【特別記事】
本格的SCM参画に求められる セキュリティ対策実務能力とは(その3)
1.はじめに
IEC62443-4-1の認証を取得しても,プロテクト実装できなければ,サイバー攻撃に強い製品はできない。また,サイバー攻撃に強い製品が作れても,システムに組み込まれて,その役割が活かされなければ役には立たない。システムの目的を果たすことは当然として,セキュリティ対策は製品単独でなく,システムとしてセキュリティ対策がとれていなければ,「対策ができている」とは言えない。さらにそれとは関わりなく,今後も様々なサイバー攻撃手法が登場してくることから,それらにも対応しなければならない。
今は,たとえサイバー攻撃に強くてもひとたび脆弱性が発見されると,それを悪用して侵入し,制御機能や監視機能を損ねる攻撃からはシステムを守ることはできない。この現実を認識し,実現と維持する方法を学び,体制を造った上で継続することが求められる。つまり,マネジメントシステムを基盤に,セキュリティ要件を実現することが肝要である。
2.ISO9001とIEC62443
マネジメントシステムと言えば,ISO9001である。管理基準書や手順書の一部を変更したら,認証更新をしなければならない。
製品開発のISO9001では,製品管理基準書があって,設計基準書があって,設計手順書がある。製造のISO9001では,工程管理基準書があって,工程設計基準書があって,工程手順書がある。
品質保証では,品質管理基準書があって,品質検査基準書があって,品質検査手順書がある。
サービスプロバイダやシステムインテグレータには,システム設計基準書があって,システム設計手順書がある。さらに,工場では,工場管理基準書があって,工場管理手順書がある。
これら基準書と手順書のにIEC62443のセキュリティ要件を書き加えることになる。(図1)
3.IEC62443-4-1
IEC62443-4-1は,製品開発組織や製品開発環境を対象にしたセキュリティ要件をまとめた基準規格である。(図2)
IEC62443-4-1の要件は,Practice 1から8まである。
・[Practice 1]:セキュリティ管理(Security management)
要求項目は13項目。それを整理すると,製品のライフサイクルをベースに製品開発プロセスを定義すること。製品開発における担当者の役割や責任を識別して定義すること。製品開発環境セキュリティとそのセキュリティレベル維持管理を定義すること。製品開発前にそれぞれの役割と責任を果たせるように,セキュリティ管理や実装技術などの多層防御に関する専門知識を持つための教育を実施すること。これらを継続していくために改善する仕組みを持つこと,である。
製品開発プロセスで,パートナ企業がいる場合は,そのパートナ企業の関わる組織を含めて要件を満たす必要がある。そのために,パートナ企業の組織を監査することが必要となる。
・[Practice 2]:セキュリティ要件の指定(Specification of security requirements)
製品セキュリティコンテキストを定義すること。製品やシステムの脅威リスクモデル設計を実施すること。IEC62443-4-2の製品セキュリティ要件を満たすことを定義すること(システムの場合はIEC62443-3-3になる)。製品セキュリティ要件の内容を定義すること。セキュリティ要件のレビューを実施すること。
・[Practice 3]:設計によるセキュリティ実現(Secure by design)
安全設計を原則とすること。多層防御設計を基本とすること。セキュリティ設計レビューを実施すること。セキュアな設計のベストプラクティスを実施すること。
・[Practice 4]:セキュアな実装(Secure implementation)
セキュリティ実装を実現し,レビューで確認すること。プログラムコーディングは全てセキュアコーディングを標準とすること。
・[Practice 5]:セキュリティ検証と適合性保証のテスト(Security verification and validation testing)
セキュリティ要件のテスト,脅威低減テスト,脆弱性テスト,侵入テスト,テスタの独立性確保を実施すること。
・[Practice 6]:セキュリティ関連課題の管理(Management of security-related issues)
セキュリティ関連問題の受付を設置すること。セキュリティ関連問題のレビューを実施すること。セキュリティ関連問題の評価を実施すること。セキュリティ関連問題の対処機能を有すること。セキュリティ関連問題の情報開示機能を持つこと。セキュリティ欠陥管理実務の定期的なレビューを実施すること。
・[Practice 7]:セキュリティ更新プログラムの管理(Security update management)
セキュリティ更新プログラムの管理機能を持ち,その管理基準書や手順書を持って管理していること。外部依存コンポーネントまたはオペレーティングシステムのセキュリティ更新プロセスの管理基準書や手順書を持って管理していること。セキュリティ更新プログラムをユーザに提供する仕組みがあること。セキュリティパッチをタイムリに提供すること。
・[Practice 8]:セキュリティガイドライン(Security guidelines)
製品の多層防御を維持管理できていること。顧客が多層防御管理するに必要な情報提供ができていること。セキュリティ強化ガイドラインを提示できていること。安全な廃棄に関するガイドラインを提示できていること。安全な運用ができる情報提供ができていること。アカウント管理に必要な情報提供ができていること。ガイドラインを提供する仕組みのレビューができていること,が要求されている。
これらの要求を理解し,実施できる能力を検証する仕組みなどを製品設計管理基準書と手順書に書き加え,これらをそれぞれ説明できることが求められる。
4.IEC62443-4-2とIEC62443-3-3
IEC62443-4-2は,製品(コンポーネント,デバイス)を対象にしたセキュリティ要件をまとめた基準規格である。IEC62443-3-3は,システムを対象にしたセキュリティ要件をまとめた基準規格である。IEC62443-4-2とIEC62443-3-3の要件は,FR1からFR7まである。
・[FR1]:識別と認証制御(Identification and authentication control)
・[FR2]:ユーザコントロール(Use control)
・[FR3]:システムの安全(System integrity)
・[FR4]:データの機密性(Data confidentiality)
・[FR5]:制限されたデータフロー(Restricted data flow)
・[FR6]:イベントへのタイムリな対応(Timely response to events)
・[FR7]:リソースの可用性(Resource availability)
これらの要件は,製品やシステムとして持っていなければならない機能となる。また,それぞれのセキュリティ要件項目に,セキュリティレベル1から4までを仕分けして定義されている。(図3)
これら以外に,IEC62443-4-1のPractice4で要求しているセキュアな実装として,製品やシステムのアーキテクチャに適合した侵入,起動,工作,セッションロックなどのプロテクト機能を装備することで,セキュアな製品やシステムになる。
たとえば,FR3のシステム安全についての基本的考え方であるが,産業機器は,多くの場合,完全性の問題や誤検知事故につながる可能性のある環境条件下で使用される。その環境には,多くの場合,機能安全や機械安全,グループ安全,統合生産安全という最も優先すべき課題もある。さらに,通信配線と信号の完全性に影響を与える条件を引き起こす可能性がある微粒子,液体,振動,ガス,放射,および電磁干渉 (EMI) が含まれている。
たとえば,ネットワークインフラストラクチャ(コンピュータボードのネットワーク線や通信ケーブルやケーブルコネクタ)は,通信の完全性に対するこれらの物理的/環境的な影響を最小限に抑えるためにシールド機能を装備させることを優先して設計する。セキュリティ対策はケーブルに異常検知機能を取り付けなくても,通信のアクセス制限にホワイトリスト機能を付けたり,データ授受の正常を確認するVerification機能を付けたりなどで対策が可能となる。(図4)
5.多層防御
IEC62443では,多層防御の指向が取り入れられている。多層防御は,インフラ設備や工場の設備をサイバー攻撃からいかに守るかを思考する中から,各要素が考えられている。(図5)
多層防御と一言で言っても「工場管理視点から考えたセキュリティプロテクト」と「生産システム単位で考えたセキュリティプロテクト」と「装置や機械やロボット,搬送機単位で考えたセキュリティプロテクト」など項目名は同じでも分類が可能で,アーキテクチャの違いで採用する実装技術が異なる場合がある。
6.プロテクトレベルとセキュリティレベルとマチュリティレベル
工場のプロテクトレベルとシステムのセキュリティレベルと組織能力のマチュリティレベルの関係を図6に示す。
認証機関では,Maturity Level 2の「ドキュメントや社内体制やルールができている段階」で証明書を発行できる制度を採用している場合があるが,実際にプロテクトレベルに達していることを示すのは,Maturity Level 3以上ということになる。
組織能力は,組織を構成する人材能力に寄る。たとえば,Maturity Level 3の能力を有する組織の人材能力構成は,全員がMaturity Level 3であるかというと,現実はそうではない。組織には,初心者もいれば,決まったルールがあれば仕事ができる人材もいる。それらの人材を従えてMaturity Level 3の能力を持つ人材がリーダやレビュー評価を実施できて,Maturity Level 3を組織として維持していることで認証を取得している。
そこでは,それぞれの人材能力をいかに管理して組織構成をするかが,組織責任者の仕事でもある。それには,生産する製品で異なる制御システムのアーキテクチャ別に,IEC62443で定義されたセキュリティ要件を含めた制御システムセキュリティ実装技術や管理手法を学べる人材育成の仕組みと第三者検定システムが必要となる。ところが,その人材育成の仕組みや第三者検定システムがあっても,操業継続している企業にとって,社員が数ヵ月間や数週間現場を離れるためのローテーションを現場で組めるかとなると,それは非常に難しいことである。
そこで,当社ICS研究所では,オンデマンドビデオ講座eICSと制御システムセキュリティ実務能力検定をリモートで受けられるように整備している。これを採用することで,現場のローテーションを維持しながら,人材育成を実現できる。
7.リスクアセスメントと脅威リスクモデル設計
リスクアセスメントの方法は,IEC62443-3-2に定義されている。その手法を基に,安全のリスクアセスメントと同じフローにサイバーセキュリティリスクアセスメントを整理してみた。(図7)
リスクアセスメントを実施する対象となるシステムや装置や機械やロボット・搬送などは,それぞれアーキテクチャが異なる。そのアーキテクチャが異なるものに,脅威リスクモデル管理表を基に脅威リスクモデル設計を施すことで,製品やシステムの要求仕様書や立ち合い試験項目やガイドラインが正しいかをチェックすることができる。(図8)
この脅威リスクモデル設計の手法も,当社のオンデマンドビデオ講座eICSで学ぶことができる。