IEC 62443とOTセキュリティとは? 重要性・対策を解説
........
- 更新日
- 2023.09.27
- 公開日
- 2023.05.24
設備機器の安定稼働、悪意を持つハッカーに脅かされているかもしれません。サイバー攻撃対策に活用できる「国際標準規格:IEC 62443」とOTセキュリティについて解説します。
INDEX
1. もし、サイバー攻撃の被害を受けたら
生産機器システムの自動化やリモート対応、クラウドやAIを用いた高度化が進む一方で、サイバー攻撃の脅威が高まっています。悪意を持つハッカーによって、工場などの制御システムが攻撃され、大規模な被害が生じる報道もよく耳にするようになりました。
<サイバーインシデントの事例>
・アルミニウム工場の生産一時停止(2019年/ノルウェー)
・大手自動車メーカ工場の操業停止(2020年/日本)
・石油輸送のパイプライン停止(2021年/アメリカ)
ある日突然、生産ラインが停止してしまうと、再開へのステップも容易ではありません。また、攻撃された機器はハッカーの踏み台にされ、さらに次の標的へのサイバー攻撃に発展する恐れもあります。このような場合は、被害者から損害賠償を請求される可能性もあります。
2. 世界で進む、サイバーセキュリティ規格への取り組み
巧妙化するサイバー攻撃の脅威に対して、どのような取り組みが行われているでしょうか。一定水準のセキュリティレベルを担保するために、産業分野ごとに標準規格が準備されています。工場/各種プラントなどの制御システム向けには、国際標準化団体“IEC※”が「IEC 62443」を発行しています。
「IEC 62443」は、数あるセキュリティ規格の中でも汎用的で、さまざまな観点からのセキュリティ対策がまとめられています。個別の機器(コンポーネント)やシステムから、関与する組織の管理体制まで言及しているため、機器の設計・開発・生産・保守のライフサイクル全般において、セキュリティ対策の指標として活用することができます。
※IEC:International Electrotechnical Commission
3. OT(Operational Technology)セキュリティとは?
サイバーセキュリティは、ITセキュリティとOTセキュリティの2分野に大きく分けられます。
・IT(Information Technology)セキュリティ:
コンピュータや情報通信技術を対象とした、情報を守るためのセキュリティ。
・OT(Operational Technology)セキュリティ:
工場や社会インフラの制御機器が、安定稼働するためのセキュリティ。
ITセキュリティは、PCへウイルス対策ソフトをインストールするなど一般的にも浸透しています。一方で、製造現場のOT機器(制御機器)は、外部接続されない独立した環境に置かれることが多かったため、サイバー攻撃の対象としてはあまり想定されてきませんでした。
4. OTセキュリティの必要性
昨今の 製造業のDX化、スマート工場といった最新デジタル技術を用いるシステムでは、OT機器はインターネットを介してクラウドに接続されるエンドポイントになります。エンドポイントとなるOT機器は、AIなどを用いた高度な制御が期待されますが、悪意を持ったハッカーからインターネットを通じてサイバー攻撃を受けるリスクが伴います。
OT機器へのサイバー攻撃は、生産ラインの停止による損害のみならず、機器の破壊や意図しない動作によって人命に関わる恐れもあることから、慎重なセキュリティ対策が求められます。
5. OTセキュリティ対策のポイント
前述したIEC 62443には、組織としてセキュアな運用・保守の成熟度を高める活動と、機器自体のセキュリティ保護レベルを上げる活動が含まれています。IEC 62443の規格認証を受けたメーカーや機器は、世界基準のセキュリティ対応が施されていることが実証されますので、社会的な信頼度も高まります。
セキュリティ対策を重要視する事業者では、 IEC 62443を機器の採用基準に挙げる事例も出てきており、セキュリティ対策のスタンダードとして活用できます。また、EUではセキュリティ対策の法令化が先行して進んでおり、「サイバーレジリエンス法」や「NIS2指令」の運用開始が控えています。今後の各国における法令化にも対応していく必要があります。
6. サイバーセキュリティ規格のスペシャリストに聞いてみよう