ソフトウェア資産管理(SAM)に関する調査研究の概要

Similar documents
Microsoft PowerPoint  講演資料.pptx

JIS Q 27001:2014への移行に関する説明会 資料1

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

PowerPoint プレゼンテーション

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

ISMS認証機関認定基準及び指針

ISO 9001:2015 から ISO 9001:2008 の相関表 JIS Q 9001:2015 JIS Q 9001: 適用範囲 1 適用範囲 1.1 一般 4 組織の状況 4 品質マネジメントシステム 4.1 組織及びその状況の理解 4 品質マネジメントシステム 5.6 マネジ

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

JAB の認定 ~ 最新情報 公益財団法人日本適合性認定協会認定センター

Microsoft PowerPoint - 第6章_要員の認証(事務局;110523;公開版) [互換モード]

目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

ISO/TC176/SC2/N1291 品質マネジメントシステム規格国内委員会参考訳 ISO 9001:2015 実施の手引 目次 1.0 序文 2.0 ISO 9001:2015 改訂プロセスの背景 3.0 ユーザグループ 4.0 実施の手引 4.1 一般的な手引 4.2 ユーザグループのための具

JISQ 原案(本体)

ISO9001:2015内部監査チェックリスト

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

Copyright Compita Japan ISO33k シリーズとは? これまで使用されてきたプロセスアセスメント標準 (ISO/IEC 本稿では以降 ISO15504 と略称する ) は 2006 年に基本セットが完成し 既に 8 年以上が経過しています ISO

品質マニュアル(サンプル)|株式会社ハピネックス

目次序文 適用範囲 引用文書 用語と定義 一般要求事項 法的及び契約上の事項 法的責任 認証の合意 ライセンス, 認証書及び適合マークの使用... 5

AAプロセスアフローチについて_ テクノファーnews

第 5 部 : 認定機関に対する要求事項 目次 1 目的 IAF 加盟 ISO/IEC 認定審査員の力量 連絡要員... Error! Bookmark not defined. 2 CB の認定

15288解説_D.pptx

2 診断方法および診断結果 情報セキュリティ対策ベンチマークは 組織の情報セキュリティ対策の取組状況 (25 問 + 参考質問 2 問 ) と企業プロフィール (15 項目 ) を回答することにより 他社と比較して セキュリティ対策の 取組状況がどのレベルに位置しているかを確認できる自己診断ツールで

< E9197BF C C A88D5C BA492CA29817A C982A882AF82E98FEE95F1835A834C A CE8DF4834B BD82BD82AB91E4816A5F34325F E977095D E786C7

セキュリティ委員会活動報告

< C582C C58B4B8A6982C682CC95CF8D58935F88EA C30382D31312D33302E786C73>

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 利害関係者の特定 QMS 適用範囲 3. ISO 9001:2015への移行 リーダーシップ パフォーマンス 組織の知識 その他 ( 考慮する 必要に応

Information Security Management System ISO/IEC 27001:2005 ISMS A Copyright JIPDEC ISMS,

ISO 9001 ISO ISO 9001 ISO ISO 9001 ISO 14001

組織内CSIRT構築の実作業

ISO/IEC 改版での変更点

1 BCM BCM BCM BCM BCM BCMS

Microsoft Word - JSQC-Std 目次.doc

PowerPoint プレゼンテーション

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

目 次 1. 適用範囲 P4 2. 引用規格 P5 3. 用語及び定義 P5 4. 組織の状況 P7 4.1 組織及びその状況の理解 P7 4.2 利害関係者のニーズ及び期待の理解 P7 4.3 個人情報保護マネジメントシステムの適用範囲の決定 P7 4.4 個人情報保護マネジメントシステム P7

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

ISMS情報セキュリティマネジメントシステム文書化の秘訣

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

PowerPoint プレゼンテーション

2011年度システム監査用語研究プロジェクト報告

BCMSユーザーズガイド -ISO 22301:2012対応-

青森県情報セキュリティ基本方針

IATF16949への移行審査

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

ハピタス のコピー.pages

Copyright 2008 All Rights Reserved 2

相続支払い対策ポイント

150423HC相続資産圧縮対策のポイント

PowerPoint プレゼンテーション

16年度第一回JACB品質技術委員会

JIP-IMAC a

ALogシリーズ 監査レポート集

<4F F824F B4B8A B818E968D802E786C73>

実地審査チェックリスト (改 0) QA-057_____

なぜ社会的責任が重要なのか

<4D F736F F D20939D8D87837D836A B B816996E BB8DEC8F8A816A F90BB8DEC E646F63>

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

5. 文書類に関する要求事項はどのように変わりましたか? 文書化された手順に関する特定の記述はなくなりました プロセスの運用を支援するための文書化した情報を維持し これらのプロセスが計画通りに実行されたと確信するために必要な文書化した情報を保持することは 組織の責任です 必要な文書類の程度は 事業の

事業継続ISOの上手な使い方――ISO 22301認証取得企業からみる実際の効果

JAB PD366:2017 認定の基準 についての分野別指針 - 風力発電システム : ウィンドファーム プロジェクト - JAB PD366:2017 第 2 版 :2017 年 9 月 27 日第 1 版 :2016 年 12 月 5 日 公益財団法人日本適合性認定協会 初版 :

FSSC の特徴 2014 年 7 月 4 日 Copyright 2014 Japan Management Association Quality Assurance 1

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

IT コーディネータ協会と SLA ~SLA サンプルと記述のポイント ~ 特定非営利活動法人 IT コーディネータ協会 2013 年 11 月 27 日 SLA-ITSM コンサルティング 古川博康 IT コーディネータは IT 経営を実現するプロフェッショナルです

<90528DB88EBF96E2955B2E786C73>

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

目 次 目次は制定時に全面的に見直すページ 1. 適用範囲 6 2. 関係文書 (Related documents) 引用文書 (Normative documents) 認定の一般基準 認定の固有基準及び指針 認定の規則 関連文書 (R

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 関連する利害関係者の特定 プロセスの計画 実施 3. ISO 14001:2015への移行 EMS 適用範囲 リーダーシップ パフォーマンス その他 (

文書管理番号

PowerPoint Presentation

Transcription:

制御システムに関するサイバーセキュリティマネジメントシステム (CSMS) の現状 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 高取敏夫 2015 年 5 月 http://www.isms.jipdec.or.jp Copyright JIPDEC,2015-All rights reserved 1 JIPDEC 組織体制 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 設立 : 昭和 42 年 12 月 20 日 事業規模 :25 億 1,610 万円 ( 平成 27 年度予算 ) 職員数 :108 名 ( 平成 27 年 4 月現在 ) JIPDEC 広報室 総務部電子情報利活用研究部プライバシーマーク推進センター 情報マネジメント推進センター 総務課 事務局 マイナンバー対応プロジェクト室 経理課 安信簡情報環境推進部 審査業務室 電子署名 認証センター 情報通信管理課 Copyright JIPDEC,2015-All rights reserved 2 1

情報マネジメント推進センターの主な業務内容 情報技術に関連するマネジメントシステムの認定機関としての業務及び各制度に関連する普及業務 ISMS/ITSMS/BCMS/CSMS 認定システム実施に伴う諸業務 ISMS/ITSMS/BCMS/CSMS 認定審査の実施 ISMS/ITSMS/BCMS/CSMS 関連の委員会事務局業務 IT 資産管理 (ITAM) に関する調査研究業務 国際認定機関やフォーラム ( IAF PAC 等 ) との相互連携の推進 ISO/IECなど( 国際規格 ガイド策定等 ) への積極的貢献 制御システムセキュリティの普及に関する業務 Copyright JIPDEC,2015-All rights reserved 3 制御システムセキュリティを実現するための基準 制御システム分野で広く共通的な活用ができる規格であり 制御システムの利用者 装置製造者のそれぞれで広く活用できるセキュリティ規格として IEC 62443 シリーズがある IEC 62443-1 シリーズ : この規格全体の用語 概念等の定義 IEC 62443-2 シリーズ : 組織に対するセキュリティマネジメントシステム IEC 62443-3 シリーズ : システムのセキュリティ要件や技術概説 IEC 62443-4 シリーズ : 部品 ( 装置デバイス ) 層におけるセキュリティ機能や開発プロセス要件 Copyright JIPDEC,2015-All rights reserved 4 2

制御システムセキュリティ標準 事業者インテグレータ 装置ベンダ 標準化 IEC62443-1 *1) IEC62443-2 管理 運用 フ ロセス IEC62443-3 技術 システム IEC62443-4 コンホ ーネント テ ハ イス EWS DCS/Slave DCS/Master PIMS 評価 認証 < 評価事業者 > WIB CSMS *2) 認証 *2 ISCI:ISASecure *3) EDSA 認証 *3 Wurldtec Achilles *4) *1) IEC62443 の Cyber security の標準化作業は IEC/TC65/WG10 が担当 ( 日本国内事務局は JEMIMA が対応 ) *2) Cyber Security Management System:ISMS を制御システム関連組織向けに特化した要求事項を規定 *3) EDSA:Embedded Device Security Assurance: 制御機器 ( コンポーネント ) の認証プログラム IEC62443-4 に提案されている ( 出所 :IPA IEC62443 及びCSMS/EDSA 規格の詳細 に一部加筆修正 ) Copyright JIPDEC,2015-All rights reserved 5 制御システムのサイバーセキュリティマネジメントシステム (CSMS) IEC 62443-2-1:2010(Industrial Communication networks Network and system security Part2-1:Establishing an industrial automation and control system security program) は IACS(Industrial Automation and Control System) をサイバー攻撃から保護するための要素を規定している IEC 62443-2-1(Ed.2) Requirements for an IACS Security management system 主要なカテゴリーは リスク分析 CSMS によるリスクへの対処 並びに CSMS の監視及び改善の 3 つで構成されている リスク分析をベースとしたセキュリティマネジメントシステムの構築が可能である Copyright JIPDEC,2015-All rights reserved 6 3

CSMS の対象者 CSMS 構築の目的は IACS( 産業用オートメーション及び制御システム ) のセキュリティの信頼性を確保することである CSMS 構築は 制御システムの保有事業者 ( アセットオーナー ) 及び運用 保守事業者 制御システムを構築事業者 ( システムインテグレーター ) の三位一体で取り組むことが必要不可欠であり 各事業者が単独で取り組むのではなく 直ちに関係プレイヤーが CSMS 構築に取り組む必要がある また IACS 自体のセキュリティを評価するのではなく IACS の設計段階から廃棄にいたるライフサイクルの各フェーズに携わる事業者がセキュリティ上の信頼性を確保するための要求事項に適合しているかどうかを評価することである その評価基準として CSMS 認証基準 (IEC62443-2-1:2010) を利用する 制御システムを保有する事業者 ( アセットオーナー ) IACS 制御システムの構築事業者 ( システムインテグレータ ) 構築 運用 保守 制御システムの運用 保守事業者 Copyright JIPDEC,2015-All rights reserved 7 CSMS 適合性評価制度の目的 CSMS(Cyber Security Management System) 適合性評価制度 ( 以下 CSMS 制度 * という ) は 産業用オートメーション及び制御システム (IACS:Industrial Automation and Control System) を対象としたサイバーセキュリティマネジメントシステムに対する第三者認証制度である CSMS 制度は わが国の制御システムセキュリティの向上に貢献するとともに 利害関係者からも信頼を得られるセキュリティ対策を確保し 維持することを目的としている ( 出典 :CSMS 適合性評価制度の概要 ) *CSMS 制度における CSMS とは 制御システムに関するセキュリティマネジメントシステムのことである (2014 年 4 月 25 日付経済産業省発行ニュースリリース ) Copyright JIPDEC,2015-All rights reserved 8 4

CSMS 適合性評価制度の運用体制 認証機関 * 申請 申請 要員認証機関 審査 ( 認定 ) 審査 ( 認定 ) 認定機関認定機関 申請 審査 ( 認証 ) JIPDEC JIPDEC 承認情報マネジメント推進センター情報マネジメント推進センター 意見 苦情 評価希望組織 申請 評価 ( 認証 ) 証明書発行 申請 審査員希望者 審査員研修機関 受講 * 認証機関 一般財団法人日本品質保証機構 (JQA) http://www.jqa.jp/ BSI グループジャパン株式会社 (BSI-J) http://www.bsigroup.com/ja-jp/ ( 出典 :CSMS 適合性評価制度の概要 ) Copyright JIPDEC,2015-All rights reserved 9 CSMS 適合性評価制度の組織運営機構 上級経営者 運営委員会 内部監査員 判定委員会 認証機関の認定の可否等を審議する 本制度の運営に関する方針等を諮問する CSMS 技術専門部会 本制度の普及に関する基準 ガイド等を策定する 事業統括責任者 登録 業務部門 審査部門 登録業務等の実施 認定審査業務の実施 Copyright JIPDEC,2015-All rights reserved 10 外部認定審査員 ( 出典 :CSMS 適合性評価制度の概要 ) 5

技術専門部会の開催状況 回数開催日主なテーマ 第 1 回 2014.06.17 第 2 回 2014.08.07 第 3 回 2014.09.26 第 4 回 2014.11.06 第 5 回 2014.12.22 第 6 回 2015.3.2 CSMS 制度運営体制の確認 CSMS 認証基準 / ユーザーズガイド / パンフレットの検討 CSMS 普及啓発活動の検討 CSMS パンフレット ( 日本語版 ) の最終案の確認 CSMS 説明会の実施について CSMS 認証基準 (IEC 62443-2-1:2010) の検討 CSMS 認証基準 (IEC 62443-2-1:2010) と JIS Q 27001:2014 のマッピング表の検討 CSMS 説明会 ( 東京会場 ) のプログラム及びアンケート調査票 ( 案 ) の検討 CSMS パンフレット ( 英語版 )( 案 ) の検討 JIS Q 27001:2014 のマッピング表の検討 CSMS 説明会 ( 東京会場 ) プログラム及びアンケートの検討 JIS Q 27001:2014 のマッピング表の最終検討 CSMS 説明会 ( 東京会場 ) アンケート集計結果の報告 CSMS 説明会 ( 大阪 / 東京会場 ) プログラム案の検討 CSMS 普及啓発活動の検討 JIS Q 27001:2014 のマッピング表の最終確認 ( 別紙 1 参照 ) CSMS ユーザーズガイド改訂版の検討 CSMS 説明会 (2/17 東京会場 ) アンケート集計結果の報告 今後の CSMS 普及啓発活動の検討 Copyright JIPDEC,2015-All rights reserved 11 CSMS に関する説明会の開催状況 開催日開催場所主な講演内容 ( 参加者 : 計 180 名 ) 2014.11.28 ( 参加者数 58 名 ) [ 東京 ] ( グランパーク 401 ホール港区芝浦 3-4-1) CSMS に関連する情報セキュリティ政策について サイバー攻撃対策における制御システムセキュリティの課題 CSMS 適合性評価制度及び認証基準の概要 CSMS ユーザーズガイド解説 事例 (2 講演 )- 認証取得企業 2015.2.17 ( 参加者数 79 名 ) 2015.2.26 ( 参加者数 43 名 ) [ 東京 ] ( グランパーク 401 ホール港区芝浦 3-4-1) [ 大阪 ] ( 大阪大学中之島センター講義室 703 大阪市北区中之島 4-3-53) 生産制御に関連する情報セキュリティ政策 サイバー攻撃対策における制御システムセキュリティの課題 CSMS 適合性評価制度及び認証基準の概要 CSMS ユーザーズガイド解説 事例 (2 講演 )- 認証取得企業 Copyright JIPDEC,2015-All rights reserved 12 6

業種 説明会アンケート集計分析結果 (1/7) 最も多い参加業種は 情報通信 (44%) で半数近くを占めており 製造 (16%) コンサルティング (10%) と続いている 今後製造業が増えることが課題である N=142 建設 エンジニアリング 5% ビル 不動産運営 0% 製造 16% その他 13% コンサルティング 10% 情報通信 44% 加工組立 0% 物流 0% 自動車 2% 医療 水道 政府 行政サービス 石油 化学 ガス 3% 電力 鉄道 0% 航空 0% 金融 Copyright JIPDEC,2015-All rights reserved 13 出典 : 平成 26 年度 CSMS 適合性評価制度に関する説明会実施報告書 説明会アンケート集計分析結果 (2/7) 業態業態別にみると システムインテグレーター (55%) が半数以上となっており 関心が強いことがうかがわれる N=108 ユーザー 15% 製品ベンダー 30% システムインテグレーター 55% Copyright JIPDEC,2015-All rights reserved 14 出典 : 平成 26 年度 CSMS 適合性評価制度に関する説明会実施報告書 7

