「OT(制御系)セキュリティが急に重要視されてきたが、IEC 62443 をどう自社に当てはめれば良いか整理できていない」――中堅製造業の生産技術責任者から多い相談だ。 IEC 62443 シリーズは産業用オートメーション・制御システム(IACS)のサイバーセキュリティ国際標準で、Asset Owner / System Integrator / Product Supplier の 3 ロール別に体系化されている。本稿は中堅製造業の段階的実装を整理する。

目次

  1. IEC 62443 シリーズ全体構造
  2. 3 つの役割と責任分担
  3. Security Level(SL)1-4 の判定基準
  4. Zone-Conduit 設計の進め方
  5. 中堅製造業の段階的実装スケジュール
  6. 第三者認証取得の選択肢
  7. IT-OT 統合 SOC の運用
  8. よくある質問(FAQ)

IEC 62443 シリーズ全体構造

パート主題主な対象
62443-1-x共通要件・用語・概念全ロール
62443-2-xプロセス・組織要件Asset Owner
62443-3-xシステム技術要件System Integrator
62443-4-x製品開発要件Product Supplier
中堅製造業の多くは Asset Owner(自社工場運営)と部分的な System Integrator の役割を兼ねる。Product Supplier の役割は社内開発した制御系製品がある場合に該当。

3 つの役割と責任分担

役割責任範囲該当する中堅企業
Asset Owner工場・施設の所有者、運用責任全製造業
System Integrator制御システムの設計・統合一部社内エンジニアリング部門
Product Supplier制御製品の開発・販売制御機器メーカー
中堅製造業では Asset Owner として 62443-2-1(IACS Security Program)への対応 がスタートライン。

Security Level(SL)1-4 の判定基準

IEC 62443 は脅威レベルに応じた 4 段階のセキュリティレベル(SL)を定義。

SL想定脅威攻撃者像
SL 1偶発的・誤操作従業員のミス、誤操作
SL 2一般的なサイバー犯罪低スキル攻撃者、汎用ツール
SL 3国家支援級ではない高度攻撃中スキル、業界知識保有
SL 4国家支援級・APT高スキル、専用ツール、長期
中堅製造業の一般的な工場は SL 2 達成が現実的目標、重要インフラ・防衛関連は SL 3-4 が要求される。

7 つの基本要件(FR:Foundational Requirements):

  • FR1: 識別・認証
  • FR2: 利用制御
  • FR3: システム完全性
  • FR4: データ機密性
  • FR5: 制限されたデータフロー
  • FR6: イベント時の応答
  • FR7: リソース可用性

各 FR に対して SL 達成基準(SL-A:Achieved、SL-T:Target、SL-C:Capability)を設定する。

Zone-Conduit 設計の進め方

ネットワークを Zone(同一セキュリティ要件のエリア)と Conduit(Zone 間通信路)に分割する設計手法。

Zone 例SL Target主な内訳
Enterprise Zone(IT 系)-ERP、メール、社内 PC
DMZSL 2外部公開サーバ
Manufacturing Operations ZoneSL 2MES、SCADA HMI
Control ZoneSL 2-3PLC、制御サーバ
Safety ZoneSL 3-4安全計装系(ESD 等)
Conduit には FW、データダイオード、プロトコル変換ゲートウェイ等を配置し、上位 Zone から下位 Zone への単方向通信を強制する設計が基本。

中堅製造業の段階的実装スケジュール

フェーズ期間目安主なアクション
Phase 0:現状把握2-3 ヶ月OT 資産棚卸、ネットワーク構成図化
Phase 1:リスクアセスメント2-3 ヶ月脅威・脆弱性評価、SL Target 決定
Phase 2:Zone-Conduit 設計2-3 ヶ月ネットワーク分離設計、FW 配置
Phase 3:基盤実装6-12 ヶ月認証・監視・パッチ管理体制
Phase 4:運用統合3-6 ヶ月IT-OT SOC、インシデント対応
Phase 5:継続改善継続監査、レビュー、是正
合計 15-27 ヶ月の中長期計画。Phase 0-2 で 6-9 ヶ月の準備期間が必要。

第三者認証取得の選択肢

認証認証主体対象
ISASecure SSA(System Security Assurance)ISCI / 認定認証機関システム
ISASecure CSA(Component Security Assurance)ISCI / 認定認証機関個別機器
ISASecure SDLA(Secure Development Lifecycle Assurance)ISCI / 認定認証機関開発プロセス
TÜV SÜD / Bureau Veritas 等の 62443 監査各認証機関プロセス・システム
中堅製造業 Asset Owner では、まず社内体制の 62443-2-1 自己宣言から始め、顧客要求や業界要請に応じて第三者認証を検討するのが現実的。

IT-OT 統合 SOC の運用

IT 系と OT 系のセキュリティ監視を統合する SOC 構築のポイント:

観点IT 系OT 系統合時の留意点
プロトコルTCP/IP 中心Modbus / OPC / EtherNet/IP 等OT プロトコル解析能力必須
パッチ適用月次更新可計画停止時のみ仮想パッチング(IPS)併用
認証AD 中心共有 ID 残存段階的個別 ID 化
異常検知EDR / SIEMNDR(ネットワーク異常検知)OT 専用 NDR 製品検討
対応速度即時安全停止優先対応プレイブックの差異設計
OT 環境特有の制約(リアルタイム性、可用性優先、レガシーシステム)を考慮した設計が必要。

「規制改訂への対応が遅れている、専門家の助けが欲しい」

業界規制対応の現状診断と移行ロードマップ、外部監査連携を提供します。

規制対応の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

よくある質問(FAQ)

Q. IEC 62443 と NIST SP 800-82 はどちらを参照すべき? A. IEC 62443 は国際標準、NIST SP 800-82 は米国向けガイドライン。両者は概ね整合的で、IEC 62443 ベースで進めつつ NIST 800-82 を実装ガイドとして併用するのが一般的。

Q. 古い PLC は IEC 62443 対応できるか? A. 製品自体の改修は困難だが、Zone-Conduit 設計とネットワーク側対策(FW、IDS、NDR)で実効的な保護が可能。長期的には更新計画立案を。

Q. 中堅製造業で第三者認証取得は必須か? A. 法令上は必須ではないが、自動車・医療・防衛・電力等の業界では顧客要求として事実上必須化が進んでいる。

Q. 投資コスト目安は? A. 工場 1 拠点で初期 2,000-8,000 万、年次運用 500-1,500 万が中堅製造業の相場感。SL 目標と既存資産状況で大きく変動。

参考資料

  • ISA「ISA/IEC 62443 Series of Standards」
  • ISCI「ISASecure Certification Programs」
  • IPA「制御システムのセキュリティリスク分析ガイド」
  • NIST「SP 800-82 Guide to Operational Technology (OT) Security」

中堅製造業の IEC 62443 段階的実装、Zone-Conduit 設計、SL 達成支援、IT-OT SOC 統合は GXO のコンプライアンス対応サービスで対応可能です。