セキュリティ―ＣＳＭＳ認証制度がスタート

ＣＳＭＳ認証制度がスタート

14 5/12

　各国の重要機関を狙ったサイバー攻撃が増加し、世界中で問題視されるなか、国内において重要インフラにおける制御システムのセキュリティマネジメントの国際標準「ＩＥＣ６２４４３―２―１（ＣＳＭＳ＝サイバー・セキュリティ・マネジメント・システム・フォー・インダストリアル・オートメーション・アンド・コントロール・システム）」認証制度の運用が開始され、三菱化学エンジニアリングと横河ソリューションサービスの2社が認証を取得した。認証体制の構築および認証の取得は、世界で初となる。

　これまでプラントや工場、電力・ガス・水道施設などで稼働する制御システムは、ウインドウズやＬｉｎｕｘ、汎用アプリなどで構築する業務系のシステムと違って、閉じた環境において専用のものとして構築されてきた。
　ところが、インターネットやクラウドといったＩＴ環境の進化やＩＴへの依存度の高まりに伴い、重要インフラの制御システムにおいてもネットワーク接続をはじめとする汎用技術の採用が進み、外部からの攻撃にさらされるリスクが増加し、実際に制御システムを狙った攻撃が増えるようになった。
　これらを背景として、国際標準化機関であるＩＥＣ（国際電気標準会議）において、制御システムのセキュリティ規格「ＩＥＣ６２４４３」が制定され、今回同規格に基づく第三者認証として、管理・運用体制を認証するＣＳＭＳが日本主導で開始された。このほかの認証には、米国主導で進められている制御機器のセキュリティ認証「ＥＳＤＡ認証」もある。
　ＣＳＭＳについては、経済産業省のパイロット事業を経て、情報システムのセキュリティマネジメントシステム（ＩＳＭＳ）と同様に日本情報経済社会推進協会（ＪＩＰＤＥＣ）が認定を発効する機関となり、民間事業者の日本品質保証機構およびＢＳＩグループジャパンがベンダーを審査・認証する機関という枠組みを構築した。

　　ＪＩＰＤＥＣによると、ＣＳＭＳ認証の対象は、制御システムを保有する事業者、システムを構築するインテグレーター、制御機器・装置のベンダーとなる。取得に際しては、三菱総合研究所（ＭＲＩ）が、ＣＳＭＳの構築・運用や認証取得のための参考書となる「ＣＳＭＳユーザーズガイド」を公開している。