備忘メモ #07 IEC 62443-2-1:2024を読む

いつの間にかIEC 62443-2-1:2024"Security program requirements for IACS asset owners"が発行されたので、ざっと読んでみました。

IEC 62443-2-1とは

IEC 62443シリーズは、制御システムのセキュリティに関する国際標準で、国際電気標準会議（IEC）により発行されています。制御システムセキュリティに関しては、最近では様々な国際標準やガイドラインが発行されるようになりましたが、2010年頃には拠り所になる文書が少なく、それ以来現在に至るまで、貴重な標準文書として様々な他の文書で参照・活用されています。

IEC 62443シリーズはその内容によって複数の文書から構成されています。今回取り上げるIEC 62443-2-1"Security program requirements for IACS asset owners"には、制御システム（IACS, Industrial Automation and Control System）のアセットオーナー（所有者、たとえば電力会社・鉄道会社など）が実施すべきセキュリティプログラムの要件が書かれています。
今回（2024年8月）発行されたものは、2010年に発行された初版の改訂版で、実に14年ぶりの改訂になります。

IEC 62443-2-1:2024

2024年版で改訂された内容

IEC 62443-2-1には各種セキュリティ管理策が示されていますが、さすがに14年も経つと、様々な内容が追加されているようです。ざっと見た範囲では、サプライチェーン、多要素認証（MFA）、双方向認証など、新しめな内容が含まれていました。記載されている管理策は全部で87項目あり、次の8つの区分に整理されています。

• Organizational security measures（組織のセキュリティ対策）

• Configuration management（構成管理）

• Network and communications security（ネットワークと通信のセキュリティ）

• Component security（コンポーネントのセキュリティ）

• Protection of data（データ保護）

• User access control（ユーザアクセス制御）

• Event and incident management（イベント・インシデント管理）

• System integrity and availability（システムの完全性と可用性）

今後は他の標準やガイドラインとの対応付けが必要

IEC 62443-2-1は非常にメジャーな国際標準なので、様々なその他の文書から参照されています。今回のIEC 62443-2-1:2024でも、付録にNIST CSF(Cybersecurity Framework)やISO/IEC 27001の管理策・要求事項との対応関係が示されていました。

IEC 62443シリーズが改訂されるのと同様に、その他の文書も頻繁に改訂されます。そうなると、最新版同士での管理策の対応関係が気になります。しかし、管理策の対応関係を表形式で整理しようと思うと、非常に根気が要る作業になり、その労力を誰が担うかが問題になります。
実際、今回のIEC 62443-2-1:2024でも、NIST CSFは旧版の1.1版との対応関係が記載されていましたし（最新版は2024年1月の2.0版）、ISO/IEC 27001も旧版の2013年版との対応関係でした（最新版は2022年版）。
異なる標準・ガイドライン間の管理策の対応関係について、今後は何らかの自動化システムが必要になると思われます。