2014.04.25
プレスリリース
サイバーセキュリティマネジメントシステム(CSMS)認証制度の確立について
サイバー攻撃から制御システムを守るための対策の必要性が急速に高まっている中で、世界初の制御システムのセキュリティマネジメントシステム(CSMS)認証制度が始動。
2014年5月30日
一般財団法人日本情報経済社会推進協会
~国際標準に準拠した認証を日本企業が取得しました。~
近年、社会・産業基盤を支える制御システムを巡り、これらをサイバー攻撃から守るためのセキュリティ対策の必要性が論じられている。一般財団法人日本情報経済社会推進協会(JIPDEC)では、制御システムのセキュリティマネジメントシステムCSMS<注1>認定・認証審査を実施した結果、この度、三菱化学エンジニアリング株式会社及び横河ソリューションサービス株式会社がCSMS認証を取得いたしました。
その結果を踏まえて、実際に認証サービスが提供できるような体制が整いましたので、公表いたします。
なお、CSMS認証制度の確立につきましては、経済産業省の平成24年度補正予算事業「グローバル認証基盤整備事業」のテーマの一つとして、「制御システムセキュリティ認証基盤整備事業」を実施し、その成果を活用しています。
注1:CSMS :Cyber Security Management System for IACS (Industrial Automation and Control System) 制御システムに関するセキュリティマネジメントシステム
制御システムセキュリティの必要性
制御システムは、エネルギー分野(電力、ガス等)や石油・化学、鉄鋼業等におけるプラントや機械・食品等の生産・加工ラインなどを統括的に管理することを目的としたシステムである。制御システムは、従来、専用のシステムとして構成され、外部ネットワークとは接続されていなかったことから、セキュリティ上の脅威はほとんど意識されてこなかった。しかし、近年、制御システムを巡る環境は、サイバー攻撃から守るためのセキュリティ対策の必要性が論じられている。
最近、業務システム向け汎用技術の活用が進んだ結果、独立したシステムとしての運用が行われなくなった。その結果、いわゆるサイバー攻撃の対象となりうる状況が起きている。実際に、制御システムを巧みに狙ったサイバー攻撃により、制御システムが停止に追い込まれた事例<注2>も発生しているところである。
このような制御システムをサイバー攻撃から守るためのセキュリティ対策の必要性については、制御システムの製造やオペレーションを行う企業にとって喫緊の課題である。
注2:イランの原子力発電所のウラン濃縮用遠心分離機の制御装置がサイバー攻撃により実際に不正操作させられたという事件が報道された。(米紙ニューヨーク・タイムズ(2012/6/1付))
組織のマネジメントシステム
IEC(国際電気標準会議)においては、制御システムのセキュリティ関連として、IEC 62443シリーズの規格化を進めている。このシリーズは、一つの分野に特化することなく、制御システム分野で広く共通的な活用ができる規格とされており、制御システムの利用者、装置製造者のそれぞれで広く活用できる規格となっている。
IECにおいても、製品の制御システムセキュリティの国際標準としてIEC 62443-4(部品(装置・デバイス)層におけるセキュリティ機能や開発プロセス要件)が、組織の管理体制に対してはIEC 62443-2-1(組織に対するセキュリティマネジメントシステム)が開発されている。
CSMS認証基準としては、IEC 62443-2-1規格を活用し、制御システムセキュリティマネジメントシステムCSMSについて、適切な認証体制を構築し、実際に認証サービスが提供できるような体制について関係者間の合意を得ることができた。
CSMS認証のメリット
CSMS認証を取得することで、社内のセキュリティガイドラインの改善や、社員の意識や取り組みの向上等により、制御システムに関するセキュリティ対策の持続的な向上が期待できる。また、取引先等に対しても、自社の制御システムに関するセキュリティマネジメントシステムが、国際標準に適合していることを客観的に示すことができる。
今後、制御システムの製造やオペレーションを行う多くの企業がCSMS認証を取得することで、社会全体の制御システムのセキュリティ対策が持続的に向上することが期待される。
今後の展開
CSMSは、マネジメントシステムの観点から、制御システムに対するセキュリティ対策の実効性を継続的に上げる等の効果があることが確認できたため、CSMS認証の普及を促すことが、産業・社会基盤として重要な手段と考えられる。
今後、実際にCSMS認証を、認定を得た認証機関が実施する体制を踏まえ、一般財団法人日本情報経済社会推進協会(JIPDEC)による認定サービスを開始し、それと同時に、認定を取得した認証機関による認証サービスを開始できる体制が整った。これにより、制御システム事業者等が、国際的にビジネスを進める上で戦略的にマネジメントシステム認証の結果を活用することが望まれる。
■本件に関するお問い合わせ先
一般財団法人日本情報経済社会推進協会 情報マネジメント推進センター
TEL 03-5860-7570 FAX 03-5573-0564