチェーンから中国を外すサプライチェーン再編成が進んでいる。

また，サプライチェーンで取引する企業連携にGAIA-Xの導入を掲げる任意団体として，ドイツではCatena-XとMobility Dataspaceがあり，オランダではSCSNにWGがスタートし，スペインとイタリアではDigital Data Allianceが立ち上がった。Mobility Dataspaceは2021年10月に立ち上がり，2022年3月には運用に入るというスピードで進んでいる。

2.3 インド市場

GDPの成長が高いインド市場は，中国に代わる市場として期待されているところは大きい。インド太平洋経済圏と日米豪印4ヵ国協力クワッド（4つを意味する）でありながら，輸出管理優遇処置対象国では，米・英・豪はグループAであるが，インドはグループCである。

インド市場には欧米日の自動車工場が数多くあり，半導体製造工場誘致にも力を入れている。インドにある欧米の工場は，Cybersecurity Frame Work管理を実施しているので，そこへ納品する装置や機械，ロボット，制御製品は，IEC62443適用対象製品が優勢となる。

3．脅威リスクモデル設計の重要性

サイバー攻撃からの防御機能として，ファイアウォールやネットワーク監視デバイスを設置さえすれば済むかというと，そんなレベルで工場設備，港湾施設，空港施設，高速道路管理システム，交通管理施設，電力設備，水道施設などを護れるわけがない。不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードのマルウェアは，暗号化されたりして，ファイアウォールでは検知できない形にして侵入してくることから，ファイアウォールでの防御率は1割以下となっている。

また，侵入したマルウェアがネットワークを必ず通過するかというとそれが全てではない。装置や機械やロボットなどはエンジニアリングツールでコンフィギュレーションファイルをインストールして動きを変えることもある。設備のメンテナンスツールやリモートサポートシステムからマルウェアが侵入しないとは言い切れない。既定のネットワークに監視用デバイスを設置したからといって，そこを通過しない侵入ルートはいくらでもある。

では，エンジニアリングツールもメンテナンスツールも，リモートサービスを受けないで設備を維持継続することができるかと言うとそんなシステムはほとんどない。使用している設備を構成しているコンピュータ部品のハードウェアやソフトウェアやシステムのサイバー攻撃における脆弱性情報を，サイバー攻撃側が入手してマルウェアを開発している場合，その設備は容易に侵入され，容易にマルウェアがシステムを支配し，容易に乗っ取ることが可能となる。

こうした課題を管理するには，設備の脆弱性情報を知って，対策対応をして，脆弱性をなくしていく必要がある。ところが，従来の制御システムは，ソフトウェアのバージョンをアップさせると動かなくなるものがある。それは，脆弱性識別情報管理でバージョンアップをしなければならないというシステム設計思想で設計されていないからである。システムを構成している装置や機械類のコンピュータ製品も，脆弱性識別情報管理を前提条件とした制御製品開発設計思想で開発されていない。

では何をしなければならないか？

サイバー攻撃を受けることを前提にした制御製品開発，システム設計をしなければならない。つまり，IEC62443規格基準に基づいた製品開発組織認証を得た組織が開発した制御製品や機械や，製品認証取得した制御製品を採用すれば良い。しかし，そんなサイバー攻撃に強い制御製品があるのか？というと，海外では2018年頃から登場しているし，日本国内でも2021年に組織認証を取得した企業が登場し始めている。2022年以降は，次々と制御システムセキュリティIEC62443認証を取得した企業が増えてくる。

では，今，工場や設備のオーナ企業は何をしなければならないか？それには，現場の生産・製造システムのサイバー攻撃についての脅威リスクモデル設計を実施し，どのような生産・製造システムにするべきかの計画書を作成していくことである。（図3）

図3　攻撃モデルと防御モデルと脅威リスクモデル

サイバー攻撃を受けた時の脅威リスクモデル設計を実施するのに，具体的に何をすれば良いか？

脅威リスクモデル設計のやり方はIEC62443-3-2に規格化されている。ここで考えなければならないことは，使用している制御システムを構成している制御製品の防御能力をどう定義するかである。（図3参照）

DCSひとつとっても，PLCひとつとっても，脆弱性性能検査ツール（代表的なツールとして「Nessus」がある）で侵入テストをしてみると，いろいろなサイバー攻撃シナリオを引き出してくれる。また，堅牢テストツール（代表的なツールとして「Achilles」がある）を使って試験してみると，制御機能がすぐに止まるものもあれば，いくら攻撃をしても制御機能は損なわれず安全停止機能も正常に動くものもある。

この違いはどこから来るかというと，制御製品設計のアーキテクチャの構造設計で，ソフトウェアバグが出ても，サイバー攻撃を受けても，安全に停止でき，現場でのメンテナンス対処を考えて設計しているかの制御の基本設計思想の深さの違いである。そこまで脅威リスクモデル設計は考えなければならない理由は，社会インフラを支えている制御システムほど，その制御の基本設計思想が大きな被害になるかどうかを左右するからである。

では，IEC62443ではその違いをどこで定義しているのか？セキュリティレベル1から4の定義やセキュリティベクトルの定義に現われている。

では，設備オーナは，その制御の基本設計思想をどこで判断すれば良いかであるが，製品認証を取得した制御製品であれば，その製品のセキュリティレベルがどのレベルで認証取得しているかで診ることができる。いつでも停止できる制御システムには，セキュリティレベル「1」もしくは「2」。停められない制御システムはセキュリティレベル「4」。停止するのに一定の手順が必要で，すぐに止められない制御システムには，セキュリティレベル「3」，というようになる。

4．産業別事情

産業別にサイバーセキュリティ対策を見ていくと，その対象製品が異なることで適用する基準が異なることがわかる。

4.1 汎用品とオーダ品の生産で分かれる認証方針

汎用品を製品開発し製造している企業では，顧客を特定していないので，IEC62443-4-1製品開発設計組織認証とIEC62443-4-2製品認証を取得した製品を製造して供給することが中心になってくる。これに対して，顧客のオーダによって仕上げる装置や機械については，その制御構造を構成する汎用品は製品認証を取得した製品を採用するが，その装置や機械の仕上がりは一品一様になることから適用認証が異なってくる。

大型プラントの制御システム装置になると，IEC62443-3-3制御システム認証が対象になる。これは，現地に設置するまでのプロセスの中で検証する項目と設置した制御システムで検証する項目があり，セキュリティ要件で求める事項を確認していくことになる。

汎用品でも機械の場合は，コンポーネントとして扱うことからIEC62443-4-2コンポーネント認証が対象となる。DCSコントローラやPLCやタッチパネルなどになると，IEC62443-4-2制御デバイス認証が対象となる。

4.2 自動走行車に搭載する製品を生産している企業の課題

自動走行車のサイバーセキュリティ規格ISO/SAE21434：2021が8月30日に発行された。ISO/SAE21434:2021は，自動走行車に車載する電気・電子システムのエンジニアリングにおけるサイバーセキュリティを確保するための要求事項やガイドラインを提供するものであり，MPUやデバイス，通信ネットワークにつながるものは，これに従うことになる＊1）。

自動走行車を製造する設備や製造ラインは，Industry Control System Securityの国際標準規格IEC62443になる。（ISO/SAE21434には，製造設備の制御システムセキュリティ規格は記載されていない。）

4.3 船舶に搭載する製品を生産している企業の課題

洋上を航行する船舶は，独立した世界でありながら，多くの種類の通信で運航企業と航行に必要な情報の取り合いを行っていることから，サイバー攻撃の脅威リスクを持っている。一旦，サイバー攻撃の被害を受けた場合，容易に回復できる手段を持っていなければ，潮や風に流されるただの箱になってしまう。

2022年1月，船主団体と海事協会が造船業界に向けて，船舶に搭載のサイバーセキュリティ対策基準を示す予定である。（2021年11月末現在：以下は想定）

・船舶に搭載設備の制御装置や通信設備は，サイバーセキュリティ対策をすること

・船舶搭載の制御装置や機械や通信機器は，第三者認証を取得していること

・船舶搭載の制御装置や機械や通信機器の製品開発は，IEC62443-4-1，製品は，IEC62443-4-2

・暗号機能は，NIST SP800-67（TDES：Triple Data Encryption Algorithm，共通鍵ブロック暗号であるDESを3回施す暗号アルゴリズム）

・2023年7月以降執行（予定）

4.4 半導体製造工場と半導体製造装置製造工場の違い

2020年は，半導体製造工場で相次いで火災が発生し，サイバー攻撃被害に遭い，2021年は半導体製品供給が減少したり途絶えたりして，市場価格が高騰した。さらに，中国の台湾侵攻の脅威が高まり，台湾の半導体製造メーカ乗っ取り工作も水面下で行われたり，半導体製造からサプライチェーンが脅威にさらされたりして，半導体製造拠点の見直しが以下のように進んでいる。

＜米国＞

・サムスン

－テキサス州オースティン郊外に170億ドルのチップ工場（2022年建設開始，2024年後半に稼働開始）

－テキサス州シャーマン郊外に300億ドルのウェハ工場

・インテル

－アリゾナ州に2つの工場建設計画

・TSMC

－アリゾナ州に120億ドルの工場

＜日本＞

・TSMC

－熊本県菊陽町に8000億円の工場，日本政府が50％投資（2022年建設開始，2024年稼働開始）

＜EU＞

・27ヵ国に半導体研究および工場の資金援助を決めた。

半導体製品については，SEMI E169半導体装置情報システムセキュリティガイドラインがある。その装置を製造する設備の生産システムセキュリティはIEC62443になる。

4.5医療業界のサイバーセキュリティ

新型コロナ禍でありながら，サイバー攻撃の被害を受けた病院は世界中に多くある。停電になり手術ができなくなったり，冷蔵管理している薬の保管にも影響があり，透析装置が使えなくなったりで，非常時の発電機の需要が高くなった。ランサムウェア攻撃の身代金支払いを拒否して病院の情報システムを造り変える病院も少なくない。

医療品の製造工場もサイバーセキュリティ対策が求められる対象製品がある。それは，手術用ロボットであり，透析装置であり，病院の医療設備で使用する製品である。

米国FDAからは2018年10月に，「医療製品販売前届け出前のサイバーセキュリティ管理に関するガイダンス」（2014年発行の改訂版の草案）が出され，2020年5月に「国際医療機器規制当局フォーラム（IMDRF：International Medical Device Regulators Forumによる医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について」が出されている。それ以降フォーラムやディスカッションなどのイベントが開催された。

日本では，2018年7月に厚生労働省から「医療機器のサイバーセキュリティの確保に関するガイダンス」が発行されている。

5．産業界に共通した製造サイバーセキュリティ基準規格IEC62443を深めるには

製造する製品のサイバーセキュリティ対策ガイダンスは，各産業における標準化団体が発行しており，その製品を開発設計する組織の実務能力基準はIEC62443-4-1にある。このため，その製品のサイバーセキュリティガイダンスに書かれている基準を満たせば良いが，その製品を構成する制御製品については，IEC62443-4-2認証を取得している制御製品を採用することで，その製品のサイバーセキュリティ実務能力検証テストの一部がカバーできる。

どの産業でも共通しているのは，サイバーセキュリティ対象製品の脅威リスクモデル設計を実施することであり，その脅威リスクモデル設計で明らかとなった防御モデルを実装していくことになる。

注）

＊1）https://www.jetro.go.jp/biznews/

2021/09/3e7758d46c78058a.html