CSMS認証取得に関する文書

(1)

ネ

ン

Cyber Security Management System

CSMS

－

CSMS

認証基準

IEC 62443-2-1

対応－

Ver.1.2

成

７

５

(2)

め

当協会成24 度補算業あ認証基整備業

一組織ネンう制御

関第者認証等対基整備業実施

制御い製品面対策関組織管理

体制面対策要あ国標準 IEC 62443 あ業

中制御国標準あ IEC 62443-2-1：2010

CSMS認証基準 IEC 62443-2-1 策定

書 CSMS 認証業得知見制御関係

者 CSMS 構築運用認証得組資 CSMS 基的

考え方や認証基準解釈留意紹

1章 CSMS 役割等明 2章降 CSMS 構築運

用審査流沿構成い

文中四角枠 CSMS認証基準 IEC 62443-2-1 新版載当

箇所引用い

書 CSMS認証基準 IEC 62443-2-1 理解一助 CSMS

構築運用参考期待い

書作成あ CSMS 術専門部会委員皆様

協力頂い関係各対厚御礼申

成27 5

(3)

目

次

め

1. CSMS

... 1

1.1. 背景 ... 1

1.2. IACSをめ ... 2

1.3. CSMS 役割ッ ... 2

2. CSMS

開始

... 5

2.1. 業根策定 ... 5

2.2. CSMS 適用範策定... 5

2.3. ホ関 ... 6

2.4. 経営幹部コッン、支援及び資金供給獲得 ... 7

3. ベ

ン

... 8

3.1. 識別、優先ン ... 8

3.2. 結果び根文書化 ... 10

4. 詳細

ン

... 11

4.1. IACS 、ネッワ及び装置資産帳作成 ... 11

4.2. ニン及び優先付け ... 12

4.3. 詳細ぜい弱性識別 ... 12

4.4. 関連識別及び優先付け ... 13

5. 、組織及び意識向

確立

... 15

5.1. 及び手作成、導入 ... 15

5.2. 伝達 ... 16

5.3. 訓練活動策定 ... 17

5.4. 組織任割当 ... 18

6. 管理策

選択及び導入

... 19

6.1. 許容度確立 ... 19

6.2. 管理策選択 ... 20

6.3. 管理策導入 ... 22

6.4. 共通管理策選択 ... 23

6.5. 新規開発又既存変更 ... 23

6.6. ベ及び詳細ン更新 ... 24

(4)

7. CSMS

維持管理

... 28

7.1. 法及び規制制約監視 ... 28

7.2. 業界実践監視 ... 28

7.3. CSMS 効性測定 ... 29

7.4. CSMS 準監査 ... 29

7.5. CSMS ビ ... 30

7.6. CSMS 改良 ... 31

8. ン

っ

CSMS ... 32

9. CSMS

認証

取得

... 34

9.1. 準備申請 ... 34

9.2. 第一段階審査 ... 35

9.3. 第段階審査 ... 36

9.4. ベン定期審査 ... 36

9.5. 再認証審査 ... 36

9.6. 適用範大展開 ... 36

付録

1 IEC 62443

他

規格

関

... 38

付録

2 ISO/IEC 27001

：

2005

く

CSMS

認証基準

IEC 62443-2-1

け

あ

要求

CSMS

固

要件

... 40

付録

3 ISO/IEC 27001

：

2014

く

CSMS

認証基準

IEC 62443-2-1

け

あ

要求

CSMS

固

要件

... 45

用語

定義

... 50

(5)

1

1. CSMS

CSMS Cyber Security Management System 産業用ン及び制御

IACS: Industrial Automation and Control System 対象

1 ネンネン

組織業活動全般及び直面対考慮適管理利

害関係者信得組 CSMS ISMS 同様ネ

ン適用 IACS 対処

ISMS 情報自体要資産捉え情報機密性 Confidentiality 完全

性 Integrity 及び用性 Availability 喪失伴う特定必要応

効果的対応実施要考えい一方 CSMS 避

態操業中断挙 IACS 用性維持視

HSE2 対考慮特徴いえ

章 CSMS 全体像い紹

1.1. 背景

IACS ネ電力等や石油化学鉄鋼等ン鉄遈等

交通ン機械食品等生産ン社会産業基支え産業用

ン及び制御

IACS 従来専用構成外部ネワ接いい

脅威殆意識い近業

務向開汎用術 PC や基環境 TCP/IP等

等ネワ遠隔操作遠隔保等抽出変更

活用進結果いわ攻撃対象う状況あ

IACS 攻撃停場合社会ンやネ深刻影

響及 HSE 対深刻影響生能性あ

IACS 構築運用確保やいえ

う

IACS 全体わ保護対象あ運用

期間 10～20 非常長期間わや 24 時間 365 稼働求

多ン結果応管理策柔軟適用

1 _CSMS認証基準 IEC 62443-2-1 JIP-CSCC100-1.0

要又情報資産対無許使用能攻撃改変開示益逸失

又破壊防要求ンあ

2 _Health 健康 , Safety 全 , Environment 環境頭文あ業活動伴う労働全衛生

(6)

2

いあ否 IACS ネン

組う特徴十配慮必要あ

1.2. IACS

を

め

IACS 製品全性高 IACS 管理

強化あ一方方困あ

両方必要え製品い弱性あ攻撃能性

あ問題あい容易推測能

ンやワ使用いい管理甘ン奪

侵入

術面管理面両面 IACS ンネン制御機器装置等

開提供ン組合わ IACS 構築業者ン

や運用保業者保 IACS 活用や製品提供

業者協力実現必要あ

1.3. CSMS

役割

ッ

1.3.1. CSMS 役割

IACS 構築運用担う組織的向

ネン確立効情報管理運用い

ISO/IEC 27001 示情報ネン ISMS 適用一般

的 1.2.節示う IACS い特徴や性質配慮

ネン組必要 ISMS IACS

ネン IEC 62443-2-1 規格化い

IEC 62443-2-1 基 IACS ネン認証基準

CSMS認証基準 IEC 62443-2-1 JIP-CSCC100-1.0 CSMS認証基

準いう策定

1.3.2. CSMS 対象者

CSMS適合性評価制度対象組織 IACS 構築運用関

ネン確立第者あ認証審査録機関観的適合性

効性評価 CSMS認証対象者

 制御保業者

(7)

3

 制御構築業者ン

1-1 CSMS 対象者

1.3.3. CSMS ッ

(1) 攻撃対減

IACS 攻撃停場合社会的影響大企業

多大損害懸念許容能

減必須あ CSMS 基管理策実施

効将来的う組業者競力映

期待

(「)IA（S 運用担当者対管理策行動指針徹底

IACS 運用担当者対行動指針徹底ンや組織起

因故生能性減行動指針定期的見

直行う運用品質落維持あ

第者機関認証得管理策実施状況観

的評価

(」) 業者担う社会的任遂行

情報策会議要ン情報対策係第行動計画

成26 5 19 表要ン業者等業主体社会

的任う立場対策講的改善組求

い要ン業者限認証得ン

全面考慮緊急停装置信性設定全性向全計装

(SIS) 役割同様業者管理策実施社会的任果

運用保守

IACS

制御ステムを保有する事業者セットオナ

制御ステムの運用保守事業者

構築

(8)

4

い観的証明活用

(4)第者観点見新気

CSMS 部査自組問題課題明求

経緯や実情熟知社査員えう問題や課題見

えうあ認証機関審査員第者査通関係者

見い新気得

(5) ネン対理解進

CSMS 入運用通社い制御や対

理解進期待特許容い新管理策必

要い許容い対対応一必要管理策適用進

い理解進目的意識高い組期待

(6) 関対外的説明

ン場合 CSMS 認証得制御

関提案設計納入設置い信性や得力付考え

外展開い業者やン場合 CSMS 認証

得外府機関や引先組関

観的明能

参考 ISMS認証

認証観実績多い ISMS Information Security Management

System 認証関評価あ ISMS認証評価 CSMS

認証評価直接的繋いう結果類似効果得

期待考え

ISMS 組故件数や費用明確数効果出い

現場担当者顧う

故や遊報告原因析防改善いう意識定着

PDCA 意識付故防実効性向

従業員情報対理解高

現場運用者管理者ン強化真剣意見ぶ合う機会

(9)

5

2. CSMS

開始

章 CSMS 構築着手段階い明

2.1. 業

根

策定

4.「.「.1 業根策定

組織 IACS 管理組織組基礎

IACS 対組織固依性対処業策定

い

CSMS認証基準(IEC 62443-2-1) JIP-CSCC100-1.0 引用

組織 IACS 関業行う管理文書化

組織全体共通認識う要求

IACS 経営幹部関心対

う態招うう要因現実的脅威や回避

い具体化望想態え

IACS 停や破壊伴う中断やネ停滞法

遊 HSE Health Safety and Environment 悪影響あ

組織法人否公的私的問わ自営業者会社法人務所

企業当局共同経営会社非営利団体協会又一部組合

含え企業場業所特定部署等ネン構築

運用単考え

2.2. CSMS

適用範

策定

4.」.「.「（S２S 適用範

4.」.「.「.1 （S２S 適用範定義

組織適用範式書面形策定

い

4.」.「.「.「適用範内容定義

適用範 CSMS 戦略的目標及びン明

い

(10)

6

 体制要員  物理的

 ネワ構成等

認証審査適用範規定適用範定義書類策定必要

範適用範選択理由い明確

望

適用範策定境界明確境界情報 IN/OUT ン

望領域自身ンい

あう場合適用範定義書ネワ管理部門依

い第者入能領域載ン細

管理策選択流中対応方法明確必要あ

(例) 特定部署 CSMS 適用範ネワン当組織含

企業全体情報部門管理い当部門間い

運用対同意書覚書策定ネワン係両部

門管理関任範明確化

特定 CSMS 適用範顧や委先要員共用

部屋入断い入退管理録簿徹

底共連い組視設置徹底行動視

う

2.3. ホ

関

4.」.「.」.4 ホ構成定義

中 IACS 部対処

必要能結集う職務枠超え性質い

組織 CSMS 構築運用担当中的

編成必要あ 5.4節参照中的

推進及び督対任持組織要員構成

一般いう社外顧等組織

(11)

7

2.4. 経営幹部

コ

ッ

ン

、支援及び資金供給

獲得

4.」.「.6.8 対経営幹部支援表明

経営幹部是認

ン表明い

CSMS 構築運用及び認証審査経営幹部支援

IACS 関連組織い要性透いい場合経営幹

部要請抜従業員 CSMS構築協力的対応期待

経営幹部業やCSMS 戦略的目標基組織 CSMS 推進

明言 CSMS担当必要権限や付

組支援う関係各所働期待

認証審査経営ンい

(12)

8

3. ベ

ン

ン一般的種類い弱性

影響うあ能性あ及びい弱性脅威

利用能性調い弱性具体的例既入い関連

対抗策考慮い IEC 62443-2-1 AnnexA: A.2.3.3.3 引用い

細い弱性調着手全体像見失

い組焦置決定

経過い IEC 62443-2-1 Annex：A2.3.3.3

引用現状自組織行わい管理策一無視何行わいい

仮定うあ網羅的考え必要あ

3.1. 識別、

優先

ン

4.「.」.1 ン方法選択

組織組織 IACS資産関連脅威い弱性及び結果

」

基い

識優先付行うン及び析特定

及び方法選択い

4.「.」.「ン背景情報提供

組織識開始前ン活動参者対方

法関訓練適情報提供い

4.「.」.」ベン実行

IACS 用性完全性又機密性損わ場合務的結果及びHSE health

safety and environment 対結果理解

ン実行い

ン方法え手想定

IACS 対脅威やIACS い弱性組織直面

作成

CSMS 用性 A 関視特徴い

完全性 I や機密性 C 関無視いいう意味

あ

開入変更更新廃棄

想定作成

(13)

9

生能性類

基生能性い類具体的

表 3-1 う基準設定

表 3-1 能性尺度例

明

高 1 生能性高い脅威い弱性

中 10 生能性高い脅威い弱性

生生能性い

考え脅威い弱性

出所：IEC 62443-2-1 AnnexA 引用

結果影響度合い想定

基影響度合いい類具体的

表 3-2 う基準設定

表 3-2 結果尺度例

領域

業計画作成情報産業活動全

性

環境的全性

全国的影響

1

製造停複数

製

造停

(単 :100 万＄)

法的公衆

信人外人

環境基及び

高 >7 >1 >500 い刑犯罪

ン

喪失

死亡死亡又大地域ンン

地域機関国家機関召喚又広範及ぶ長期間大損傷

複数業対影響又地域

大規模動作中断

中 >2 >1時間 >5 軽い刑犯罪

顧信喪失

休職又傷

情又地域社会

影響

地域機関召喚

1社業超え影響

能性地域影響能性

>1 <1時間 <5 応急手当又

録能傷

情報告能限度回

規模限定的出

個会社業超え影響い地域

影響い

出所：IEC 62443-2-1 AnnexA 基作成

優先設定

いン付優先明

ン付生能性影響大基い設定具

(14)

10

表 3-3 ベ基準例

結果

高中

能

性

高高高中

中高中

中

出所：IEC 62443-2-1 AnnexA 基作成

ン実施ン方法検討

ン行う関係者対方法前教育作業

進う必要あ

3.2. 結果

び根

文書化

4.「.」.1」ン文書化

ン方法及びン結果文書化

い

ン結果文書化特生能性や結果影響

度合い優先う識録回ン

時混乱避

文書化組織既品質管理や文書管理従う適当

う要所録習慣身着 CSMS 運用業務

(15)

11

4. 詳細

ン

細ン既術的対抗策ンネン手

準特定制御ネワ個及び開いい

状態構成ネワ接特性細対

調査含細い弱性ン支援 IEC 62443-2-1

AnnexA: A.2.3.3.3 引用い

4.1. IACS

、ネッ

ワ

及び装置

資産

帳

作成

4.「.」.4 IA（S 識別

組織各種 IACS 識装置関集特

性識装置論理的化い

4.「.」.5 単純ネッワ策定

組織論理的統合い主要装置ネワ

種類及び機器一般的場所示単純ネワ策定い

対象 IACS やネワ識類え IACS

機器ン化方法あン物理

的ネワン沿能

4-1 IACS 例対ン

(16)

12

ISMS 入い組織場合 ISMS適用範資産帳や構成

既整備済あ帳や構成管理いう夫必要

4.2. ニン

及び優先

付け

4.「.」.6 優先付け

組織各論理制御軽減基準策定優先割

当い

組織い要管理策優先望え

ン抽出踏え影響能性あ

優先方法あ機器属ン

場合ン求応優先割

当方法考え

4.3. 詳細

ぜい弱性

識別

4.「.」.7 詳細ぜい弱性ン実行

組織組織個々論理IACS 細い弱性ン実行

いンン結果及び

IACS 優先付基い適用範決定い

4.「.」.14 ぜい弱性ン記録維持管理

IACS 構成資産い新い弱性ン録維持管理

い

IACS 構成機器及び情報いい弱性

包能性あ公開いい弱性例：JVN4 JVN iPedia5

や各ン公開い弱性情報等参照当固い弱性

洗い出望

ン結果や 4.2 優先基い

細ン適用範限定能

4 _{Japan Vulnerability Note: IPA} _JPCERT/CC 共同運営い弱性対策情報

https://jvn.jp/

(17)

13

4.4. 識別及び優先

付け

4.「.」.8 詳細ン方法識別

細い弱性ン識細い弱性優先付方

法組織ン方法含い

4.「.」.9 詳細ン実行

組織細い弱性ン識い弱性組込細

ン行わい

4.「.」.11 物理的ン結果 HS分ン結果ン結果統合

資産全体理解物理的ン結果 HSE

ン結果ン結果統合

い

4.「.」.1「 IA（S 全体わン実行

開実装変更及び廃棄含術段階わ

ン行わい

細ン方法え手想定

細い弱性ン結果踏え IACS 作

成

観要員物理的環境的

い適考慮要え

考え

無人時間帯あ部屋装置機器類設置い場合火災

起侵入者潜込検知い

能性あ

共用場合自組織外要員入

い検討必要あ

再利用場合復元能性考

慮利用時利用終わ同等適管

理必要あ

制御要度生能性識

作成い明確大 CSMS

(18)

14

表 4-1 ベ例

状況

高操業要い極危険

中既生能性ああ生

場合操業影響え能性あ

生能性仮生操業

(19)

15

5. 、組織及び意識向

確立

CSMS 認証基準又組織

資産保護う提供規定又

統制一連規則

5.1. 及び手

作成、導入

4.」.「.6.1 策定

組織経営認 IACS環境

策定い

4.」.「.6.「手策定

組織基い手策定及

び認満方法関手引提供い

4.」.「.6.」ネン間一性維持

IACS 対処及び手ネ

ン作成対一性あ又

張い

4.」.「.6.4 及び手準要求定義

IACS環境用及び手準要求含

いい

4.」.「.6.7 及び手ビ及び更新

及び手定期的新

あい確認検証適あ確実

必要応更新い

5.「.1 要員確立

対組織ン及び要員任明確

述確立要員在い要員

従業員採用定者契約従業員及び契約者含

5.」.1 補助的物理的及び確立

資産保護物理的両方対処

及び手確立い

作成要員物理環境 4

(20)

16

物理的配慮あ意識作成

求い

作成い CSMS 適用範あ組織

属組織や情報管理規程関係整理

必要あえ CSMS 適用範特定部署ネワン

当組織含企業全体情報部門管理い場合特定部署

ネワ管理独自設定認い能性あ

組織ネン入い場合整合

必要あ特 ISMS 入い組織場合 ISMS 文書類参照活用

効率化能全社 CSMS 対象組織関係前提

や管理規程実施手等文書体系い 5-1 例示

5-1 文書体系例

策定経営認必要あ

5.2. 伝達

4.」.「.6.6 組織及び手伝達

IACS環境用及び手適要員伝遉

い

組織 CSMS い関係従業員明

理解得必要あ具体的 CSMS 研修実施望程等制

約実施い場合組織全体情報研修中考

実施手順個別方針実施基準

基本方針

全社セキテポ上位ベ

CSMS組織固有のセキテポ

詳細ベ社規/各種個別管理規程

(21)

17

え

社ンネ公開

掲載文書行社配布経営従業員向

入明い組効

5.3. 訓練活動

策定

4.」.「.4 ッ訓練及び意識向 4.」.「.4.1 訓練策定

組織訓練設計及び入い

4.」.「.4.「手及び設備関訓練提供

要員従業員契約従業員及び契約者含初及び

定期的い手及び情報処理設備い使用関訓練

い

4.」.「.4.」要員対訓練提供

ネン IACS ンン管理保及びCSMS 影

響え組実行要員組

目的及び産業活動い訓練い

4.」.「.4.4 訓練検証

要員確実理解要員適訓練確実う

訓練的検証い

4.」.「.4.5 訓練経時的改訂

新又変化脅威及びい弱性明訓練

必要応改訂い

4.」.「.4.6 従業員訓練記録維持管理

従業員訓練録及び訓練更新維持管理定期的

い

組織 CSMS 構築運用担当要員対象教育訓練行い効人的

確保望教育訓練効性高何度

学習繰返い夫必要

CSMS 入期 IACS 訓練や指者

調遉い場合あ対応検討必要あ

状況訓練一部組織全体情報研修

(22)

18

5.4. 組織

任

割

当

4.」.「.」を目的組織編成 4.」.「.」.1 経営幹部支援獲得

組織対経営幹部支援得

い

4.」.「.」.「組織確立

経営主確立又選抜 IACS 的側面関明確

指示及び督提供任持組織構造又ネワ

在い

4.」.「.」.」組織任定義

及び関連物理的活動関組織任明確

定義い

組織 CSMS 構築運用担当中的

編成必要あ当活動滑進あ当

任範経営幹部支援得望

要員職務枠超え関連部門選出望

え対象 IACS 業所や管理運用部門関連情報部門

当任者構成場合広報部門法務部門総務

部門担当部署外要員含あ親会社や子会社

会社あ CSMS 対象業務い密接関係い場合連携

(23)

19

6. 管理策

選択及び導入

ン結果踏え必要管理策選択入

CSMS 認証前提い場合ン先自業務容や環

境要管理策洗い出作業着手能

顧 IACS 開ン場合認証基準中 IACS

IACS 開環境及び開ンえ管理策

要否検討必要あ

6.1. 許容度

確立

4.」.「.6.5 対組織許容度決定

組織作成及びネン活動基礎組織許容

度決定文書化い

対組織許容度設定ンい抽出

対方針明え表 6-1 う許容度設定場合

(4.4 参照) 高評価い組織ン計画停や

更新許容許容いいう断

表 6-1 許容度例

状況対応方針

高操業要い極

危険

ン計画停や更新

等合わ管理策実施

中既生能性あ

あ生場合操業影響

え能性あ

管理策実行い協議

決定

生能性い仮生

操業あ大影響

えい

(24)

20

6.2. 管理策

選択

※ 載冗長細管理策表題載

4.」（S２S 対処 4.」.1 概要

CSMS 対処あ組織実行い

4.」 CSMS 対処規定 CSMS 一部監. 細

管理策管理策選択い選択管理策及び選択理

由並び管理策中適用外管理策及び適用外当

あ理由示適用言書作成い

5.「要員

5.「.「要員初期段階選別 5.「.」要員的選別

5.「.4 任対処

5.「.5 期待及び任文書化及び伝達 5.「.6 関雇用条件明確記述

5.「.7 適抑制均衡を維持め職務離 5.」物理的及び環境的

5.」.「物理的境界確立

5.」.」入退管理実施

5.」.4 環境的損傷資産保護

5.」.5 手従うこ従業員要求 5.」.6 接保護

5.」.7 機器資産保

5.」.8 監視及び警報手確立

5.」.9 資産を追、除去及び廃棄手確立

5.」.10 重要資産暫定的保護め手確立 5.4 ネッワ割

5.4.1 ネッワ割策定

5.4.「高 IA（S 隔離又割採用 5.4.」障壁装置要通信ッ 5.5 制御－ン管理

5.5.1 ン認導入 5.5.「個人識別

(25)

21

5.5.5 要ン一時停又削除 5.5.6 ン許ビ

5.5.7 ワ変更 5.5.8 ン管理監査 5.6 制御－認証

5.6.1 認証方針策定

5.6.「使用前認証

5.6.」管理及びン構成強い認証方法要求

5.6.4 重要対試行記録及びビ 5.6.5 適ベ認証

5.6.6 ン及び接策定

5.6.7 失敗ン試行ン無効化 5.6.8 活動くっ再認証要求

5.6.9 間通信認証採用 5.7 制御－認

5.7.1 認定義

5.7.「 IA（S装置め適論理的及び物理的許方法確立 5.7.」役割基くン、情報又制御 5.7.4 重要 IA（S 対複数認方法採用

5.9 情報及び文書ネン 5.9.1 情報類ベ定義

5.9.「（S２S情報資産類 5.9.」適記録管理保証 5.9.4 長期記録取得保証

5.9.5 情報類維持管理

CSMS認証基準 5章示細管理策中対処断

対抗効管理策選択管理策採否や理由い

(26)

22

表 6-2 適用宣言書例

番採否理由

. . 物理的セキテ境界の確立

保護資産認いい対

壁提供一物理的境

界確立い

○ 業所執務

検証い入退

管理や施錠管理

実施い

. . ステムの使用前のすべてのの認証

入退管理術管理実践いう補い合う組合わ

在い場合要求ン使

用前認証

い

層業所入退管理

端及び

認証機能

運用

当い要

適用言書 ISMS同様CSMS認証審査い要役割持い審

査適用言書実施済管理策含管理策採用

う対応資産い確認

管理策採用い場合理由合理的あ移転い

在いい等確認

6.3. 管理策

導入

4.」.4.「ネン及び導入 4.」.4.「.1 IA（S 的管理

組織設備使用期間全体わ入う

管理 IACS装置及び対抗策選択及び入含ネン枠組

採用い

6.2節選択管理策入対処組織許容期間行う

必要あ期間念頭置い管理策適入計画策定求

新や基準持込従来行い活動

PDCA 適用方向整理 CSMS 管理策展方法

効

管理策入運用係課題容や組織状況異 CSMS 認

証等指摘多いえ挙

(27)

23 CSMS 観採用基準映いい

 要管理徹底

要社設置 CSMS 適用範意識管理施錠管理

権限管理等行いい

 憶媒体管理徹底

憶媒体貸出時管理徹底い返却管理曖昧あ

6.4. 共通

管理策

選択

4.」.4.「.「共通一連対抗策採用

物理的両方対処

共通定義済一連対抗策術的及び管理的定義特定

識い組織全体適用い

物理的密接関連い場合

損わ両方及ぶあ物理面

面両方影響うあ場合対抗管理策役割要あ

適用必須考え

6.5. 新規

開発又

既存

変更

5.8 開発及び保

5.8.1 機能及び能力定義及び

IACS 新いンネン機能及び能力前定義

開調遉実現全体

望い合うンネンン

ネンい

5.8.「変更管理開発及び導入

IACS環境変更管理開入い変更管理

利害対立防職務原則従わい

5.8.」 IA（Sを変更こン

提案 IACS 対変更明確定義基準使用産業活動及び

IACS 関術的知識持個人 HSE 及び

対変更及潜在的影響関

(28)

24

5.8.4 開発又保変更対要求

既ン IACS環境設置新い要求

ン環境い要求及び手合い

い同様保又変更ン

要求合いい

5.8.5 及び全性ネン PS２変更管理手統合

変更管理手既 PSM 手統合

い

5.8.6 及び手ビ及び維持管理

変更全性又業対増大い

確実運用及び変更管理及び手新状態

維持い

5.8.7 ッネン手確立及び文書化

ネン手確立文書化従わい

5.8.8 対策／ネン手確立及び文書化

対策ネン手確立文書化従わ

い

5.8.9 ッッ及び復元手確立

ン及び復元並び保護

手確立使用適検証い

開保伴うCSMS 組例え顧 IACS 開保

行うン場合組通顧 IACS環境保

護 IACS 必要性断顧あ

ン IACS 強化要性明管理策提案

立場

6.6. ベ

及び詳細

ン

更新

4.「.」.10 再ン頻度及び基準識別

組織術組織又産業活動変化基い再ン

あ基準識及びい弱性再ン度識

い

(29)

25

適ン及び細ン更新必要あ

更新え挙

IACS 新規入時

IACS 更新時

IACS 変更

法規制変更

IACS 対変化

6.7. 業

性及び

ン

対応計画

更新

6.7.1. 業計画

5.1 業計画

5.1.1 復旧目標規定

組織業計画作成前業必要性基い関

復目標規定い

5.1.「各対影響及び結果決定

組織大動作中断各影響一喪失

7. CSMS

維持管理

CSMS 構築適運用章 CSMS

維持管理必要作業い解

7.1. 法

及び規制

制約

監視

4.4.」.7 関連適用法令監視及び評価

組織関連適用及び変更法識

い

適用範関連法識

え IACS 関わ業務影響法挙

 刑法

 行禁等関法

 建築基準法同施行

 消防法同施行同施行規則

 競防法  著作権法

 各種業法 IACS 関わ業種業界規制法等

法いう基準基い遵性断視や測

定具体的用意求法改状況い常

視必要

7.2. 業界

実践

監視

4.4.」.6 業界（S２S戦略監視及び評価

ネン所者ン及び軽減 CSMS

関業界視適用能性評価

い

同業社 CSMS 入運用状況視優組あ参考自

身適用能性い検討望参考ン

(33)

