Amazon Web Services ブログ

IIoT プロジェクトでの ISA/IEC 62443 の使用に関するガイダンス

この記事は Ryan Dsouza によって書かれた Guidance on using ISA/IEC 62443 for IIoT projects の日本語訳です。

イントロダクション

産業用モノのインターネット (IIoT) システムと、イノベーションとデジタルトランスフォーメーションのためのクラウドサービスの急増に伴い、政府機関と産業顧客は、拡大する攻撃対象領域の保護に直面しています。ISA/IEC 62443 シリーズの標準は、IIoT テクノロジが一般的になる前に作成されましたが、これらの環境を保護するための強力な基盤を提供します。このブログでは、ISA/IEC 62443 規格、規格の変更点、産業オートメーションおよび制御システム (IACS) での IIoT の使用をサポートする認定について説明します。

背景    

ISA/IEC 62443 シリーズの標準は、ISA99 と IEC が共同で開発したもので、サイバーセキュリティの堅牢性と回復力を IACS に設計する必要性に対応しています。62443 シリーズを適用する目的は、産業用オートメーションおよび制御に使用されるコンポーネントまたはシステムの安全性、可用性、完全性、および機密性を向上させることです。さらに、安全な産業用オートメーションおよび制御システムを調達および実装するための基準を提供します。62443 シリーズの要件への準拠は、サイバーセキュリティを強化し、脆弱性を特定して対処し、機密情報を危険にさらしたり、制御下にあるプロセスの機器(ハードウェアとソフトウェア)の劣化や障害を引き起こすリスクを軽減することを目的としています。62443 シリーズは、汎用情報技術(IT)システムのセキュリティに関する確立された標準(ISO/IEC 27000シリーズなど)に基づいており、IACS に存在する重要な違いを特定して対処しています。これらの違いの多くは、IACS によるサイバーセキュリティリスクがヘルシー、安全、または環境(HSE)に影響を与える可能性があり、その対応は他の既存のリスク管理慣行と統合する必要があるという現実に基づいています。

ISA/IEC 62443 は「コンセンサスベース」で包括的であり、さまざまな業界で広く使用されています。今日、IIoT の可用性が高まるにつれ、産業用オートメーション環境で使用できるテクノロジーと方法論の範囲が広がっています。この増加により攻撃対象領域が拡大し、本質的にこのような環境でのセキュリティ侵害のリスクが高まります。IACS で IIoT を使用する環境を保護するには、IACS のサイバーセキュリティライフサイクルを完全に理解することが有益です。ISA/IEC 62443 シリーズは、資産所有者とそのサービスプロバイダーが産業用オートメーションおよび制御システムで IIoT を使用する際に役立つ、リスクベース、多層防御、およびパフォーマンスベースのアプローチを提供できます。

ISA/IEC 62443 規格の理解

ISA/IEC 62443、正式には ANSI/ISA/IEC 62443 は、産業用サイバーセキュリティを扱う標準と技術レポートのセットです。全体的に見て、ISA/IEC 62443は、資産所有者 (エンドユーザー)、システムインテグレーター、およびメーカーが IACS の導入と運用のリスクを軽減できるように設計されています。図1 は、規格のさまざまな部分を示しています。マルチパート標準であることがわかります。

Figure 1: ISA/IEC 62443 documents (Courtesy of ISA)

図 1: ISA/IEC 62443 ドキュメント (ISA 提供)

これらの文書は、主な焦点と対象読者/役割に応じて 4 つのグループにまとめられています。これらの標準の構造と、強固な IACS セキュリティ体制を提供するための役割と責任が階層によってどのように定義されているかを検討するのは有益です。

  1. General – このグループには、シリーズ全体に共通するトピックを扱ったドキュメントが含まれています。
  2. Policies and Procedures – このグループのドキュメントは、IACS セキュリティに関連するポリシーと手順に焦点を当てています。
  3. System Requirements – – 3 番目のグループのドキュメントは、システムレベルでの要件に対応しています。
  4. Component Requirements – 最後の 4 番目のグループには、IACS 製品の開発に関連するより具体的で詳細な要件に関する情報を提供するドキュメントが含まれています。

これらの標準の利点は、資産所有者が特定の脅威レベルを参照する必要なセキュリティレベルを (自分で行うよりも) 簡単に定義できることです。サービスプロバイダーにとっての利点は、標準がエンドユーザーから指定された要件の明示的な言語を提供することです。また、製品メーカーやコンポーネントメーカーにとってのメリットは、(セキュリティの観点から) 自社製品の機能をより明確に説明し、競合他社との差別化を図ることができることです。これらはすべて、単に多数のセキュリティ機能を提供するよりも優れています。

PERA モデルと ISA TR 62443-4-3 (ドラフト)

今日、運用技術 (OT) 環境での IIoT の使用が増加しているため、IIoT をサポートするために標準を更新する必要があります。IIoT テクノロジが一般的になる前に標準が作成されたとしても、ほとんどの概念はそのまま適用可能であるか、その環境に適応させることができます。ISA 99 ワーキンググループ 9 は、テクニカルレポート ISA TR 62443-4-3 (ドラフト) を発行しました。これは、IEC が IEC PAS 62443-4-3 (ドラフト) と呼んでおり、IACS での IIoT テクノロジの使用に対処しています。

以前は、一般に Purdue モデルと呼ばれる Purdue Enterprise Reference Architecture (PERA) が IACS の参照モデルとして使用されていました。このモデルは、IIoT テクノロジーが覆す可能性のあるテクノロジーと接続に関するいくつかの仮定に基づいています。IIoT テクノロジーの出現により、PERA モデルの基準は曖昧になりました。これは、IIoT テクノロジーのインターネット接続の性質によって、物理ネットワークの分離と機能レベルの従来の考え方が変化したためです。IIoT テクノロジーは、モデルの機能の説明を時代遅れにすることはありませんが、1990 年代にこれらの機能をどこに配置できるかについて行われたネットワークアーキテクチャの例えを曖昧にしました。たとえば、そのモデルでは、レベル 0 (フィールドレベル) のデバイスはスマートではなく、外部システムに直接接続できませんでした。しかし今日では、小型の温度センサーや振動センサーを IIoT デバイスとして使用することもでき、PERA モデルの上位レベルをすべて回避してクラウドに直接接続できます。PERA モデルは既存の IACS の機能を説明するために使用されていましたが、当初は想定されていなかった安全なアーキテクチャを実装するためのモデルとして使用されるようになりました。

Figure 2: IIoT upsets the traditional Purdue (PERA) model (Adapted from ISA/IEC 62443-4-3 (draft))

図 2: IIoT は従来の Purdue (PERA) モデルを覆す (ISA/IEC 62443-4-3 (ドラフト) からの適応)

OT および IIoT サイバーセキュリティリスクの評価では、IIoT システムを使用した IACS のゾーンとコンジットの例を示し、資産所有者が ISA/IEC 62443-3-2、システム設計のためのセキュリティリスク評価を使用する方法について説明します。これは、検討中のシステム (SUC) を個別のゾーンとコンジットに分割することによる、リスク評価プロセスの重要なステップです。その意図は、サイバーセキュリティのリスクを軽減する一連の共通のセキュリティ要件を確立するために、共通のセキュリティ特性を共有する資産を特定することです。SUC をゾーンとコンジットに分割することで、サイバーインシデントの影響を抑えることで、全体的なリスクを軽減することもできます。ゾーン図とコンジット図は、IIoT サイバーセキュリティリスク評価を詳細に行うのに役立ち、脅威と脆弱性を特定し、結果とリスクを特定し、サイバーイベントから資産を保護するための修復または管理措置を提供するのに役立ちます。

ドラフトテクニカルレポート 62443-4-3 は、資産所有者が IIoT ソリューションを保護してセキュリティレベルの目標を達成するために利用できる、クラウドプロバイダーが提供できるセキュリティ機能の例をいくつか示しています。資産所有者が利用できるこれらのセキュリティ機能と AWS リソースの説明については、同封の表を参照してください。:

IIoT クラウドベース機能 (CBF) セキュリティコントロール 説明
ID 管理

クラウドプロバイダーは、IIoT 向けの ID 管理機能を提供できます。これらの機能には、デバイスの ID 管理とユーザーアクセスの認証と承認の両方が含まれます。

例: クラウド サービスプロバイダーは、ハードウェアセキュリティ モジュール (HSM) の使用、資格情報のローテーションをサポートできます。

AWS リソース

AWS は、ID 管理に役立つ次のアセットとサービスを提供します:

