CSMSとは

CSMS(Control Systems Security Management Systems)とは、産業用オートメーション及び制御システム(IACS:Industrial Automation and Control System)を対象としたサイバーセキュリティ(注)のマネジメントシステムです。
(注) 重要なシステム又は情報資産に対する無許可での使用、サービス不能攻撃、改変、開示、収益の逸失、又は破壊を防止するために要求されるアクション(「CSMS認証基準(IEC 62443-2-1)(JIP-CSCC100-1.0)」による)

2. 制御システムセキュリティ対策の必要性

IACSとは、エネルギー分野(電力、ガス等)や石油・化学、鉄鋼等のプラント、鉄道等の交通インフラ、機械、食品等の生産・加工ライン、ビルの管理システムなど社会・産業基盤を支える産業用オートメーション及び制御システムです。
IACSは、従来、専用システムで構成され、外部ネットワークとは接続されていないことから、セキュリティ上の脅威は殆ど意識されていませんでしたが、近年、業務システム向けに開発された汎用技術(PCやサーバの基盤環境、TCP/IP等のプロトコル等)、ネットワーク(遠隔操作、遠隔保守等)、メディア(データ抽出、パラメータ変更)の活用が進んだ結果、IACSがサイバー攻撃の対象となりうる状況にあります。

このようなことから、IACSがサイバー攻撃を受けて停止した場合、社会インフラやビジネスの継続に深刻な影響を及ぼすだけでなく、HSE(注)に対する深刻な影響が生じる可能性もあります。したがって、組織のIACSをサイバー攻撃から守るためのセキュリティ対策を適切に管理する上で、CSMSの導入はもはや不可欠となっています。

(注) Heaith(健康)、Safety(安全)、Environment(環境)の頭文字であり、事業活動に伴う労働安全衛生問題や環境問題を示す

3. CSMSの対象者

CSMSの対象者は、制御システムのライフサイクルを考慮し、制御システムのオーナーである事業者に加え、システムの構築や運用開始後のシステム改修、維持保全を分担する事業者及びシステムインテグレータとしています。

CSMS構築・運用のメリット

組織が、CSMSを構築・運用することによるメリットとしては、次のようなことがあげられます。

サイバー攻撃に対するリスクの低減

CSMSの構築・運用を通じて、社内においてリスクマネジメントに対する理解が進むとともに、セキュリティに対する目的意識の高い取組みが期待できます。また、CSMSに基づくセキュリティ対策を実施することで、サイバー攻撃に対するリスクを低減することができます。

IACSの運用担当者に対するセキュリティ管理策の行動指針の徹底

IACSの運用担当者に対して、行動指針を徹底することで、ヒューマンエラーや組織に起因するセキュリティインシデントの発生可能性を低減することができます。また、インシデント訓練など教育カリキュラムを実施することで、セキュリティに対する意識の向上を図ることができます。

セキュリティ対策の継続的改善が可能

CSMS構築・運用により、企業内セキュリティガイドラインの改訂とともに、企業内の各事業所の間で運用実態が明確になり、継続的な改善を行うことができます。また、制御システムセキュリティに関する提案・設計・納入・設置について信頼性や説得力を付加することができます。

CSMS認証基準

IACSの構築・運用を担う組織にとって、セキュリティの根本的な向上の為には、セキュリティマネジメントシステムの仕組みが必要となります。IEC 62443シリーズでは、制御システムセキュリティ実現に活用できる基準の一つであるIACSのためのセキュリティマネジメントシステムとしてIEC 62443-2-1が規格化されています。
このIEC 62443-2-1に基づき、IACS分野のセキュリティマネジメントシステム認証基準として「CSMS認証基準(IEC 62443-2-1:2010)」が策定されました。