職種 説明会アンケート集計分析結果 (3/7) 情報システム と 研究 開発 がともに 19% で 最も多い参加職種となっている 計装 電計 8% 研究 開発 19% その他 15% 情報システム 19% 営業 12% 経営 企画 13% 総務 人事 2% N=145 経理 財務 0% 生産 業務 2% 監査 5% 顧客サービス 4% ファシリティ管理 出典 : 平成 26 年度 CSMS 適合性評価制度に関する説明会実施報告書 Copyright JIPDEC,2015-All rights reserved 15 説明会アンケート集計分析結果 (4/7) 説明会の参加の立場 説明会への参加の立場は 制御システム供給者 (32%) コンサルタント (27%) の順となっている 制御システム利用者 6% 制御システム管理者 3% N=139 その他 15% 認証関係者 14% コンサルタント 27% 制御システム供給者 32% 制御機器供給者 3% 出典 : 平成 26 年度 CSMS 適合性評価制度に関する説明会実施報告書 Copyright JIPDEC,2015-All rights reserved 16 8

説明会アンケート集計分析結果 (5/7) ISMS 認証取得状況 現状では ISMS 認証取得済組織が 60% となっているが ほとんどは 制御システムを含まない (52%) となっている 認証取得済 ( 制御システム含む ) 8% N=123 認証取得予定 ( 制御システム含まない ) 3% 認証取得予定 ( 制御システム含む ) わからない 36% 認証取得済 ( 制御システム含まない ) 52% Copyright JIPDEC,2015-All rights reserved 17 出典 : 平成 26 年度 CSMS 適合性評価制度に関する説明会実施報告書 説明会アンケート集計分析結果 (6/7) ISMS 認証取得の適用範囲 全社 が 44% 情報システム部門 が 37% で 制御システム部門 は 3% となっている 制御システム部門 3% その他 16% N=73 情報システム部門 37% 全社 44% 出典 : 平成 26 年度 CSMS 適合性評価制度に関する説明会実施報告書 Copyright JIPDEC,2015-All rights reserved 18 9

説明会アンケート集計分析結果 (7/7) 制御システムにおけるセキュリティの状況 6 割の組織がサイバー攻撃等に対して 何らかの対策をしていることがうかがえる N=105 わからない 34% 必要はない 7% 対策済 59% Copyright JIPDEC,2015-All rights reserved 19 出典 : 平成 26 年度 CSMS 適合性評価制度に関する説明会実施報告書 CSMS と ISMS の関係 ISMS(ISO/IEC 27001) の構成 CSMS(IEC 62443-2-1) の構成 本文附属書 A( 規定 ) 差分 本文 全体で 126 要件 マネジメントシステム (MS) 選択 管理策 共通要件固有要件 マネジメントシステム (MS) + 手引書 手引書 ISO/IEC 27002 ( 管理策の実践規範 ) ISO 62443-2-1 と ISO/IEC 27001 では要件の記載レベルが異なり 一つの要件に複数の要件がマッピングされる 管理策 附属書 A ( 参考 ) CSMS の要素の開発に関する手引 IEC 62443-2-2 として提案中 注 :CSMS 固有要件は CSMS ユーザーズガイド付録 2 を参照されたい Copyright JIPDEC,2015-All rights reserved 20 ( 出典 :CSMS 適合性評価制度の概要 ) 10

