VEC 第13回制御システムセキュリティ対策カンファレンス（11月9日）で、ICS研究所が制御システムセキュリティ対策の人財対象の実務能力検定について講演

VEC（Virtual Engineering Community）主催の2020年度 第13回制御システムセキュリティ対策カンファレンスが11月9日から11日の午後 三日間開催されます。
https://www.vec-community.com/ja/event/20201109/1

このカンファレンスの11月9日 15時10分から30分間、「IEC62443のMaturity Levelに沿った実務能力検定について」という講演題目で、株式会社ICS研究所　技術開発ディレクター　村上敬祐が講演させていただきます。

工場建設においては、工場設備の生産・製造システムを受注して手配するサービスプロバイダーと生産・製造システムを設計するシステムインテグレータと制御装置や機械などを受注して納品するメーカーがいます。それぞれに組織が存在し、それぞれの役割を持ち、実務をこなしていく能力が求められます。建設後の工場の操業継続においても生産・製造システムを構成する制御製品の脆弱性情報管理をして、サイバー攻撃の脅威から工場を守る実務を継続していくことが求められます。それには、設備を構成する制御製品メーカーとの脆弱性情報連携は必要不可欠です。

IEC62443では、工場のProtect Levelを制御システムや制御製品のSecurity Level とそれを実現する組織のMaturity Levelとライフサイクル要素で構成し定義している。この組織のMaturity Levelは、IEC62443のセキュリティ要件にあるドキュメント整備やトレーニング実施だけでなく、組織を構成する人材の実務能力が必要です。組織がMaturity Level3であるには、組織のリーダークラスがMaturity Level3の実務能力を持ち、スタッフにはMaturity Level2もいれば、新人のMaturity Level1の方もいて組織構成している訳です。
顧客とのプロジェクト契約では、制御システムを供給する側にとって、「このプロジェクトには、Maturity Level3の技術者を当てます。制御システムセキュリティ評価者にはMaturity Level4の評価者をつけます。プロジェクト管理者は、Maturity Level4の〇〇を担当させますから、ご安心ください。」という話ができると顧客からの信頼も具体的に見える形で得られます。

組織の実務能力は、サイバー攻撃手法の変化にも対応していかなければならないことはIEC62443にも書かれています。また、IEC62443に書かれているセキュリティ要件の実装技術や管理手法、システム設計については、技術や管理手法の進歩によって変わっていきます。このことを考えても、組織を構成する人材の実務能力は、継続的探究と実務能力の維持が必要となります。
　
IEC62443は、制御システムセキュリティ対策に関する国際標準規格で、EUではIECEEがスキームオーナーとなる認証制度です。EU Cybersecurity Certification Frameworkの法規制で認証した制御製品で生産・製造システムを構成するように決められています。米国ではISAのISCIがスキームオーナーであるISA/IEC62443認証制度があり、設備オーナーはNIST SP800-82や-171のガイドラインに従ってNIST Cybersecurity Frameworkを採用した設備管理を行っています。よって、欧米市場でビジネスしており、海外に工場を持つ欧米企業を相手にビジネスしている日本企業にとっては、認証取得は必須となってきます。

日本では認証制度はCSMSだけですが、サイバー攻撃に強い生産・製造システムにしようとする場合、IEC62443-3-2（脅威リスクモデル設計とリスクアセスメント）やIEC62443-2-4などの各セキュリティ要件は参考基準にもなりますし、チェックシートとして活用することができます。ところが、IEC62443を購入して読んでもセキュリティ要件を理解するには、ハードルが高く、IEC62443に記載されていない実装技術や管理手法やシステム設計手法を学ぶには、その機会がありません。

そこで、ICS研究所が提供する制御システムセキュリティ／制御セキュリティ対策の実務能力検定と実務能力向上を目的にしたオンデマンドビデオ講座eICS受講を組み合わせて、事業を支える人材の能力評価を考えてみてはいかがでしょうか？