Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Iacs securiy management system

10 views

Published on

制御システムセキュリティマネジメントシステムの概要

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Iacs securiy management system

  1. 1. © 2019 JIPDEC All Rights Reserved. 制御システムセキュリティ マネジメントシステム の概要 2019年10月7日 一般財団法人日本情報経済社会推進協会 常務理事 山内 徹 NECA制御システムセキュリティ研究会
  2. 2. 1 © 2019 JIPDEC All Rights Reserved. 講師自己紹介 山内 徹 一般財団法人日本情報経済社会推進協会(JIPDEC) 常務理事・インターネットトラストセンター長 【経歴】 ◼ 内閣官房IT担当室、経済産業省等においてIT政策及び 基準認証政策の企画立案に携わった後、一般社団法人 JPCERTコーディネーションセンター主席研究員を 経て現職。 ◼ 2018年4月より、一般社団法人情報マネジメントシス テム認定センター(ISMS-AC)代表理事を兼務。 ◼ また、早稲田大学非常勤講師として「シンガポール/ アジアのITと社会」講座を担当。
  3. 3. 2 © 2019 JIPDEC All Rights Reserved. 本日のご説明内容 ◼JIPDEC及びISMS-ACの紹介 ◼制御システムセキュリティの必要性 ◼CSMS適合性評価制度の概要 ◼CSMS認証の対象組織 ◼制御システムリスクマネジメント研修
  4. 4. 3 © 2019 JIPDEC All Rights Reserved. ◼ 名称 一般財団法人日本情報経済社会推進協会 【法人番号 1 0104 0500 9403】 ◼ 所在地 東京都港区六本木一丁目 ◼ 設立 1967年12月20日 ◼ 主な事業 ✓ 個人情報保護の推進 ✓ 情報利活用に向けた調査研究・提言 ✓ セキュリティマネジメントの推進 ✓ インターネットのトラストの確保 JIPDECの概要
  5. 5. 4 © 2019 JIPDEC All Rights Reserved. ◼ 名称 一般社団法人情報マネジメントシステム 認定センター 【法人番号 9 0104 0501 6615】 ◼ 所在地 東京都港区六本木一丁目 ◼ 設立 2018年4月2日 ◼ 主な事業 ✓ 情報マネジメントシステムに係る認証機関の認定 • 情報セキュリティマネジメントシステム(ISMS) • ITサービスマネジメントシステム(ITSMS) • 事業継続マネジメントシステム(BCMS) • 制御システムセキュリティマネジメントシステム(CSMS) ISMS-ACの概要
  6. 6. 5 © 2019 JIPDEC All Rights Reserved. IACSのセキュリティの確保 ◼ 産業用オートメーション及び制御システム (IACS:Industrial Automation and Control System)は、専用システムで構成され、外部 ネットワークとは接続されていないことから、 セキュリティ上の脅威は意識されていなかった。 ◼ 近年、業務システム向け汎用技術、ネットワー ク(遠隔操作、遠隔保守等)等の活用が進んだ 結果、サイバー攻撃の対象となりうる状況。 ◼ IACSのセキュリティを確保するためには、経営 者の積極的な関与が必須であり、制御システム に係るセキュリティマネジメントが重要。
  7. 7. 6 © 2019 JIPDEC All Rights Reserved. CSMS適合性評価制度の概要 ◼ CSMS適合性評価制度は、IACSを対象とした セキュリティマネジメントシステムに対する 認証制度。 ◼ CSMSとは、組織における制御システムのセ キュリティリスクを管理するための仕組みで ある。その適合性評価の基準としてIEC規格 (IEC 62443-2-1:2010)を採用。 (注)CSMSは、Cyber Security Management Systemの略。 来年以降のIEC規格の改定で名称変更される見込み。 ◼ 同制度は、経済産業省の2012年度補正予算事 業「グローバル認証基盤整備事業」のテーマ の一つとして実施されたパイロット事業を JIPDECが民間主体で立ち上げた。
  8. 8. 7 © 2019 JIPDEC All Rights Reserved. IEC 62443シリーズの概要 ◼ 制御システム分野のセキュリティ規格であり、 制御システムの利用者、開発者等により広く 活用できることを目的として発行。 ✓IEC 62443-1:この規格全体の用語・概念等の定義 ✓IEC 62443-2:組織に対するセキュリティマネジメントシステム ✓IEC 62443-3:システムのセキュリティ要件や技術概説 ✓IEC 62443-4:部品(装置デバイス)層におけるセキュリティ機能 や開発プロセス要件 ◼ IEC 62443シリーズの改定作業の一環として、 IEC 62443-2-1 ED2(改定)が2020年10月に 発行される予定。 (IEC Webサイトより)
  9. 9. 8 © 2019 JIPDEC All Rights Reserved. CSMS認証基準(IEC 62443-2-1:2010) 4.2 リスク分析 4.3 CSMSによるリスクへの対処 対処 ■4.3.2 セキュリティポリシー、組織及び意識向上 4.3.2.2 CSMSの適用範囲 対処 ■4.3.3 選ばれたセキュリティ対抗策 (CSMSのプロセスの一部として、5.詳細管理策より 管理策を選択しなければならない。) 対処 ■4.3.4 導入 4.3.2.3 セキュリティを 目的とした組織構成 4.3.2.4 スタッフの訓練及び セキュリティ意識向上 4.3.2.6 セキュリティのポリシー 及び手順 4.3.4.2 リスクマネジメント及び導入 4.3.4.4 情報及び文書のマネジメント 5 詳細管理策 5.1 事業継続計画 要員の セキュリティ5.2 物理的及び 環境的 セキュリティ 5.3 ネットワークの 分割5.4 アクセス制御- アカウント管理5.5 情報及び文書 のマネジメント5.9 インシデントの 計画及び対応5.10 ■4.2.2 事業上の根拠 ■4.2.3 リスクの識別、分類及びアセスメント 4.4 CSMS監視及び改善 ■4.4.2 適合 ■4.4.3 CSMSのレビュー、改善及び維持管理 アクセス制御 -認証5.6 アクセス制御 -認可5.7 システムの 開発及び保守5.8
  10. 10. 9 © 2019 JIPDEC All Rights Reserved. CSMSの対象事業者 ◼ CSMS構築の目的は、IACSのセキュリティの信頼性を確保す ることである。CSMS構築は、制御システムの保有事業者 (アセットオーナー)、運用・保守事業者(サービサー)及 び構築事業者(システムインテグレーター)の三位一体で取 り組むことが必要不可欠である。各事業者が単独で取り組む のではなく、関係プレイヤーがCSMSの構築に取り組むこと が重要である。 運用・ 保守 構築 制御システムの 構築事業者 (システムインテグレーター) 制御システムを 保有する事業者 (アセットオーナー) 制御システムの 運用・保守事業者 (サービサー) IACS
  11. 11. 10 © 2019 JIPDEC All Rights Reserved. システムインテグレーターの役割 ◼ 制御システムのライフサイクルにおいて、システム構築 だけでなく、アプリケーションの組込や制御データの管 理等に携わるなど、運用開始後も、事業者の制御システ ムに、保守や改良・改善等の観点で関係。 事業者とインテグレーターが協力して、組織や人に関わるセキュリティ対策に取組む必要がある。 目的 ・新規開発 ・システム機能追加 ・運用保守 ・運用支援 -現地構築 -現地試験 制御システムのライフサイクル(新規開発) -開発企画 -基本設計 -詳細設計 -製作・実装 -場内試験 -運用 -保守 -廃棄 事業者(アセットオーナー)単独では制御システムのライフサイクルのすべてをカバーできているわ けではない。運用開始後も、保守や改良・改善の観点で、インテグレーターに依存する部分がある。
  12. 12. 11 © 2019 JIPDEC All Rights Reserved. CSMSの活用 ◼ アセットオーナーのIACSのセキュリティを強化するため には、制御システムのライフサイクルが始まる上流工程 から、セキュアな仕組みづくりを進めることが必要。 ◼ 制御システムを発注する際の基準としてCSMSを活用。
  13. 13. 12 © 2019 JIPDEC All Rights Reserved. CSMS適合性評価制度の運用 認定機関(ISMS-AC) 認証機関(2機関) CSMS被認証組織(5組織) 認定(Accreditation) 認証(Certification)
  14. 14. 13 © 2019 JIPDEC All Rights Reserved. CSMS認証機関及び被認証組織 ◼ CSMS認証機関 ◼ CSMS被認証組織 (2019年10月7日現在) 認定番号 機関名称 CSR001 一般財団法人 日本品質保証機構(JQA) マネジメントシステム部門 CSR004 BSIグループジャパン株式会社 認証登録番号 組織名称 都道府県 初回登録日 CYSMS 652570 株式会社MHPSコントロールシステムズ(製造部) 長崎県 2016/10/7 JQA-CY0004 JFEエンジニアリング株式会社(グローバルリ モートセンター) 神奈川県 2018/2/16 JQA-CY0003 株式会社 日立システムズ(SHIELD セキュリティセ ンタ) 非公開 2018/2/16 JQA-CY0001 三菱ケミカルエンジニアリング株式会社 東京都 2014/4/25 CYSMS 652379 メタウォーター株式会社 非公開 2016/9/26
  15. 15. 14 © 2019 JIPDEC All Rights Reserved. 制御システムリスクマネジメント研修 ◼ 研修目的 ✓ 制御システムセキュリティにおける、リスクマネジメント に対する意識向上を図ること。 ✓ リスクアセスメント、リスクマネジメントの重要性に対す る認識を深めて、それらの必要性を認識したうえでの自発 的な活動につなげること。 ◼ 研修内容 (座学) ・リスクマネジメントとは ・マネジメントシステムの重要性 ・インシデント事例の紹介 (演習) ・リスクアセスメント演習
  16. 16. 15 © 2019 JIPDEC All Rights Reserved. ◼ 座学 研修カリキュラム例【1日目】 時間 カリキュラム 09:30-12:10 ・CSMSの概要と特徴(テキスト1, 2, 3章) ※適宜休憩を入れる。 12:10-13:10 昼食・休憩 13:10-14:30 ・リスクアセスメントと対策(テキスト4, 5章) 14:30-14:40 休憩 14:40-16:40 ・演習の前提条件について ※適宜休憩を入れる。 16:40-17:00 ・質疑応答
  17. 17. 16 © 2019 JIPDEC All Rights Reserved. ◼ 演習 時間 カリキュラム 09:30-10:00 ・事前説明(IACS資産台帳について) 10:00-14:30 ・IACS資産台帳 ・ベースラインアプローチ ※各チーム、リーダー・記録係・発表係を決める。 ※昼食・休憩は各チームで適宜。 14:30-14:40 休憩 14:40-15:20 ・成果発表 ※10分×4チーム(説明6分+質疑4分) 15:20-15:30 ・講評 15:30-15:40 休憩 15:40-16:10 ・事前説明(詳細リスクアセスメントについて) 16:10-16:40 ・詳細リスクアセスメント 16:40-17:00 ・質疑応答 研修カリキュラム例【2日目】
  18. 18. 17 © 2019 JIPDEC All Rights Reserved. ◼ 演習 時間 カリキュラム 09:30-14:30 ・詳細リスクアセスメント(前日の続き) ・リスク対応計画の作成 ※各チーム、リーダー・記録係・発表係を決める。 ※昼食・休憩は各チームで適宜。 14:30-14:40 ・エグゼクティブサマリーについて 14:40-15:30 ・エグゼクティブサマリーの作成 15:30-15:40 休憩 15:40-16:40 ・成果発表 ※15分×4チーム(説明10分+質疑5分) ※前日とは異なる4チームが発表。 16:40-16:50 ・講評 16:50-17:00 ・質疑応答 研修カリキュラム例【3日目】
  19. 19. 18 © 2019 JIPDEC All Rights Reserved. まとめ ◼制御システムのセキュリティを確保 するためには、以下の3点が重要。 ①セキュリティは経営問題であるとの 認識が不可欠。 ②ITシステムと制御システムの両方を 視野に入れる。 ③リスクアセスメントの仕組みの構築と 人材育成に取り組む。
  20. 20. お問い合わせ先 一般財団法人日本情報経済社会推進協会 セキュリティマネジメント推進室 TEL 03-5860-7561 URL https://www.jipdec.or.jp/

×