世界初、制御システムのセキュリティマネジメントシステム認証制度が開始

　一般財団法人日本情報経済社会推進協会（JIPDEC）は25日、世界初の制御システム・セキュリティマネジメントシステム（CSMS：Cyber Security Management System）認証制度を開始すると発表した。第一弾として、三菱化学エンジニアリング株式会社と横河ソリューションサービス株式会社が認証を取得した。

制御システムセキュリティの必要性

　制御システムは、電力・ガス・石油・化学・鉄鋼業におけるプラントや機械、食品などの生産・加工ラインといった社会インフラを統括的に管理するためのシステム。従来は専用システムとして構成され、外部ネットワークとは切り離されていたため、セキュリティ上の脅威はほとんど意識されてこなかった。

　ところが近年、制御システムもオープン化が進み、ネットワークに接続されるようになった結果、サイバー攻撃の対象となる危険性が指摘され、実際にサイバー攻撃によって制御システムが停止に追い込まれた事例も発生。中には、イランの原子力発電所のウラン濃縮用遠心分離機の制御装置が不正操作されたという重大な事例も存在する。

組織のマネジメントシステム

　IEC（国際電気標準会議）においては、制御システムのセキュリティ関連として、IEC 62443シリーズの規格化が進められている。このシリーズは1つの分野に特化することなく、制御システム分野の共通的な規格とされており、制御システムの利用者、装置製造者のそれぞれで広く活用できるものとなっている。

　詳細にみると、製品の制御システムセキュリティ国際標準として「IEC 62443-4（部品層におけるセキュリティ機能や開発プロセス要件）」が、組織の管理体制としては「IEC 62443-2-1（組織に対するセキュリティマネジメントシステム）」が開発されている。

　今回、IEC 62443-2-1規格を活用し、制御システムセキュリティマネジメントシステム（CSMS）において、実際に認証サービスが提供できる体制を構築し、関係者間の合意を得ることができた。これに伴い、JIPDECによる認証サービスを開始し、同時に認証を取得した認証機関による認証サービスを開始する体制も整ったとし、今回の発表に至った。

CSMS認証のメリット

　CSMS認証を取得することで、社内のセキュリティガイドラインの改善や、社員の意識や取り組みの向上など、制御システムに関するセキュリティ対策の持続的な向上が期待できるという。また、取引先などに対しても、自社の制御システムに関するセキュリティマネジメントシステムが国際標準に適合していることを客観的に示せるようになる。

　実際に認定・認証審査を行った結果、三菱化学エンジニアリング株式会社と横河ソリューションサービス株式会社が認証を取得。その結果も踏まえ、制御システムに対するセキュリティ対策の実効性を継続的に向上するなどの効果が確認できたとし、産業・社会基盤を保護する重要な手段としてCSMS認証の普及を促す方針。