CSMS 固有の要件の概要 (1/6) IEC 62443-2-1 JIS Q 270001:2014 項番条文項番条文 4. サイバーセキュリティマネジメントシステム 4.2 リスク分析 4.2.3 リスクの識別 分類及びアセスメント 4.2.3.3 上位レベルのリスクアセスメントの実行 IACS の可用性, 完全性又は機密性が損なわれた場合の財務的結果及び HSE(health,safety and environment) に対する結果を理解するために, 上位レベルのシステムリスクアセスメントが実行されなければならない 6.1.2 情報セキュリティリスクアセスメント 6.1.2c) 6.1.2d) 組織は, 次の事項を行う情報セキュリティリスクアセスメン 6.1.2d)1) トのプロセスを定め, 適用しなければならない 6.1.1 Para1 4.2.3.5 単純なネットワーク図の策定 組織は, 論理的に統合されたシステムのそれぞれについて, 主要装置, ネットワークの種類及び機器の一般的な場所を示す単純なネットワーク図を策定しなければならない 4.2.3.11 物理的リスクのアセスメントの結果と HSE 上のリスクのアセスメントの結果とサイバーセキュリティリスクのアセスメントの結果の統合 資産のリスク全体を理解するために, 物理的リスクのアセスメントの結果と HSE 上のリスクのアセスメントの結果とサイバーセキュリティリスクのアセスメントの結果が統合されなければならない Copyright JIPDEC,2015-All rights reserved 21 4.3 Para1 情報セキュリティマネジメントシステムの適用範囲の決定 組織は,ISMS の適用範囲を定めるために, その境界及び適用可能性を決定しなければならない 6.1.2 情報セキュリティリスクアセスメント 6.1.2c) 6.1.2d) 組織は, 次の事項を行う情報セキュリティリスクアセスメン 6.1.2d)1) トのプロセスを定め, 適用しなければならない 6.1.1 Para1 CSMS 固有の要件の概要 (2/6) IEC 62443-2-1 JIS Q 270001:2014 項番 条文 項番 条文 4.3 CSMSによるリスクへの対処 4.3.2 セキュリティポリシー 組織及び意識向上 4.3.2.4.5 訓練プログラムの経時的な改訂 新たな又は変化する脅威及びぜい弱性を説明するために, サイバーセキュリティの訓練プログラムが必要に応じて改訂されなければならない 4.3.2.6.3 リスクマネジメントシステム間の一貫性の維持 IACS のリスクに対処するサイバーセキュリティのポリシー及び手順は, 他のリスクマネジメントシステムによって作成されたポリシーに対して一貫性があるか, 又はそれらを拡張したものでなければならない 4.4 CSMS の監視及び改善 4.4.3 CSMS のレビュー, 改善及び維持管理 4.4.3.6 業界の CSMS 戦略の監視及び評価 マネジメントシステムの所有者は, リスクアセスメント及びリスク軽減のための CSMS のベストプラクティスに関して業界を監視し, それらの適用可能性を評価しなければならない 4.4.3.8 セキュリティ上の提案に関する従業員のフィードバックの要求及び報告 セキュリティ上の提案に関する従業員のフィードバックが, 積極的に求められ, パフォーマンス上の欠点及び機会の点から経営幹部に必要に応じて報告が戻されなければならない Copyright JIPDEC,2015-All rights reserved 22 11

CSMS 固有の要件の概要 (3/6) IEC 62443-2-1 JIS Q 270001:2014 項番 条文 項番 条文 4.3.3.2 要員のセキュリティ 4.3.3.2.3 要員の継続的な選別 要員に対しては, 利害の対立又は適切な方法で職務を実行することに対する懸念を示唆する可能性がある変化を確認するために, 継続的な調査も行われなければならない 4.3.3.3 物理的及び環境的セキュリティ 4.3.3.3.1 補助的な物理的セキュリティ及びサイバーセキュリティポリシーの確立 資産を保護するための物理的セキュリティとサイバーセキュリティの両方に対処するセキュリティのポリシー及び手順が確立されなければならない 4.3.3.3.10 重要資産の暫定的保護のための手順の確立 例えば火災, 浸水, セキュリティ侵害, 中断, 天災又はその他のあらゆる種類の災害が原因となって運用が中断しているときに重要なコンポーネントを確実に保護するための手順が確立されなければならない Copyright JIPDEC,2015-All rights reserved 23 CSMS 固有の要件の概要 (4/6) IEC 62443-2-1 JIS Q 270001:2014 項番 条文 項番 条文 4.3.3.6 アクセス制御 - 認証 4.3.3.6.5 適切なレベルでのすべてのリモートユーザの認証 旧 A.11.4.2 外部から接続する利用者の認証 削除 組織は, リモート対話ユーザを明確に識別するために, 適切な強度レベルの認証方式を採用しなければならない 管理策遠隔利用者のアクセスを管理するために, 適切な認証方法を利用しなければならない 4.3.3.6.6 リモートログイン及びリモート接続のポリシーの策定 組織は, 失敗したログイン試行及び活動のない期間に対する適切なシステム対応を定義した, ユーザによる制御システムへのリモートログイン及び / 又は制御システムへのリモート接続 ( 例えば, タスク間接続 ) に対処するポリシーを策定しなければならない 4.3.3.6.7 失敗したリモートログイン試行の後のアクセスアカウントの無効化 リモートユーザによる一定回数の失敗したログイン試行の後に, システムがそのアクセスアカウントを一定期間無効にしなければならない 4.3.3.6.8 リモートシステムの活動がなくなった後の再認証の要求 定義済みの, 活動のない期間が経過した後は, リモートユーザがシステムに再度アクセスできるようになる前に, リモートユーザに再認証が要求されなければならない 4.3.3.6.9 タスク間通信での認証の採用 システムでは, アプリケーションと装置の間のタスク間通信に対する適切な認証方式が採用されなければならな Copyright JIPDEC,2015-All い rights reserved 24 旧 A.11.4.2 外部から接続する利用者の認証 削除管理策遠隔利用者のアクセスを管理するために, 適切な認証方法を利用しなければならない A.9.4.2 セキュリティに配慮したログオン手順 管理策アクセス制御方針で求められている場合には, システム及びアプリケーションへのアクセスは, セキュリティに配慮したログオン手順によって制御しなければならない A.9.4.2 セキュリティに配慮したログオン手順 管理策アクセス制御方針で求められている場合には, システム及びアプリケーションへのアクセスは, セキュリティに配慮したログオン手順によって制御しなければならない A.13.1.1 ネットワーク管理策 管理策システム及びアプリケーション内の情報を保護するために, ネットワークを管理し, 制御しなければならない 12

