ITソリューション企業総覧2014Web
インタビュー CSSC 小林偉昭氏

インタビュー CSSC 小林偉昭氏

特集 特集1 社会インフラへ迫るサイバー攻撃

サイバーセキュリティ対策における
国際標準と認証の役割


技術研究組合 制御システムセキュリティセンター 専務理事 小林偉昭氏に聞く

s-03_01

技術研究組合 制御システムセキュリティセンター(CSSC)
www.css-center.or.jp/

聞き手:ITソリューション編集部


  昨今、海外ユーザーに対して、わが国サイバーセキュリティ関連のベンダーが製品を輸出する際、必須条件になりつつあるのが、その機能もさることながら国際標準への準拠及び世界で認められた認証だ。

 海外ユーザーからのこうした条件は、ますます厳しく追求されつつあるという。いま、わが国でこの条件をクリアすべく精力的な取組みを展開しているのがCSSC(技術研究組合制御システムセキュリティセンター)である。ここでは、CSSC専務理事小林偉昭氏に、サイバーセキュリティ対策における国際標準及び認証の最新事情を聞いた。

関心高まる制御システム分野における標準の整備と認証の確立

 小林氏によると「いま制御システムに対する被害は、これまでのウイルス感染から標的型サイバー攻撃によるものが顕著になりつつあります」という。2009年に米国に設置されたDHS(Department of Homeland Security:国土安全保障省)の制御システムセキュリティ担当機関ICS-CERT(Industrial Control Systems-Cyber Emergency Response Team)の調べでは、このICS-CERT設置以降、重要インフラシステムに対するインシデントの届出件数は極度に増大、2013年の場合、分野別でみるとエネルギー51%、製造32%、通信5%、輸送5%、水道4%などの順になっている。

 わが国でもこうした状況を重視、「2012年3月に設立されたCSSCの重要な役割の一つとして、サイバー攻撃から制御システムを守るため、国際的見地に基づく標準に準拠し、認証も確立された製品やシステムを普及させていく必要があることを位置づけました。そして2013年8月にCSSC認証ラボラトリーが設立されました」と説明する。そしてこのラボラトリーの最高責任者である小林氏主導のもと同ラボラトリーは、公平性委員会や認証判定委員会、評価センターなどで構成された。

 図1には、制御システムにおいて、具体的にサイバー攻撃の対象となりうるデバイス例を示した。

s-03_04_2

図1 制御システムにおけるサイバー攻撃対象の機器例(CSSC提供)

 

制御システムにおける標準化

 さまざまな制御システムにおける標準化の状況をみよう。石油・化学プラントはWIB(International Instrument User’s Association:オランダの国際装置ユーザー協会)に準拠し、ここでは認証スキームがある。また電力システムはNERC(North American Electric Reliability Corporation:北米電力信頼性評議会)のCIP(Critical Infrastructure Protection:重要インフラ防護)サイバーセキュリティ標準やIEC(International Electrotechnical Commission:国際電気標準会議)61850及びIEEE(Institute of Electrical and Electronics Engineers:米国電気電子技術者協会)1686に、注目のスマートグリッドはNIST(National Institute of Standards and Technology:米国標準技術研究所)にそれぞれ準拠した取組みを展開している。そして、鉄道システムはISO(International Organization for Standardization:国際標準化機構)/IEC62278に準拠している。

 このような中、小林氏は「CSSCでは、制御システムセキュリティ分野における標準を、業種に共通的であり製品やシステム、組織すべてに亘ってカバーされているIEC62443への準拠をめざし、この標準をベースとした認証制度を推進していきます」と明確な方針を強調する。IEC62443は、すでに一部事業者の調達要件に挙げられており、汎用的な国際標準として選択されていく見込みだ。
図2に、IEC62443の全体像を示した。

s-03_02_2

図2 IEC62443の全体像(CSSC提供)

 

制御システムにおける具体的な認証

 認証は、小林氏が語るようにIEC62443標準に準拠して取り組まれていくが、具体的にはISA(International Society of Automation:国際計測制御学会)の下部機関で国際認証推進組織であるISCI(ISA Security Compliance Institute)が、ISASecureに則って取り組んでいるところだ。ISASecureは、ISCIが制定する認証標準であり、CSSCとしては、まずコンポーネント、すなわち機器における認証から取り組んでいく。これがEDSA(Embedded Device Security Assurance)と呼ばれるものである。実は、図3にみるように、「EDSA認証のある部分は、要求事項においてIEC62443とは、ほぼ同様な内容になっており、それら事項はIEC側へも提案される予定です。ゆくゆくは、EDSAもIEC62443に組み込まれていくことになるでしょう」と小林氏は語る。また「CSSCでは、2013年11月に、国際連携強化のためにも、ISCIに加入しました」と最新情報を説明する。

s-03_03_3

図3 EDSA認証とIEC62443の対応関係(CSSC提供)

 

 この目的は、第一に、CSSC内に公正かつ独立した認証推進組織を設置し、日本発の認証機関誕生をめざす、第二に、国際標準であるIEC62443及びISCI認証へ貢献する、第三に、グローバルな制御システム認証普及への積極的な貢献を目指す、などとしている。とくに、第二に関しては、セキュリティ評価や検証技術を研究し、ノウハウを蓄積させていくことにあわせ、2013年10月にはEDSA認証に関する標準の解釈や具体的な適用に関する指摘など33項目に亘ってISCIと意見交換し、これまでに指摘されている技術的な課題がISCI技術員会で審議中となっている。

制御システム標準及び認証における今後の展開

 CSSC認証ラボラトリーでは、2013年9月3日に、JAB(Japan Accreditation Board:公益財団法人日本適合性認定協会)に認証機関としての認定申請を行い、目下のところ、組合員企業の制御機器を使用してパイロット認証プロジェクトを実施しているところである。

 現在、日本のベンダーが認証を受けたい場合は、正当な機器認証の実施が可能な組織として認められている米国のexida(イクシーダ)社に、そのつど申請しなければならない。これは、日本のベンダーとしては金銭的にも時間的にも大きな負担を強いられることになっているのが実情だ。

 それが、「CSSCが製品認証を取得すれば、日本国内で、ベンダー側も国際的な認証を得ることが可能になってくるので、そうした製品を輸出販売できれば、国際競争力の強化も期待できることになるでしょう」と明るい見通しを語る。CSSCではいま、ISCI準拠の相互承認スキームでの製品認証を2014年4月から実施すべく臨んでいるところだ。

« »