  1. AWS IoT でのセキュリティとアイデンティティ
  2. Amazon Cognitoは、ウェブおよびモバイルアプリの認証、認可、およびユーザー管理を提供するサービスです。
  3. AWS Identity and Access Management (IAM)は、AWS のサービスとリソースへのアクセスを安全に管理できるようにするサービスです。
  4. AWS IoT Greengrass のデバイス認証と認可
  5. AWS Secrets Managerは、シークレットをクラウドに安全に保存および管理し、AWS KMS を使用してシークレットを暗号化するために使用できるサービスです。
  6. 失効した中間 CA で IoT デバイス証明書を特定するブログ記事
  7. AWS IoT で IoT デバイス証明書のローテーションを管理する方法のブログ記事
  8. HSM と AWS IoT Device SDK ブログを使用して IoT デバイスのセキュリティを強化するブログ記事
コンポーネントの権限管理

クラウドプロバイダーは、クラウド内で、場合によっては IIoT CBF 機器へのアクセスと承認を制御する権利管理機能を提供できます。

AWS リソース

AWS は、コンポーネントの承認管理に役立つ次のアセットとサービスを提供します。

  1. AWS IoT でのセキュリティとアイデンティティ
  2. Amazon Cognitoは、ウェブおよびモバイルアプリの認証、承認、およびユーザー管理を提供するサービスです。
  3. AWS Identity and Access Management (IAM)は、AWS のサービスとリソースへのアクセスを安全に管理できるようにするサービスです。
  4. AWS IoT Greengrass のデバイス認証と認可
  5. AWS IoT Core 認証
データ保護ポリシー クラウドプロバイダーは、転送中および保管中のデータの暗号化の使用を含め、資産所有者が IIoT CBF でデータの可用性、整合性、プライバシー、および機密性を保護するのを支援する機能を提供できます。
例: 資産所有者のデータ分類と保護をサポートするAWS リソースAWS は、データ保護に役立つ次のアセットとサービスを提供します。:

  1. セキュリティとコンプライアンスのための AWS 共有責任モデル
  2. AWS データプライバシー
  3. AWS コンプライアンスプログラムとサービス
  4. AWS コンプライアンスソリューションガイド
  5. AWS KMS を使用すると、クラウドでの暗号化操作に使用されるキーを簡単に作成および制御できます。
  6. AWS IoT SiteWise でのデータ保護
  7. Amazon Macie は、機密性の高い IIoT データを大規模に検出して保護します。<
  8. AWS サービスのプライバシー機能
データレジデンシーポリシー

クラウドプロバイダーは、資産所有者がクラウド内のデータの常駐管理を確立する機能を提供できます。

AWS リソース

AWS は、データ レジデンシー要件に役立つ次のアセットとサービスを提供します:

  1. AWS グローバルインフラストラクチャ
  2. AWS データレジデンシーのホワイトペーパー
  3. データレジデンシーに対処するブログ記事
  4. AWS Outposts を使用すると、オンプレミスのネイティブ AWS サービスを拡張して実行できます
  5. AWS のハイブリッドクラウドサービス は、AWS インフラストラクチャとサービスをオンプレミスとエッジに拡張します
安全な通信管理

クラウドプロバイダーは、IIoT CBF 通信用の VPN やその他の安全な通信機能などのサービスを提供できます。これらの機能には、安全でない自動化プロトコルを送信前に安全な通信プロトコルに変換するサービスが含まれる場合があります。

AWS リソース

AWS は、安全な通信管理に役立つ次のアセットとサービスを提供します:

  1. デバイスを AWS IoT に安全かつ迅速に接続するのに役立つAWS IoT SDK
  2. 組み込みアプリケーションのネットワークとセキュリティのための FreeRTOS ライブラリ
  3. AWS IoT SiteWise のセキュリティのベストプラクティス
  4.  AWS Virtual Private Network (VPN) ソリューションは、産業プラントと AWS グローバルネットワークの間に安全な接続を確立します。
  5. AWS Direct Connect は、オンプレミスから AWS への専用ネットワーク接続を簡単に確立できるクラウド サービス ソリューションです。
  6. AWS IoT SiteWise ゲートウェイを使用すると、OPC-UA、Modbus TCP、Ethernet/IP などの産業用プロトコルを使用してデータを取り込むことができます。
  7.  Machine to Cloud 接続フレームワーク
監査および監視サービス

クラウドプロバイダーは、イベントを一元的に記録して分析を提供する機能など、IIoT CBF の監査および監視機能を提供できます。これには、脅威の検出と動作の異常も含まれます。

