CSMS（制御システムセキュリティマネジメントシステム） 適合性評価制度の概要

CSMS(Cyber Security Management System)適合性評価制度（CSMS制度）は、産業用オートメーション及び制御システム（IACS：Industrial Automation and Control System）を対象としたサーバーセキュリティマネジメントシステムに対する第三者認証制度です。

CSMS制度は、組織のIACSをサイバー攻撃から守るためのセキュリティ対策を確保するとともに、わが国の制御システムセキュリティの向上に貢献することを目的としています。

CSMS制度は、組織が構築・運用するCSMSがCSMS認証基準に適合しているか認証審査し登録する「認証機関」、審査員の資格を付与する「要員認証機関」、及びこれらの各機関がその業務を行う能力を備えているかを見る「認定機関」からなる総合的な運用の仕組みです。

組織がCSMS認証を取得するメリットとしては、CSMSを構築・運用することによるメリットに加えて、次のようなことがあげられます。
・サイバーセキュリティ管理体制の客観的な証明が可能
CSMS認証取得により、組織のサイバーセキュリティ管理体制の強化だけでなく、対外的にも事業者としての社会的責任を果たしていることの客観的な証明を得ることができます。
・第三者の視点でセキュリティチェック
認証機関の審査員による第三者監査を通じて、セルフチェックでは見えにくい新たな気づきを得ることができます。
・組織のブランド力の強化
インテグレータとして納入するシステムが、高いセキュリティ状態で構築できることについての第三者証明を得ることになるので、組織のブランド力が強化されます。

CSMS適合性評価制度において、第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準が「CSMS認証基準(IEC 62443-2-1:2010)」（JIP-CSCC100-1.0)です。
CSMS認証基準は、組織が事業活動全般及び直面するリスクに対する考慮のもとで文書化したCSMSを確立、導入、運用、監視、レビュー、維持及び改善するための一般要求事項を定めています。

• CSMS認証基準(IEC62443-2-1) Ver.2.0 [JIP-CSCC100-2.0]

マネジメントシステムの観点から、CSMSの構築・運用は制御システムに対するセキュリティ対策の実効性を継続的に向上させる効果があるため、CSMSの普及を促すことが、産業・社会基盤として重要な手段です。今後、認定された認証機関によるCSMS認証サービスを普及させることにより、制御システム事業者等が、国際的にビジネスを進める上で戦略的にCSMS認証を活用することが望まれます。
また、制御システムのオーナーや運用・保守事業者、システムインテグレータの多くの事業者がCSMS認証を取得することで、社会全体の制御システムのセキュリティ対策が持続的に向上することが期待できます。