まえがき
事業戦略におけるマーケティングの一つに、PEST分析があります。世界中で起きていることが自社の事業にどのようにかかわっているのかを確認し、事業コストの変動やこれから何が起きるのかを予測する知能的活動にもPEST分析の状況整理は不可欠であります。
事業戦略におけるマーケティングの一つに、PEST分析があります。世界中で起きていることが自社の事業にどのようにかかわっているのかを確認し、事業コストの変動やこれから何が起きるのかを予測する知能的活動にもPEST分析の状況整理は不可欠であります。
1. 今、世界で起きていること: PEST分析
図は、2024年2月にアップデートしたものです。
2023年の年始頃から、欧米大手企業がサプライチェーンにつながる主要な日本企業にアンケートを実施しており、その項目の中にはサイバーレジリエンスに関する質問も含まれていたそうです。
そこで、今回取り上げるテーマは、「欧米大手企業がサプライチェーンで対応している操業継続に不可欠なサイバーレジリエンス能力強化対策」としました。近年の世界の流れとして、中国政府の強硬なコロナ政策と中国経済政策破綻だけでなく、米国のグリーン政策で北米での石油採掘やシェールガス産出を止めて輸出から輸入に政策方針転換したことでエネルギー価格が高騰し、工場の電気代高騰や輸送コストの高騰になったことで、事業コストの事態の見直しが発生しています。そして、高まるサイバー攻撃リスクに対抗していくため、法規制が変わることで、事業継続に必要とされる対策が明確になってきたことに起因します。
2024年になると、ハマスのイスラエル攻撃に始まって、イエメンのフーシ派武力勢力による航行船舶攻撃・拿捕でスエズ運河の船舶通航が不可となり、南アフリカ航路に変更、それにより物流コスト高騰しました。さらにパナマ運河周辺の気候変動によりパナマ運河の運用に必要な水源不足し、一日に31隻通過できていたのが、18隻前後に減少しました。これにより、パナマ運河通行渋滞が発生し、アメリカ大陸横断の物流量を制限せざる負えない事態となっています。
これらの問題で、大手企業の材料調達から生産拠点から製品供給などのサプライチェーン再編成を実施しなければならない事態になっております。
そこで、今回取り上げるテーマは、「欧米大手企業がサプライチェーンで対応している操業継続に不可欠なサイバーレジリエンス能力強化対策」としました。近年の世界の流れとして、中国政府の強硬なコロナ政策と中国経済政策破綻だけでなく、米国のグリーン政策で北米での石油採掘やシェールガス産出を止めて輸出から輸入に政策方針転換したことでエネルギー価格が高騰し、工場の電気代高騰や輸送コストの高騰になったことで、事業コストの事態の見直しが発生しています。そして、高まるサイバー攻撃リスクに対抗していくため、法規制が変わることで、事業継続に必要とされる対策が明確になってきたことに起因します。
2024年になると、ハマスのイスラエル攻撃に始まって、イエメンのフーシ派武力勢力による航行船舶攻撃・拿捕でスエズ運河の船舶通航が不可となり、南アフリカ航路に変更、それにより物流コスト高騰しました。さらにパナマ運河周辺の気候変動によりパナマ運河の運用に必要な水源不足し、一日に31隻通過できていたのが、18隻前後に減少しました。これにより、パナマ運河通行渋滞が発生し、アメリカ大陸横断の物流量を制限せざる負えない事態となっています。
これらの問題で、大手企業の材料調達から生産拠点から製品供給などのサプライチェーン再編成を実施しなければならない事態になっております。
2. EU市場におけるサイバーセキュリティ法規制
欧州市場の重要インフラや産業大手企業のサプライチェーン工場に装置や機械や制御製品を販売している企業にとってサイバーセキュリティ関連の法規制で関連する法は図にある通りです。
上図は、各法律がどの様な立て付けになっているかを示しております。
次に特に影響を受ける法律について取り上げていきます。
次に特に影響を受ける法律について取り上げていきます。
2-1 「機械規則」
CEマーキングにカテゴライズされる一部(Annex I, Part A)の製品は
で、セキュリティ第三者認証が必要となります。
規制開始日は、
執行日: 2023年7月19日
適用日: 2023年7月19日から順次(第三者認証関連は2027年1月20日)
となっています。(注: 定義の仕方で日にちが前後する場合があります。)
- 取り外し可能な機械式トランスミッション装置(そのガードを含む)
- 取り外し可能な機械式トランスミッション装置のガード
- 車両整備用リフト
- ポータブルカートリッジ式固定装置及びその他の衝撃装置
- 全体または一部に機械学習を用いる、安全機能を確保するコンポーネント
- 全体または一部に機械学習を用いる、安全機能を確保するシステムを有する機械(安全機能システム単独で上市されるものを除く)
で、セキュリティ第三者認証が必要となります。
規制開始日は、
執行日: 2023年7月19日
適用日: 2023年7月19日から順次(第三者認証関連は2027年1月20日)
となっています。(注: 定義の仕方で日にちが前後する場合があります。)
2-2 「 EU Cyber Resilience法」
EU Cyber Resilience法は、2023年12月20日に全面改訂されています。
「EU Cyber Resilience法」では、生産システムや情報システムを構成するセキュリティデバイス製品の第三者認証取得義務を求めております。
現在の指定案では、
Critical Product with Digital Elements 第三者認証必須
セキュリティボックスを備えたハードウェアデバイス
指令(EU)2019/944の第2条(23)に定義されるスマートメータリングシステム内のスマートメータゲートウェイ、及びセキュアな暗号処理用を含む高度なセキュリティ目的のその他のデバイスセキュアエレメントを含む、スマートカードまたは類似のデバイスImportant Product with Digital Elements ClassⅠ 整合規格がない、または欧州サイバーセキュリティ認証(substantial以上)がないものは第三者認証必須となっております。
Important Product with Digital Elements Class I
Class II 第三者認証必須
生産設備の装置や機械やロボットや制御盤などは、Product with Digital Elementとして、自己適合宣言可となっております。
「EU Cyber Resilience法」では、生産システムや情報システムを構成するセキュリティデバイス製品の第三者認証取得義務を求めております。
現在の指定案では、
Critical Product with Digital Elements 第三者認証必須
セキュリティボックスを備えたハードウェアデバイス
指令(EU)2019/944の第2条(23)に定義されるスマートメータリングシステム内のスマートメータゲートウェイ、及びセキュアな暗号処理用を含む高度なセキュリティ目的のその他のデバイスセキュアエレメントを含む、スマートカードまたは類似のデバイスImportant Product with Digital Elements ClassⅠ 整合規格がない、または欧州サイバーセキュリティ認証(substantial以上)がないものは第三者認証必須となっております。
Important Product with Digital Elements Class I
- ID管理システム、アクセス管理ソフトウェア及びハードウェア(認証およびアクセス制御リーダー (生体認証リーダーを含む) を含む)
- スタンドアロン型/組込み型ブラウザ
- パスワードマネジャー
- マルウェア検知・削除・隔離ソフトウェア
- VPN機能を持つ製品
- ネットワーク管理システム
- SIEM(セキュリティ情報イベント管理)
- ブートマネジャー
- 公開鍵インフラ及びデジタル証明書発行ソフトウェア
- 物理・仮想ネットワークインターフェイス
- OS
- ルータ、モデム、スイッチ
- セキュリティ機能を持つマイクロプロセッサ
- セキュリティ機能を持つマイクロコントローラ
- セキュリティ機能を備えた特定用途向けASIC、FPGA
- スマートホーム汎用バーチャルアシスタント
- スマートドアロック、セキュリティーカメラ、ベビーモニターシステム、アラームシステムなど、セキュリティ機能を備えたスマートホーム製品
- 指令 2009/48/EC の対象となるインターネットに接続された玩具、ソーシャルインタラクティ ブ機能(会話や撮影など)を有するもの、または位置追跡機能を有するもの
- 健康監視(追跡など)を目的とし、規則(EU)2017/745や(EU)2017/746が適用されない、人体に装着or設置される個人用ウェアラブル製品、また子どもによる使用や子どものための使用を意図した個人用ウェアラブル製品
Class II 第三者認証必須
- OSや同様の環境の仮想化を実施するためのハイパバイザー及びコンテナー・ランタイム・システム
- ファイアウォール、侵入検知・防止システム
- 耐タンパー性マイクロプロセッサ
- 耐タンパー性マイクロコントローラ
生産設備の装置や機械やロボットや制御盤などは、Product with Digital Elementとして、自己適合宣言可となっております。
2-3 「AI法」
AIを搭載しているデジタル製品は、AI法に基づいた管理が義務化されます。その対象製品の識別をしている項目の中に、ハイリスクAIシステムがあり、その範囲のAnnex II Section Aに記載されているものは、各法令で第三者認証が求められるものを指定しています。その「各法令」に該当するものに、「・機械指令 ・医療機器規則 ・防爆指令 ・無線機器指令」などがあります。
機械規則では、「全体または一部に機械学習を用いる、安全機能を確保するコンポーネント」と「全体または一部に機械学習を用いる、安全機能を確保するシステムを有する機械(安全機能システム単独で上市されるものを除く)」が明記されております。この機械学習機能がAI搭載になります。
機械規則では、「全体または一部に機械学習を用いる、安全機能を確保するコンポーネント」と「全体または一部に機械学習を用いる、安全機能を確保するシステムを有する機械(安全機能システム単独で上市されるものを除く)」が明記されております。この機械学習機能がAI搭載になります。
3. 米国市場
米国においても各産業の大手企業でサプライチェーンのサイバーレジリエンス強化対策として、設備のサイバーセキュリティ対策強化に乗り出している企業があります。
3-1 米国国防総省による「CMMC制度」
米国国防総省では、防衛産業のサプライチェーンの供給能力と機密保持能力を維持するために、調達サプライチェーンを対象にしたサイバーセキュリティ成熟度モデル認証制度CMMC(CYBERSECURITY MATURITY MODEL CERTIFICATION)を敷いております。
https://dodcio.defense.gov/CMMC/
https://dodcio.defense.gov/CMMC/
米国国防省の調達先の企業は、世界で約30万社に及ぶと言われております。
国防総省の調達部門が直接調達している企業の審査基準はLevel 3です。
調達先の設備調達に関しては、Level 2です。
また、Level 2でも、国防総省指定の認証機関の認証審査を受ける対象と自己適合宣言可対象があります。
基本的取引基準は、Level 1の17項目になります。
国防総省の調達部門が直接調達している企業の審査基準はLevel 3です。
調達先の設備調達に関しては、Level 2です。
また、Level 2でも、国防総省指定の認証機関の認証審査を受ける対象と自己適合宣言可対象があります。
基本的取引基準は、Level 1の17項目になります。
4. 法規制により市場はどのような動きになるのか
制御製品ベンダ、装置ベンダ、機械ベンダ、ロボットベンダにとって、これらの法規制で何を考えなければならないかについて述べていきます。
EU市場においては、工場審査のNIS2.0があります。工場審査で法規制違反が確認されると罰則規定に従うことになることを念頭に置いて以下を読んでください。
EU市場においては、工場審査のNIS2.0があります。工場審査で法規制違反が確認されると罰則規定に従うことになることを念頭に置いて以下を読んでください。
4-1 機械規則の制定で何が起きるか
機械規則が制定されたことで工場のオーナーが今後どう動いていくかについて一緒に考えてみましょう。
2023年7月の機械規則制定の公開情報を見て、工場オーナーは、工場内の設備管理リストにあるCEマーキング対象製品のセキュリティ第三者認証取得の有無を確認しています。
次に設備や装置、機械、ロボットなどの供給ベンダに、現在使っているデジタル製品のセキュリティ第三者認証取得を要請することになります。10年前や15年前の設備のデジタル製品は、コストパフォーマンスを発揮するために必要最小限の制御に必要な機能や性能のハードウェアを使っているものが多くあります。よって、セキュリティの追加機能を乗せられるようになっていません。
また、仮にIEC62443-4-2やIEC62443-3-3で要求するセキュリティ機能や性能を追加できるハードウェアであったとしても、製品開発におけるプロセスを満たしていないことから、そのままセキュリティ認証を取得することは難しいです。そこで、IEC62443-4-2やIEC62443-3-3の要求を満たす新規開発製品を開発することになります。
工場オーナーは、工場設備の情報システムや生産システムのサイバーインシデント検知機能を整備することが求められていますので、その実現をラインビルダーやシステムインテグレータへ求めていくことになります。それを受けて、工場のラインビルダーやシステムインテグレータは、IEC62443-3-3のシステム要求からIEC62443-2-4のラインビルダー/システムインテグレータへの要求項目を学びそれを実現するシステム設計上の多層防御技術を身につける必要があります。
工場のオーナーは、セキュリティ第三者認証取得済みのCEマーキング製品で設備管理リストを完成しなければなりませんから、2024年から2026年末までは、リフレッシュ工事への投資計画を立てて、これを実施していくことになります。
また、デジタル製品の脆弱性識別情報管理を実施するには、デジタル製品を供給するベンダとの間に、自動車業界のCatena-Xで示されているような、クラウドの企業間連携のインフラを整備して、サプライチェーン上で起きる脆弱性識別情報管理体制を構築することになっていくでしょう。
このように2024年から2026年には、法規制による市場の再編成が行われることが予測されます。再編成後に、「セキュリティ認証を取得したので参入させてください」と言っても、かなり高いハードルになると考えられます。
2023年7月の機械規則制定の公開情報を見て、工場オーナーは、工場内の設備管理リストにあるCEマーキング対象製品のセキュリティ第三者認証取得の有無を確認しています。
次に設備や装置、機械、ロボットなどの供給ベンダに、現在使っているデジタル製品のセキュリティ第三者認証取得を要請することになります。10年前や15年前の設備のデジタル製品は、コストパフォーマンスを発揮するために必要最小限の制御に必要な機能や性能のハードウェアを使っているものが多くあります。よって、セキュリティの追加機能を乗せられるようになっていません。
また、仮にIEC62443-4-2やIEC62443-3-3で要求するセキュリティ機能や性能を追加できるハードウェアであったとしても、製品開発におけるプロセスを満たしていないことから、そのままセキュリティ認証を取得することは難しいです。そこで、IEC62443-4-2やIEC62443-3-3の要求を満たす新規開発製品を開発することになります。
工場オーナーは、工場設備の情報システムや生産システムのサイバーインシデント検知機能を整備することが求められていますので、その実現をラインビルダーやシステムインテグレータへ求めていくことになります。それを受けて、工場のラインビルダーやシステムインテグレータは、IEC62443-3-3のシステム要求からIEC62443-2-4のラインビルダー/システムインテグレータへの要求項目を学びそれを実現するシステム設計上の多層防御技術を身につける必要があります。
工場のオーナーは、セキュリティ第三者認証取得済みのCEマーキング製品で設備管理リストを完成しなければなりませんから、2024年から2026年末までは、リフレッシュ工事への投資計画を立てて、これを実施していくことになります。
また、デジタル製品の脆弱性識別情報管理を実施するには、デジタル製品を供給するベンダとの間に、自動車業界のCatena-Xで示されているような、クラウドの企業間連携のインフラを整備して、サプライチェーン上で起きる脆弱性識別情報管理体制を構築することになっていくでしょう。
このように2024年から2026年には、法規制による市場の再編成が行われることが予測されます。再編成後に、「セキュリティ認証を取得したので参入させてください」と言っても、かなり高いハードルになると考えられます。
4-2 「 EU Cyber Resilience法」制定で何が起きるか
1 工場のサイバーレジリエンス機能設計
サイバー攻撃にも、バラマキ攻撃の巻き添え被害と水飲み場攻撃とピンポイントの標的攻撃があります。戦時のサイバー攻撃になると作戦上の標的型一斉攻撃や多段攻撃などがあります。
法規制では、「インシデントを検知したら24時間以内に報告する義務」が工場のオーナーに課せられております。そこで、工場の生産システムや情報システムにおけるインシデント検知機能整備が重要課題となっております。
そこで、工場オーナーは、ラインビルダーやシステムインテグレータに、インシデント検知機能のセキュリティシステム設計を要請することになります。生産システムや情報システムを標的にしたサイバー攻撃において、インシデント検知や緊急対応やインシデント分析などを目的に設置したセキュリティベンダのデジタル製品もサイバー攻撃に対するセキュリティ機能が必要となりますので、第三者認証対象になります。
サイバー攻撃を受けてもサイバーレジリエンスを実現するには、生産設備が短時間で正常に復旧できなければ操業再開はできません。
その為にも、生産設備の装置や機械やロボットや制御盤が防御保護されて、操業条件を確保していなければなりません。そうなるとIEC62443で求める多層防御機能が不可欠になります。
2 工場の受入検査について
工場の受入検査で入荷されるデジタル製品を都度都度検査するには、その受け入れ検査能力が課題となります。つまり、受入検査で国際規格の基準の基づいたSecurity Level要求のセキュリティ機能や性能を検査することになります。また、その受入検査員は、国際規格で決められたMaturity Levelのセキュリティ審査実務能力を持っている必要があります。検査するには脆弱性テストツールやペネトレーションテストツールなどのテスト環境も必要になります。受入検査の整備投資をしたら、その維持管理を行うことも必要ですし、審査員の教育・訓練も必要になります。
このような投資コストを考えると、購入品は第三者認証取得製品である確認検査だけで対処する方が合理的であると言えます。そこで、欧州サイバーセキュリティ認証が有効利用できるでしょう。
サイバー攻撃にも、バラマキ攻撃の巻き添え被害と水飲み場攻撃とピンポイントの標的攻撃があります。戦時のサイバー攻撃になると作戦上の標的型一斉攻撃や多段攻撃などがあります。
法規制では、「インシデントを検知したら24時間以内に報告する義務」が工場のオーナーに課せられております。そこで、工場の生産システムや情報システムにおけるインシデント検知機能整備が重要課題となっております。
そこで、工場オーナーは、ラインビルダーやシステムインテグレータに、インシデント検知機能のセキュリティシステム設計を要請することになります。生産システムや情報システムを標的にしたサイバー攻撃において、インシデント検知や緊急対応やインシデント分析などを目的に設置したセキュリティベンダのデジタル製品もサイバー攻撃に対するセキュリティ機能が必要となりますので、第三者認証対象になります。
サイバー攻撃を受けてもサイバーレジリエンスを実現するには、生産設備が短時間で正常に復旧できなければ操業再開はできません。
その為にも、生産設備の装置や機械やロボットや制御盤が防御保護されて、操業条件を確保していなければなりません。そうなるとIEC62443で求める多層防御機能が不可欠になります。
2 工場の受入検査について
工場の受入検査で入荷されるデジタル製品を都度都度検査するには、その受け入れ検査能力が課題となります。つまり、受入検査で国際規格の基準の基づいたSecurity Level要求のセキュリティ機能や性能を検査することになります。また、その受入検査員は、国際規格で決められたMaturity Levelのセキュリティ審査実務能力を持っている必要があります。検査するには脆弱性テストツールやペネトレーションテストツールなどのテスト環境も必要になります。受入検査の整備投資をしたら、その維持管理を行うことも必要ですし、審査員の教育・訓練も必要になります。
このような投資コストを考えると、購入品は第三者認証取得製品である確認検査だけで対処する方が合理的であると言えます。そこで、欧州サイバーセキュリティ認証が有効利用できるでしょう。
4-3 「AI法」制定で何が起きるか
装置や機械やロボットなどの動きや制御データなどのデータをクラウドに吸い上げ、AIでテーマ別のAIモデルを作成し、AIモデルの機構モデルを現場の制御コントローラやCNC/NCやロボットコントローラに装備させて制御するといった付加価値が市場では高く評価されております。よって、AI機能付きDCSやPLCやCNC/NCやロボットコントローラなどの制御製品が売れています。
それにより、より品質が高く安定した生産が可能になり、現場における熟練度の低下をカバーしてくれることや競合差別化に貢献します。ところが、現場の装置や機械やロボットや制御盤には、機械安全、機能安全、グループ安全、労働安全、環境安全を目的にした緊急機能や修正機能が制御コントローラの中や外に組み込まれています。AI機能を装備することで新たなサイバーセキュリティの脅威リスクが発生することで安全機能に影響が出るリスクが生じます。ハードウェア的に分離されていてもソフトウェア的に通信や制御コードやレシピなどでつながっているデジタル製品は、AI法による規制を受ける対象になってきます。
また、AIが存在するクラウドへ生産設備から必要なデータや情報を取り出す仕組みにもインシデント検知機能やサイバーレジリエンス機能が必要になってきます。
それにより、より品質が高く安定した生産が可能になり、現場における熟練度の低下をカバーしてくれることや競合差別化に貢献します。ところが、現場の装置や機械やロボットや制御盤には、機械安全、機能安全、グループ安全、労働安全、環境安全を目的にした緊急機能や修正機能が制御コントローラの中や外に組み込まれています。AI機能を装備することで新たなサイバーセキュリティの脅威リスクが発生することで安全機能に影響が出るリスクが生じます。ハードウェア的に分離されていてもソフトウェア的に通信や制御コードやレシピなどでつながっているデジタル製品は、AI法による規制を受ける対象になってきます。
また、AIが存在するクラウドへ生産設備から必要なデータや情報を取り出す仕組みにもインシデント検知機能やサイバーレジリエンス機能が必要になってきます。
4-4 米国国防総省における「CMMC制度」で何が起きるか
CMMC(CYBERSECURITY MATURITY MODEL CERTIFICATION)は、国防総省の調達サプライチェーンを対象にしたサイバーセキュリティ成熟度モデル認証制度です。つまり、国防総省のサプライチェーンにつながる企業は、NIST SP800-171/172にあるサイバーセキュリティ成熟度基準に従って対応することになります。
国防に関する機密情報取り扱いに関するセキュリティクリアランス制度やスパイ防止法などとも関連してくるので、それらの法規制内容についても確認されることをお勧めします。
国防に関する機密情報取り扱いに関するセキュリティクリアランス制度やスパイ防止法などとも関連してくるので、それらの法規制内容についても確認されることをお勧めします。
4-5 法規制により、市場はどう変わっていくのか
デジタル製品のセキュリティ第三者認証の需要が図のように一気に広がることが見込まれます。
特に、重要インフラ産業、自動車産業、半導体製造装置産業、航空機製造産業、医療機器製造産業などが対象となることが予測されます。産業においては2023年年始からサプライチェーンでつながる企業に対して、サイバーセキュリティ対策の実状調査アンケートを実施している企業もあり、基本方針を策定して、サプライチェーン編成構築計画を立てているところもあります。
特に、重要インフラ産業、自動車産業、半導体製造装置産業、航空機製造産業、医療機器製造産業などが対象となることが予測されます。産業においては2023年年始からサプライチェーンでつながる企業に対して、サイバーセキュリティ対策の実状調査アンケートを実施している企業もあり、基本方針を策定して、サプライチェーン編成構築計画を立てているところもあります。
5. これからの市場ものづくり構造
サプライチェーン編成強化で、エンジニアリングチェーン、クオリティチェーン、脆弱性識別情報提供などのセキュリティチェーンを構築するためには、企業内のものづくり基盤となるDXシステムが整備されている必要があります。
その為に、ものづくり現場の業務プロセスや管理プロセス、そして経営プロセスにつながる基盤システムがあり、そこには、モノづくりにおけるBOM(製品構成のBasic BOM/製造やサービスで扱うStructure BOM/課題別のSummary BOM)やデータモデルや情報モデルを扱えるNetwork Database Systemを構築していくこともお勧めします。そこで活躍するのがOPC UAになります。
特に欧米の大手企業のサプライチェーンでは、GAIA-X技術を取り込んだCatena-XやManufacturing-Xや各メーカーにおけるサービス企業間連携などが求められ、サイバーセキュリティ対策及びサイバーレジリエンスを構築する上での実装技術や多層防御技術が具体的に必要になってくるでしょう。
そこでは、IEC62443が重要なセキュリティ基準として扱われることでしょう。
6. IEC62443の第三者認証取得について
IEC62443-3-3は、現場に据え付けたシステムそのものをシステム認証の対象とします。
IEC62443-3-3を構成するデジタル製品は、IEC62443-4-2製品認証が必要となります。
IEC62443-3-3システム認証やIEC62443-4-2製品認証を取得するには、まず、IEC62443-4-1組織認証を取得しなければなりません。
IEC62443-3-3を構成するデジタル製品は、IEC62443-4-2製品認証が必要となります。
IEC62443-3-3システム認証やIEC62443-4-2製品認証を取得するには、まず、IEC62443-4-1組織認証を取得しなければなりません。
機械規則のCEマーキングでの第三者認証はIEC62443-4-2製品認証のSecurity Level 1で適合しますが、サイバーレジリエンスを実現するには、Security Level 2で要求しているセキュリティ機能が必要になります。また、Security Level 2以上になるとネットワーク上で扱うデータモデルや情報モデルのセキュリティ機能は、OPC UAレベルになってきます。
7. サイバー攻撃デモでわかるOPC UAのSecurity効果について
2024年1月31日から2月2日に東京ビッグサイトで開催されたIIFES2024のVEC展示ブースでの「NC/PLCを標的にしたサイバー攻撃デモ 実施中⁉」でご紹介したデモシステム構成図がこちらです。
OPC UAには、NonSecurityモード/Securityモード/暗号機能付きSecurityモードの三種類が設定できるようになっております。この三つのモードは、制御システムを現場に設置するインテグレート作業のプロセスを考慮して仕様が決められております。現場に制御システムをインテグレートするのに最初に行うのがI/Oチェック作業です。I/Oチェック作業をしている時にOPC UAをSecurityモードにすると通信データを確認するのに、Securityを外したりセットしたりする作業が入って作業効率が悪いです。そこで、NonSecurityモードがあります。I/Oチェック作業が終わったらOPC UAをSecurityモードにしてセキュリティインシデント検知できることを確認します。インシデント検知後の処理機能が確認出来たら、最後に暗号機能付きSecurityモードにします。OPC UAを採用したシステムでは暗号機能付きSecurityモードまで確認して完成になります。
システムインテグレータの多くが、NonSecurityモードのままで検収を上げて、システムのセキュリティ検証を実施しておりません。それでは、IEC62443-3-3システムのSecurity Levelは確保できたとは言えません。
システムインテグレータの多くが、NonSecurityモードのままで検収を上げて、システムのセキュリティ検証を実施しておりません。それでは、IEC62443-3-3システムのSecurity Levelは確保できたとは言えません。
展示ブースでサイバー攻撃デモの解説をしている時の写真です。
8. 制御システムセキュリティ能力を高めるには何をするべきか
「IEC62443認証取得のコンサルができます」というコンサルタントがいますが、制御システムセキュリティで実現する多層防御機能、コンポーネントに装備できる多層防御機能、それらを実装して検証する方法までコンサルティングできるコンサルタントはほとんどいません。
そこで、ICS研究所は、多層防御技術の実装や検証までカバーした「オンデマンドビデオ講座eICS(講座数は250以上)」を2015年からオンデマンドビデオ受講できるようにしております。
そこで、ICS研究所は、多層防御技術の実装や検証までカバーした「オンデマンドビデオ講座eICS(講座数は250以上)」を2015年からオンデマンドビデオ受講できるようにしております。
また、オンデマンドビデオ講座で学んだことを検証する「制御システムセキュリティ実務能力検定」があります。この実務能力検定は、企業内の人事評価の一部として取り込むことをお勧めしております。
有料ですが、テーマ別の企業内セミナー対応もお引き受けしております。
IEC62443認証を取得するのに、IEC62443で求められる多層防御のセキュリティ実装と検証までを含めたコンサルティングもお引き受けしております。
どうぞ、ICS研究所にお気軽にお声がけください。
有料ですが、テーマ別の企業内セミナー対応もお引き受けしております。
IEC62443認証を取得するのに、IEC62443で求められる多層防御のセキュリティ実装と検証までを含めたコンサルティングもお引き受けしております。
どうぞ、ICS研究所にお気軽にお声がけください。