CSMS 固有の要件の概要 (5/6) IEC 62443-2-1 JIS Q 270001:2014 項番 条文 項番 条文 4.3.3.7 アクセス制御 - 認可 4.3.3.7.3 役割に基づくアクセスアカウントによる情報又はシステムへのアクセス制御 アクセスアカウントは, そのユーザの役割に対して適切な情報又はシステムへのアクセスを管理するために, 役割に基づいていなければならない 役割を定義するときには, 安全性に対する影響が考慮されなければならない 4.3.3.7.4 重要な IACS に対する複数の認可方法の採用 重要な制御環境では, 複数の認可方法を採用して, IACS へのアクセスを制限しなければならない Copyright JIPDEC,2015-All rights reserved 25 CSMS 固有の要件の概要 (6/6) IEC 62443-2-1 JIS Q 270001:2014 項番 条文 項番 条文 4.3.4.3 システムの開発及び保守 4.3.4.3.4 システムの開発又は保守による変更に対するセキュリ A.14.2.2 システムの変更管理手順 ティポリシーの要求 既存のゾーン内のIACS 環境に設置される新しいシステムのセキュリティ要求事項は, そのゾーン / 環境において要求されるセキュリティのポリシー及び手順に合致していなければならない 同様に, 保守によるアップグレード又は変更が, そのゾーンのセキュリティ要求事項に合致していなければならない 4.3.4.3.5 サイバーセキュリティ及びプロセス安全性マネジメント (PSM) の変更管理手順の統合 サイバーセキュリティの変更管理手順が, 既存のPSM の手順に統合されなければならない 4.3.4.4 情報及び文書のマネジメント 4.3.4.4.5 長期記録の取得の保証 管理策開発のライフサイクルにおけるシステムの変更は, 正式な変更管理手順を用いて管理しなければならない 長期記録が取得できることを確実にするための適切な対策 ( つまり, より新しい形式へのデータの変換又はデータの読み取りが可能な旧式の機器の保持 ) が採用されなければならない 4.3.4.5 インシデントの計画及び対応 4.3.4.5.2 インシデント対応計画の伝達 すべての適切な組織に, インシデント対応計画が伝達されなければならない 4.3.4.5.11 演習の実行 インシデント対応プログラムを定期的にテストするために, 演習が実行されなければならない Copyright JIPDEC,2015-All rights reserved 26 の部分は ISO/IEC 27001:2005 版のCSMS 固有要件 13

CSMS 適合性評価制度の普及 ( 出典 :CSMS 適合性評価制度の概要 ) Copyright JIPDEC,2015-All rights reserved 27 今後も 様々な活動を通じて CSMS の普及促進に努めてまいります 皆様方のご支援 ご協力をお願いいたします お問い合わせ先 一般財団法人日本情報経済社会推進協会情報マネジメント推進センター URL http://www.isms.jipdec.or.jp/ Copyright JIPDEC,2015-All rights reserved 28 14

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック