【ウェビナー解説記事】工場のサイバーセキュリティ対策における強い味方！IEC 62443の実践方法とは

※本記事は、2024年8月22日に開催したTXOneウェビナーの内容をまとめたものです。

はじめに

IEC 62443は、産業用オートメーションおよび制御システム（IACS）のセキュリティを確保するための国際標準規格です。本ウェビナーでは、その中でもIACSのシステムセキュリティフレームワークにあたる「IEC 62443-3-3」の概要を中心に、TXOneのソリューションを活用した実践的な対応方法について解説しました。

アジェンダ

• 製造業でのサイバーセキュリティ対策の重要性が高まっている理由（内的要因）
• 製造業でのサイバーセキュリティ対策の重要性が高まっている理由（外的要因）
• IEC62443の概要
• TXOne Networks 製品概要紹介
• TXOne Networks製品を用いたIEC62443対応
• まとめ

ウェビナー開催の背景

生成AIに「IEC 62443とは？」と尋ねると、「産業用オートメーションおよび制御システムのセキュリティを確保するための国際標準規格」と回答が返ってきます。しかし実際には、様々な制御システムの視点に立った包括的かつ実践的なセキュリティガイドラインです。
その名称だけでは内容がイメージしづらいことから、OTセキュリティ現場により身近に感じていただけるよう、今回のウェビナーを開催しました。

ウェビナー視聴対象者

本ウェビナーは、以下のような方々に向けてIEC 62443を解説しました。

• 工場のセキュリティ強化に取り組んでいる方
• 産業制御装置のセキュリティ対策を担当されている方
• 工場のセキュリティ強化を支援するサービスベンダーの方

製造業でのサイバーセキュリティ対策の重要性が高まっている理由（内的要因）

はじめに、製造業で対策の必要性が増している「内的要因」について解説しました。
上記のスライドでは、OT環境におけるサポート終了OSの割合が年々増加している様子を示しています。

このことを踏まえ、OTセキュリティの重要性が高まってきている主な理由は以下の2点です：

1.産業用機器の長寿命性
産業用設備は10年〜20年といった長期間の運用が前提であり、OSのサポートが終了しても引き続き使わざるを得ないことが多いためです。ITのOSは通常5年前後でサポートが終了するため、OTとIT間でライフサイクルのズレが生じます。

2.DX化による接続環境の変化
従来スタンドアローンやエアギャップだった制御システムが、DXの進展によりネットワーク接続される機会が増え、結果としてセキュリティリスクが高まっています。

製造業でのサイバーセキュリティ対策の重要性が高まっている理由（外的要因）

次に、製造業が直面する「外的要因」について説明しました。
スライドでは、攻撃者がどのように侵入し、どのような被害が発生しているかを説明しています。主な被害は以下の3種類に分類できます：

1.破壊目的の攻撃
2.機密情報の窃取
3.金銭要求（ランサムウェア）

仮想通貨の普及により、身代金要求型攻撃（ランサムウェア）の手口がますます巧妙化・容易化しています。

当社が発行した『OT/ICSサイバーセキュリティレポート 2023』によると、アジアでは特に製造業がランサムウェア攻撃の主要ターゲットとなっているという結果が出ています。

　　

IT/OTの統合化がもたらす危機：OT/ICSサイバーセキュリティレポート 2023

OT/ICSサイバーセキュリティレポートでは、TXOne NetworksがFrost&Sullivanと協力して2023年に収集したデータを分析し、現代の産業用制御システム（ICS）とオペレーショナルテクノロジー（OT）を取り巻く脅威動向の変化についてまとめています。

IEC62443の概要

IEC62443について生成AIを確認すると、「IEC 62443は、産業用オートメーションおよび制御システム（IACS）のセキュリティを確保するための国際標準規格」の説明から始まります。これは間違いないのですが、もう少しブレイクダウンすると、工場やプラントを持っている組織や、産業装置を提供している組織の方が気にすべき、国際標準規格と言えるでしょう。

「IEC 62443」は、工場やプラントなどの産業資産を有する組織、または産業機器を提供する企業にとって重要な国際規格です。
世界各国では、産業分野におけるサイバーセキュリティ関連の法律や制度が定められており、日本においても以下のような取り組みがあります：

• 内閣府による「基幹インフラ役務の安定的な提供の確保に関する制度」
• 経済産業省による「IoT製品に対するセキュリティ適合性評価制度」

これらに準拠する際にも、IEC 62443は信頼性の高いガイドラインとして参考になります。

一方で、欧州の「サイバーレジリエンス法（CRA）」では、IEC 62443の実施だけで完全に対応できるとは限りません。別途の対応が求められることもあります。

下図は、IEC 62443の全体構成を示したものです。対象は以下の3カテゴリに分類されます：

• 資産所有者向け
• システムインテグレーター向け
• 製品サプライヤー向け

特に、IEC 62443-3-3は「システムを導入・運用する際のセキュリティ対策」、IEC 62443-4-2は「製品に求められるセキュリティ要件」が規定されています。

製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

おすすめ記事

　　

産業用制御システムにおけるセキュリティガイドライン「ISA/IEC 62443」実践ガイド

TXOneソリューションで国際規格ISA/IEC 62443実施の簡素化を実現するための方法を解説します。

　　

NIS2指令を理解し準拠するためのサイバーセキュリティ対策とは

本レポートは、NIS 2指令に焦点を当てたEUサイバーセキュリティ法の簡易ガイドを提供し、企業がこれらの規制に対応するための実践的なアドバイスを提供します。

　　

NIST CSF 2.0入門：統治から復旧までの全プロセスを解説

NIST CSF 2.0の概要や新たな追加機能を中心に、その実践方法や中小企業における対応プロセスについて詳しく解説します。