IEC 62443-3: システムセキュリティ要件とセキュリティレベル

IEC 62443-3、特にIEC 62443-3-3「システムセキュリティ要件とセキュリティレベル」は、産業オートメーション及び制御システム（IACS）のサイバーセキュリティに関するIEC規格シリーズの中核です。リスクアセスメントの結果を具体的な技術的セキュリティ要件に変換するための体系的なフレームワークを提供します。その中核は、識別・認証制御（IAC）、使用制御（UC）、システム完全性（SI）などの7つの基本要件（FRs）を定義しています。さらに、偶発的な誤用から国家レベルの高度な攻撃まで、様々な脅威に対するシステムの耐性を測定するための4つのセキュリティレベル（SL 1-4）を定めています。ITに焦点を当てたISO/IEC 27001とは異なり、IEC 62443-3は運用技術（OT）環境特有の高可用性と安全性が最優先される要求に特化しており、重要インフラや製造業にとって不可欠な指針となっています。

IEC 62443-3の適用は構造化されたプロセスに従います。ステップ1は「ゾーンとコンジットの分割」で、IEC 62443-3-2の指針に基づき、IACSを機能とリスクに応じてセキュリティゾーンに分割します。ステップ2は「目標セキュリティレベル（SL-T）の設定」で、各ゾーンのリスクアセスメントを行い、要求されるSLを決定します。ステップ3は「セキュリティ要件の導入と検証」で、7つのFRに基づき、産業用ファイアウォールやアクセス制御などの技術的対策を導入し、ゾーンのSL-Tを達成します。最終的に、達成されたセキュリティレベル（SL-A）が目標（SL-T）以上であることを検証する必要があります。例えば、あるグローバル自動車メーカーは、組立ラインにSL-3を割り当て、不正アクセスインシデントを95%削減し、TISAXなどの規制遵守を確実にしました。

台湾企業は主に3つの課題に直面します。第一に「ITとOTの文化的な隔たり」です。IT部門は機密性を、OT部門は可用性と安全性を優先するため対立が生じます。第二に「レガシーシステムの制約」で、多くの工場ではパッチ適用が困難な古い設備が使用されています。第三に、産業プロセスとサイバーセキュリティの両方に精通した「分野横断的な人材の不足」です。これらの課題を克服するためには、①IT、OT、経営層からなる部門横断的なガバナンス委員会を設立し、方針を統一する。②レガシーシステムには、ネットワーク分離や仮想パッチなどの「補完的統制」を用いる。③重要度の低いシステムから「段階的に導入」し、外部の専門家と連携して知識ギャップを埋め、プロセスを加速させることが推奨されます。

積穗科研は台湾企業のIEC 62443-3に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact