産業オートメーション及び制御システムセキュリティ

ISA/IEC 62443は、産業オートメーション及び制御システム（IACS）、別名オペレーショナルテクノロジー（OT）のサイバーセキュリティに関する国際標準シリーズです。ISA99委員会が策定し、IECが採択しました。本標準は、従来のITセキュリティ規格（例：ISO/IEC 27001）ではカバーしきれない、製造工場や重要インフラ特有のセキュリティニーズに対応します。標準は「一般」「ポリシーと手順」「システム」「コンポーネント」の4部構成で、脅威への耐性を示すセキュリティレベル（SL）や、ネットワークを分割するゾーン＆コンジットといった重要概念を導入しています。これにより、リスクベースでOT環境を保護し、事業継続性を確保するための包括的な枠組みを提供します。

ISA/IEC 62443の導入は、体系的なリスクベースアプローチに従います。ステップ1は、IEC 62443-3-2に基づきリスクアセスメントを実施し、IACS資産を特定後、システムを「ゾーン＆コンジット」に分割します。ステップ2では、各ゾーンのリスクに基づき目標セキュリティレベル（SL-T）を設定します。ステップ3として、IEC 62443-3-3の7つの基本要件（FRs）に基づき、目標SL-Tを達成するためのアクセス制御等のセキュリティ対策を導入・検証します。例えば、ある台湾の半導体メーカーは、この手順で製造ラインを保護し、OT関連のインシデントを40%削減し、主要顧客のサプライチェーン監査に合格しました。

台湾企業がISA/IEC 62443を導入する際の主な課題は3つあります。第一に、IT部門（機密性重視）とOT部門（可用性重視）の文化的な隔たり。第二に、パッチ適用が困難なレガシーシステムの存在。第三に、制御システムとサイバーセキュリティ双方に精通した専門人材の不足です。対策として、ITとOT合同のガバナンス委員会を設置し、目標を統一します。レガシーシステムには、ネットワーク分離等の補完的統制を適用します。外部専門家と連携し、重要資産から段階的に導入計画を進めることが現実的な解決策となります。

積穗科研は台湾企業のISA/IEC 62443に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact