More Related Content
Similar to Iacs securiy management system (20)
Iacs securiy management system
- 1. © 2019 JIPDEC All Rights Reserved.
制御システムセキュリティ
マネジメントシステム
の概要
2019年10月7日
一般財団法人日本情報経済社会推進協会
常務理事 山内 徹
NECA制御システムセキュリティ研究会
- 2. 1 © 2019 JIPDEC All Rights Reserved.
講師自己紹介
山内 徹
一般財団法人日本情報経済社会推進協会(JIPDEC)
常務理事・インターネットトラストセンター長
【経歴】
◼ 内閣官房IT担当室、経済産業省等においてIT政策及び
基準認証政策の企画立案に携わった後、一般社団法人
JPCERTコーディネーションセンター主席研究員を
経て現職。
◼ 2018年4月より、一般社団法人情報マネジメントシス
テム認定センター(ISMS-AC)代表理事を兼務。
◼ また、早稲田大学非常勤講師として「シンガポール/
アジアのITと社会」講座を担当。
- 3. 2 © 2019 JIPDEC All Rights Reserved.
本日のご説明内容
◼JIPDEC及びISMS-ACの紹介
◼制御システムセキュリティの必要性
◼CSMS適合性評価制度の概要
◼CSMS認証の対象組織
◼制御システムリスクマネジメント研修
- 4. 3 © 2019 JIPDEC All Rights Reserved.
◼ 名称 一般財団法人日本情報経済社会推進協会
【法人番号 1 0104 0500 9403】
◼ 所在地 東京都港区六本木一丁目
◼ 設立 1967年12月20日
◼ 主な事業
✓ 個人情報保護の推進
✓ 情報利活用に向けた調査研究・提言
✓ セキュリティマネジメントの推進
✓ インターネットのトラストの確保
JIPDECの概要
- 5. 4 © 2019 JIPDEC All Rights Reserved.
◼ 名称 一般社団法人情報マネジメントシステム
認定センター
【法人番号 9 0104 0501 6615】
◼ 所在地 東京都港区六本木一丁目
◼ 設立 2018年4月2日
◼ 主な事業
✓ 情報マネジメントシステムに係る認証機関の認定
• 情報セキュリティマネジメントシステム(ISMS)
• ITサービスマネジメントシステム(ITSMS)
• 事業継続マネジメントシステム(BCMS)
• 制御システムセキュリティマネジメントシステム(CSMS)
ISMS-ACの概要
- 6. 5 © 2019 JIPDEC All Rights Reserved.
IACSのセキュリティの確保
◼ 産業用オートメーション及び制御システム
(IACS:Industrial Automation and Control
System)は、専用システムで構成され、外部
ネットワークとは接続されていないことから、
セキュリティ上の脅威は意識されていなかった。
◼ 近年、業務システム向け汎用技術、ネットワー
ク(遠隔操作、遠隔保守等)等の活用が進んだ
結果、サイバー攻撃の対象となりうる状況。
◼ IACSのセキュリティを確保するためには、経営
者の積極的な関与が必須であり、制御システム
に係るセキュリティマネジメントが重要。
- 7. 6 © 2019 JIPDEC All Rights Reserved.
CSMS適合性評価制度の概要
◼ CSMS適合性評価制度は、IACSを対象とした
セキュリティマネジメントシステムに対する
認証制度。
◼ CSMSとは、組織における制御システムのセ
キュリティリスクを管理するための仕組みで
ある。その適合性評価の基準としてIEC規格
(IEC 62443-2-1:2010)を採用。
(注)CSMSは、Cyber Security Management Systemの略。
来年以降のIEC規格の改定で名称変更される見込み。
◼ 同制度は、経済産業省の2012年度補正予算事
業「グローバル認証基盤整備事業」のテーマ
の一つとして実施されたパイロット事業を
JIPDECが民間主体で立ち上げた。
- 8. 7 © 2019 JIPDEC All Rights Reserved.
IEC 62443シリーズの概要
◼ 制御システム分野のセキュリティ規格であり、
制御システムの利用者、開発者等により広く
活用できることを目的として発行。
✓IEC 62443-1:この規格全体の用語・概念等の定義
✓IEC 62443-2:組織に対するセキュリティマネジメントシステム
✓IEC 62443-3:システムのセキュリティ要件や技術概説
✓IEC 62443-4:部品(装置デバイス)層におけるセキュリティ機能
や開発プロセス要件
◼ IEC 62443シリーズの改定作業の一環として、
IEC 62443-2-1 ED2(改定)が2020年10月に
発行される予定。 (IEC Webサイトより)
- 9. 8 © 2019 JIPDEC All Rights Reserved.
CSMS認証基準(IEC 62443-2-1:2010)
4.2 リスク分析
4.3 CSMSによるリスクへの対処
対処
■4.3.2 セキュリティポリシー、組織及び意識向上
4.3.2.2
CSMSの適用範囲
対処
■4.3.3 選ばれたセキュリティ対抗策
(CSMSのプロセスの一部として、5.詳細管理策より
管理策を選択しなければならない。)
対処
■4.3.4 導入
4.3.2.3
セキュリティを
目的とした組織構成
4.3.2.4
スタッフの訓練及び
セキュリティ意識向上
4.3.2.6
セキュリティのポリシー
及び手順
4.3.4.2 リスクマネジメント及び導入
4.3.4.4 情報及び文書のマネジメント
5 詳細管理策
5.1 事業継続計画
要員の
セキュリティ5.2
物理的及び
環境的
セキュリティ
5.3
ネットワークの
分割5.4
アクセス制御-
アカウント管理5.5
情報及び文書
のマネジメント5.9
インシデントの
計画及び対応5.10
■4.2.2 事業上の根拠 ■4.2.3 リスクの識別、分類及びアセスメント
4.4 CSMS監視及び改善
■4.4.2 適合 ■4.4.3 CSMSのレビュー、改善及び維持管理
アクセス制御
-認証5.6
アクセス制御
-認可5.7
システムの
開発及び保守5.8
- 10. 9 © 2019 JIPDEC All Rights Reserved.
CSMSの対象事業者
◼ CSMS構築の目的は、IACSのセキュリティの信頼性を確保す
ることである。CSMS構築は、制御システムの保有事業者
(アセットオーナー)、運用・保守事業者(サービサー)及
び構築事業者(システムインテグレーター)の三位一体で取
り組むことが必要不可欠である。各事業者が単独で取り組む
のではなく、関係プレイヤーがCSMSの構築に取り組むこと
が重要である。
運用・
保守
構築
制御システムの
構築事業者
(システムインテグレーター)
制御システムを
保有する事業者
(アセットオーナー)
制御システムの
運用・保守事業者
(サービサー)
IACS
- 11. 10 © 2019 JIPDEC All Rights Reserved.
システムインテグレーターの役割
◼ 制御システムのライフサイクルにおいて、システム構築
だけでなく、アプリケーションの組込や制御データの管
理等に携わるなど、運用開始後も、事業者の制御システ
ムに、保守や改良・改善等の観点で関係。
事業者とインテグレーターが協力して、組織や人に関わるセキュリティ対策に取組む必要がある。
目的
・新規開発
・システム機能追加
・運用保守
・運用支援
-現地構築
-現地試験
制御システムのライフサイクル(新規開発)
-開発企画
-基本設計
-詳細設計
-製作・実装
-場内試験
-運用
-保守
-廃棄
事業者(アセットオーナー)単独では制御システムのライフサイクルのすべてをカバーできているわ
けではない。運用開始後も、保守や改良・改善の観点で、インテグレーターに依存する部分がある。
- 12. 11 © 2019 JIPDEC All Rights Reserved.
CSMSの活用
◼ アセットオーナーのIACSのセキュリティを強化するため
には、制御システムのライフサイクルが始まる上流工程
から、セキュアな仕組みづくりを進めることが必要。
◼ 制御システムを発注する際の基準としてCSMSを活用。
- 13. 12 © 2019 JIPDEC All Rights Reserved.
CSMS適合性評価制度の運用
認定機関(ISMS-AC)
認証機関(2機関)
CSMS被認証組織(5組織)
認定(Accreditation)
認証(Certification)
- 14. 13 © 2019 JIPDEC All Rights Reserved.
CSMS認証機関及び被認証組織
◼ CSMS認証機関
◼ CSMS被認証組織
(2019年10月7日現在)
認定番号 機関名称
CSR001 一般財団法人 日本品質保証機構(JQA) マネジメントシステム部門
CSR004 BSIグループジャパン株式会社
認証登録番号 組織名称 都道府県 初回登録日
CYSMS 652570 株式会社MHPSコントロールシステムズ(製造部) 長崎県 2016/10/7
JQA-CY0004
JFEエンジニアリング株式会社(グローバルリ
モートセンター) 神奈川県 2018/2/16
JQA-CY0003
株式会社 日立システムズ(SHIELD セキュリティセ
ンタ)
非公開 2018/2/16
JQA-CY0001 三菱ケミカルエンジニアリング株式会社 東京都 2014/4/25
CYSMS 652379 メタウォーター株式会社 非公開 2016/9/26
- 15. 14 © 2019 JIPDEC All Rights Reserved.
制御システムリスクマネジメント研修
◼ 研修目的
✓ 制御システムセキュリティにおける、リスクマネジメント
に対する意識向上を図ること。
✓ リスクアセスメント、リスクマネジメントの重要性に対す
る認識を深めて、それらの必要性を認識したうえでの自発
的な活動につなげること。
◼ 研修内容
(座学)
・リスクマネジメントとは
・マネジメントシステムの重要性
・インシデント事例の紹介
(演習)
・リスクアセスメント演習
- 16. 15 © 2019 JIPDEC All Rights Reserved.
◼ 座学
研修カリキュラム例【1日目】
時間 カリキュラム
09:30-12:10 ・CSMSの概要と特徴(テキスト1, 2, 3章)
※適宜休憩を入れる。
12:10-13:10 昼食・休憩
13:10-14:30 ・リスクアセスメントと対策(テキスト4, 5章)
14:30-14:40 休憩
14:40-16:40 ・演習の前提条件について
※適宜休憩を入れる。
16:40-17:00 ・質疑応答
- 17. 16 © 2019 JIPDEC All Rights Reserved.
◼ 演習
時間 カリキュラム
09:30-10:00 ・事前説明(IACS資産台帳について)
10:00-14:30
・IACS資産台帳
・ベースラインアプローチ
※各チーム、リーダー・記録係・発表係を決める。
※昼食・休憩は各チームで適宜。
14:30-14:40 休憩
14:40-15:20 ・成果発表
※10分×4チーム(説明6分+質疑4分)
15:20-15:30 ・講評
15:30-15:40 休憩
15:40-16:10 ・事前説明(詳細リスクアセスメントについて)
16:10-16:40 ・詳細リスクアセスメント
16:40-17:00 ・質疑応答
研修カリキュラム例【2日目】
- 18. 17 © 2019 JIPDEC All Rights Reserved.
◼ 演習
時間 カリキュラム
09:30-14:30
・詳細リスクアセスメント(前日の続き)
・リスク対応計画の作成
※各チーム、リーダー・記録係・発表係を決める。
※昼食・休憩は各チームで適宜。
14:30-14:40 ・エグゼクティブサマリーについて
14:40-15:30 ・エグゼクティブサマリーの作成
15:30-15:40 休憩
15:40-16:40
・成果発表
※15分×4チーム(説明10分+質疑5分)
※前日とは異なる4チームが発表。
16:40-16:50 ・講評
16:50-17:00 ・質疑応答
研修カリキュラム例【3日目】
- 19. 18 © 2019 JIPDEC All Rights Reserved.
まとめ
◼制御システムのセキュリティを確保
するためには、以下の3点が重要。
①セキュリティは経営問題であるとの
認識が不可欠。
②ITシステムと制御システムの両方を
視野に入れる。
③リスクアセスメントの仕組みの構築と
人材育成に取り組む。