AWS リソース

AWS は、監査とモニタリングに役立つ次のアセットとサービスを提供します:

  1. IoT デバイスのフリートを監視および監査するための AWS IoT Device Defender
  2. CloudWatch Logs を使用して AWS IoT をモニタリングし、使用するすべてのシステム、アプリケーション、および AWS サービスからのログを、単一の非常にスケーラブルなサービスに一元化します。
  3. AWS CloudTrail を使用して AWS IoT API 呼び出しをログに記録し、AWS IoT でユーザー、ロール、または AWS サービスによって実行されたアクションの記録を提供します。
  4. AWS IoT Greengrass ログによるモニタリング
  5. AWS リソースの構成を評価、監査、および評価するための AWS Config
  6. AWS アカウントとワークロードを保護するために、悪意のあるアクティビティと不正な動作を継続的に監視する Amazon GuardDuty
  7. AWS セキュリティ チェックを自動化し、セキュリティアラートを一元化する AWS Security Hub
  8. AWS Security Hubで OT、産業用 IoT、クラウドにまたがるセキュリティ監視を実現するブログ記事
インシデント対応

クラウドプロバイダーは、資産所有者のインシデント対応活動を補完する機能を提供できます

AWS リソース

AWS は、インシデント対応に役立つ次のアセットとサービスを提供します:

  1. AWS セキュリティインシデント対応ガイド
  2.  AWS Systems Manager は、運用上の洞察を収集し、定期的な管理タスクを実行するための一元化された一貫した方法を提供します。
  3.  自動化されたインシデント対応でコンプライアンスを有効にし、IoT リスクを軽減するブログ記事
  4. AWS インシデント対応ブログ記事
  5. AWS カスタマーインシデント対応チームのブログ記事
Patch 管理

クラウドプロバイダーは、IIoT CBF 機器にパッチ機能を提供できます。

AWS リソース

AWS は、パッチ管理に役立つ次のアセットとサービスを提供します:

  1. FreeRTOS Over-the-AIr アップデート
  2. AWS IoT Greengrass Core ソフトウェアの OTA アップデート
  3. AWS IoT に接続された 1 つ以上のデバイスに送信して実行する一連のリモート操作を定義する AWS IoT ジョブ
  4. AWS Systems Manager Patch Manager は、オペレーティング システムやアプリケーションなど、セキュリティ関連の更新とその他の種類の更新の両方を使用して、マネージドインスタンスにパッチを適用するプロセスを自動化します。
  5. AWS IoT デバイス管理ジョブを使用してリモート操作をスケジュールするブログ記事
セキュリティ分析

クラウドプロバイダーは、異常を特定して複雑なイベントに関する洞察を得て、IIoT クラウドベース機能(CBF)のセキュリティ体制を改善する機能を提供できます。これにより、資産所有者はインシデントをタイムリーに検出して対応することができます。

AWS リソース

AWS は、セキュリティ分析に役立つ次のアセットとサービスを提供します:

  1. AWS IoT Device Defenderは、IoT のセキュリティ問題を特定して対応するのに役立ちます
  2.  AWS IoT Events は、IoT センサーとアプリケーションからのイベントを検出して対応するのに役立ちます
  3. Amazon GuardDutyは、インテリジェントな脅威検出で AWS アカウントを保護します
  4.  Amazon Security Lake  は、分析用のセキュリティデータを一元化するのに役立ちます
  5.  セキュリティ分析のための AWS サービス
OT および IIoT データのバックアップとリカバリ

クラウドプロバイダーは、IIoT CBF データのバックアップと復元のオプションを提供できます。

AWS リソース

AWS は、OT および IIoT データのバックアップとリカバリを支援するために、次のアセットとサービスを提供します:

  1. データの回復力とバックアップのニーズをサポートする AWS IoT Greengrass のレジリエンス
  2.  AWS を使用したバックアップと復元のユースケース
  3. AWS Elastic Disaster Recovery は、AWS への高速で信頼性の高い復旧を実現します
  4. AWS サービス全体のバックアップを一元的に管理および自動化する AWS Backup
  5. AWS IoT のためのディザスタリカバリソリューションガイダンス

図 3: クラウドプロバイダー (TR-62443-4-3 から) が AWS のサービスとガイダンスとともに提供するセキュリティ機能の例

資産所有者にとって役立つ AWS リソースには、アーキテクチャのベストプラクティスに沿った IIoT ワークロードを設計、デプロイ、設計するための AWS Well Architected Framework IoT レンズ製造 OT のための AWS セキュリティベストプラクティスホワイトペーパーなどがあります。

ISASecure IIoT コンポーネントセキュリティアシュアランス (ICSA)

ISASecure プログラムは、ISA/IEC 62443 シリーズの標準に基づく産業用モノのインターネット (IIoT) コンポーネントの新しい ISASecure 認定を発表しました。この認定は、業界で精査された IIoT 認定プログラムの必要性に対応しています。ISASecure IIoT Component Security Assurance (ICSA) は、IIoT デバイスおよび IIoT ゲートウェイのセキュリティ認定プログラムです。ICSA は 62443 規格に基づいており、ISASecure ICSA 仕様の要件を満たすコンポーネントは ISAsecure ICSA 認定を取得します。ISASecure ICSA 認定は、製品のセキュリティ特性と機能を認定する商標であり、「安全性整合性レベル」認証 (ISO/IEC 61508) と同様の独立した業界承認印を授与します。

まとめ

資産所有者は、ますます OT を IT/クラウドに接続し、IIoT を使用して運用効率を改善し、競争力を維持しています。この OT と IT の融合は、適切に管理する必要がある新しいリスクをもたらし、ISA/IEC 62443 規格と認証への変更を推進しています。ISA グローバルサイバーセキュリティアライアンス (ISAGCA)、ISA セキュリティコンプライアンス研究所 (ISCI)、ISA99 標準委員会、および業界パートナーとともに AWS は積極的に協力して ISA/IEC 62443 シリーズの標準と認証を更新し、すべての関係者が新たな IIoT セキュリティ要件に適切に対応できるようにしています。

資産所有者、IIoT 製品とシステムのサプライヤー、およびサービスプロバイダーにとって、OT/IT の融合によって進化するセキュリティとコンプライアンスの標準を認識することは有益です。62443 規格に基づく ISaSecure IIoT コンポーネントセキュリティアシュアランス (ICSA) はその一例です。TR 62443-4-3(ドラフト)およびIEC PAS 62443-4-3(ドラフト)に関するコメントやフィードバックは、ISA および IEC ワークグループのメンバーが、規格の新しいエディションの要件を作成するためのガイダンスを提供できます。ISA TR 62443-4-3(ドラフト)などの文書に早期にアクセスできるだけでなく、読者はさまざまな ISA 99 委員会やワーキンググループに参加することをお勧めします。ISA 99は、同業他社との学習やネットワーキングの絶好の機会となります。62443-4-3 の番号は、ISA/IEC 62443 規格の一部になると変更される可能性があることに注意してください。ICSA は 62443-4-1 および 62443-4-2 に基づいていますが、いくつかの例外と拡張があります。拡張機能は、IIoT 環境への 62443 原則の適用を明確にします。例としては、区分化技術を使用した「内部」ゾーンの作成、ソフトウェアアップデートのアプリケーションの制御、リモート管理、デバイス認証強度、クラウドサービスやクラウドインターフェースに対するコンポーネントの耐障害性の確保などがあります。さらに、認証を維持するには、継続的なセキュリティ保守監査が必要です。クラウドサービスはこの認定の対象外です。

追加資料

Sameer Kumar Headshot1.jpg

Ryan Dsouza

は AWS の産業用 IoT のプリンシパルソリューションアーキテクトです。ニューヨーク市を拠点とする Ryan は、AWS の幅広い機能を活用して、より安全でスケーラブルで革新的なソリューションを設計、開発、運用し、測定可能なビジネス成果を実現できるようお客様を支援しています。Ryanは、さまざまな業界でデジタルプラットフォーム、スマートマニュファクチャリング、エネルギー管理、建築および産業オートメーション、OT/IT コンバージェンス、IIoT セキュリティで25年以上の経験があります。AWS に入社する前は、アクセンチュア、シーメンス、ゼネラル・エレクトリック、IBM、AECOM に勤務し、デジタルトランスフォーメーションの取り組みで顧客にサービスを提供していました。

翻訳者について

TomoyaTozuka.jpg

戸塚 智哉

AWS IoT を得意領域としているソリューション アーキテクトで、製造・小売業界のお客様を中心にクラウド活用のご支援をさせていただいております。