組み込みセキュリティ規格「IEC 62443-4-2」とは?:Q&Aで学ぶマイコン講座(102)(1/3 ページ)
マイコンユーザーのさまざまな疑問に対し、マイコンメーカーのエンジニアがお答えしていく本連載。今回は、初心〜中級者の方からよく質問される組み込みセキュリティ規格「IEC 62443-4-2」についてです。
素朴な疑問から技術トラブルなどマイコンユーザーのあらゆる悩みに対し、マイコンメーカーのエンジニアが回答していく連載「Q&Aで学ぶマイコン講座」。
今回は、初心〜中級者から多く寄せられる質問です。
IEC 62443は規格番号がたくさんありますが、その中でIEC 62443-4-2はどのような位置付けですか? IEC 62443-4-2にはどのような要求事項がありますか?
IEC 62443-4-2とは、工場内などにある制御システムを構成する要素=「IACSコンポーネント」と呼ばれる製品(機器、ソフトウェア)の要件です。IACSとは、Industrial Automation Control System(産業用自動制御システム)の略です。
IEC 62443-4(パート4)には、工場内などにある産業用自動制御システム(IACS)を構成する要素=「IACSコンポーネント」と呼ばれる製品の要件(4-2)と、そのコンポーネントをつくるプロセスの要件(4-1)があります。
また、IEC 62443-4-2とは、IACSを構成する機器、ソフトウェアが順守すべきセキュリティ要件を規定する規格です。IEC 62443の俯瞰図を図1に示します。
![<strong>図1:IEC 62443の俯瞰図</strong>[クリックで拡大]](https://image.itmedia.co.jp/l/im/edn/articles/2504/28/l_jn20250427mcu001.jpg)
IEC62443は、3種類の事業者(アセットオーナー、サービスプロバイダー、コンポーネントサプライヤー)を対象にします。
産業用自動制御システム(IACS)を保有することになるアセットオーナーが62443-2-1をもとにIACSのリスクを分析し、リスクに対抗できるセキュリティを設計し、セキュリティの運用/改善ルールをつくります。そして、IACSの構築、設置、保守を外部業者(IACSサービスプロバイダー)に発注する際、62443-3-3をもとにIACSに必要なセキュリティ要件と要件達成レベルを提示し、62443-2-4をもとにしたサービス提供を業者に求めます。また、62443-2-3にもとづいてセキュリティ更新(パッチ)を管理し、IACSを適切な状態に維持します。
IACSサービスプロバイダーは、発注者(IACSアセットオーナー)からの要求に沿って、62443-3-2をもとにIACSのセキュリティリスクを評価し、IACSを設計します。そして設計したIACSを構築するため、IACSコンポーネント群をIACSコンポーネントサプライヤーから調達します。コンポーネントを調達する際、サプライヤーが62443-4-1をもとにしてコンポーネントを設計、開発、保守しているか確認し、また、調達しようとしているコンポーネントがIACSに必要なセキュリティ要件と達成レベルをみたしているか、62443-4-2をもとに確認します。
IACSコンポーネントサプライヤーは、62443-4-1をみたす設計、開発、保守プロセスを構築、運用し、62443-4-2をみたすIACSコンポーネントを開発、製造し、IACSサービスプロバイダーに販売します。
表1が示す通り、IACSコンポーネントは4種類あります。
| 略記 | 英語名称 | 例 |
|---|---|---|
| ED | Embedded Device | PLC、IO-Linkセンサー |
| ND | Network Device | 産業用イーサネットスイッチ |
| HD | Host Device | 産業用PC端末 |
| SA | Software Application | 産業用PC向けOS |
| 表1 | ||
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。