29

挙

7.3. CSMS

効性

測定

4.4.「.」適合尺度確立

組織 CSMS 適合視使用ン指標及び成基準

定義い定期的査結果

ン及び傾向示尺度対ン

形表い

CSMS 効性観的把握限定的指標必要

えンン件数例遵い度や

い弱性対応状況従業員 CSMS 理解度部査指摘数指標活用

考え

7.4. CSMS

準

監査

4.」.4.4.7 情報及び文書ネン監査

情報及び文書ネン準関定期的実行

い

4.4.「適合

4.4.「.1 監査方法規定

査査方法規定い

4.4.「.「定期的 IA（S 監査実行

IACS CSMS 適合い検証及び手意

機能ン目的合い検証

IACS 定期的査 CSMS 含いい

4.4.「.」適合尺度確立

組織 CSMS 適合視使用ン指標及び成基準

定義い定期的査結果

ン及び傾向示尺度対ン

形表い

4.4.「.4 文書監査証跡確立

査証跡確立要求文書及び報告策定

(34)

30

4.4.「.5 非適合対懲罰処置定義

組織 CSMS 非適合何意味述関連い懲罰処置定義

行わい

4.4.「.6 監査員能力確保

適用範あ特定査要求能力規定

い要求独立性ン一環決定

い

CSMS 関部査改善必要明確行い部査

実施要員確保必要

え CSMS認証基準 4章 5章う 6.2節選択

細管理策要求目基目作成査対象設定

CSMS 関部査員う確保査員力

う断 CSMS 入段階課題特部査資格者求

能力い規定担当者十力観的明

うン用意望

査作業い確認容や証跡録要将来的

基準適合性 CSMS PDCA Plan Do Check

Act 回効性確保い確認要

部査細 ISO19011:2011 ネン査指針参照い

7.5. CSMS

ビ

4.4.」（S２S ビ、改善及び維持管理

4.4.」.1 （S２S 対変更を管理及び導入め組織割当

CSMS 変更改良及び入管理及び調整定義方法使用変更策定

及び入組織割当い

4.4.」.「（S２S 定期的評価

管理行う組織目的満い確実 CSMS

全体定期的評価い

4.4.」.」（S２S 評価確立

組織 CSMS 関連要素及び場合変更行う設

(35)

31

少大ンン生法及び規制変更

変化及びIACS 対大変更含い値組織許容度

基い

4.4.」.5 許容度ビ

組織術業目的社業務及び外部象識脅威及び社会状況変化

含対大変化在対組織許容度

開始い

組織 CSMS 関過去効性見込ン行う CSMS

状況定期的求

個組い活動計画時期定進捗管理望

目的 CSMS 認証基準網羅 IACS 保護あ

周知 PDCA 作業作業いう留意

7.6. CSMS

改良

4.4.」.4 是処置及び予防処置識別及び導入

組織目的満 CSMS 変更適是処置及び防処

置識及び入い

4.4.」.8 提案関従業員ッ要求及び報告

提案関従業員積極的求

ン及び機会経営幹部必要応報告戻

い

CSMS 何問題あ場合適是処置や防処置入必要

是処置対象え故や遵等抽出

問題当把握情報集組整備

望

従業員改善提案集活用組整え

(36)

32

8. ン

っ

CSMS

顧 IACS 開ン CSMS 認証基準 IACS

載 IACS 開環境及び開ンえ方向

CSMS 入や認証得組想定い IACS 開環境開

検査出荷関わあ開ン納入

生産設備制御い

実機械的え困認証通明

特えい思わ CSMS認証基準目い載

(1)4.「.」.1 ン方法選択

条文組織 IACS資産関連冒頭始

組織 IACS資産明ン業者 IACS設備

箇条ン方法い CSMS認証基準独自要

要件断認証え選択

(「)4.「.」.4 IA（S 識別

識対象装置あ IACS 実運用環境

装置指えい考え

(」)4.「.」.11 物理的ン結果 HS分ン

結果ン結果統合

ン向 HSE う捉え課題適用範

開環境 OA環境観火災震災等備え管理策考え

(4)5.4.1 ネッワ割策定

IEC62443 ン考え方要 IACS装置共通

持ンあ CSMS認証基準いネ

ワ割対抗策対象 IACS 装置いン

開環境要社ネワ割管理策入

い場合要 IACS装置同様置考え

(5)5.7.「 IA（S 装置め適論理的及び物理的許方法確立

IACS 装置え適用範開環境要

(37)

33

(6)5.8.1 機能及び能力定義及び

開入新ンネン納入適用あい開環

境機能適用断ン

前者扱う考え

(7)5.8.5 及び

6

全性ネン PS２: Process

Safety Management 変更管理手統合

来ン求 PSM ン開環境え一

般的情報ネワ適用いえ

HSE 同義捉え考え

(8)5.8.6 及び手ビ及び維持管理

ン CSMS 変更増大

い納入先環境全あ配慮開

変更考慮望

(38)

34

9. CSMS

認証

取得

2～7章 CSMS 構築運用関組紹 CSMS適合性評価

制度 CSMS制度7 いう組適実施 CSMS認証

基準適合い第者認証う組

認証審査等流通

準備申請

第一段階審査

第段階審査

ン定期審査

再認証審査

9.1. 準備

申請

9.1.1. 認証基準基く文書規程体制等整備

CSMS認証い CSMS認証基準適合い確認う文書

類用意必要あ

又組織資産保護

提供基的方針明文化場合組織 IACS

管理い業載

適用範定義書

CSMS 適用範体制要員物理的ネワ構

成等明資料文書改訂度等考慮適用対象人数等変動

能性高い情報い紙載紙参照う合理的

資産帳

CSMS 適用範 IACS及び関連機器情報い洗い出管理

CSMS適用言書

ン結果基対処必要目い 5 章

載細管理策適用行うう断理由載文書

あ管理策招能性留意必要あえ

用性確保機密性損能性生

7 _CSMS制度 CSMS 制御関ネン

(39)

35

組留意望

適文書管理文書番号や改訂歴整え望

業界特殊専門用語い能範理解やい一般的用語置

換え望

CSMS認証基準い込既作業適合性検討

文書規程整備や管理策適用作業合理的入形

進

9.1.2. ビ、監査実施

第段階審査ンや管理策適用部査やネ

ン等一通完了求

ネン CSMS 運用適妥当効果的あ経営

確認要ネンン対応計画や実施

状況部査結果等え従業員改善提案引先や委先等利害関係者

等映望ネン結果第

段階審査確認

部査結果指摘あ場合是処置い第段階審査

確認留意う

9.2. 第一段階審査

第一段階審査主第段階審査準備整いう審査員断

容大指摘能性確認文書類確認行わ

第一段階審査主文書類整備状況中心審査終的

置第段階審査指摘懸念あ目懸念領域抽出

懸念領域確認場合第段階審査移行認

適用範妥当性い

大適合能性あ

部査ネン第段階審査実施計画い

(40)

36

9.3. 第

段階審査

第一段階審査結果踏え審査員当組織運用 CSMS 要求適合

状況効性評価認証向推薦否審査員断

第段階審査経営ン従業員ン含主

CSMS 運用状況中心審査えン抽出

対処い第段階審査前管理策適用や改善関計画策

定求部査結果やネン結果及び

是処置第一段階審査懸念領域指摘い対応状況確認

大適合指摘場合認証推薦いあ再審査

万一定異議あ場合異議申立行う制度あ

9.4. ベ

ン

定期審査

認証録認証書行 3 間効認証更新状況維持改善

い定期審査必要あ定期審査認証効期間中定

期的行わ審査通常 1 毎8 実施ン前回審査

指摘是処置実施状況確認運用状況確認要求

対適合性効性いう観審査行わ

9.5. 再認証審査

再認証審査 3 毎行わ通常認証効期限数ヶ前実施

9.6. 適用範

大

展開

組織 CSMS認証適用範段階的大選択場合あ

大方向体制要員部署業業務等物理的施設設備場

等ネワ構成機器ネワン

等あ

組織い特定物理的生産設備初適用範場合対象や設

備広い方向考えンい特定部署

特定開業務初適用範場合当部署業務展開

(41)

37

考え

外展開場合既適用範組流用

言語や文化商慣習法制度等遊い考慮必要あえ

容英語訳意伝わい

(42)

38

付録

1 IEC 62443

他

規格

関

IEC 62443 構成

IEC 62443 制御実現活用基準一

 IEC 62443-1：規格全体用語概念等定義  IEC 62443-2：組織対ネン  IEC 62443-3：要件や術概

 IEC 62443-4：部品(装置 ) 機能や開要件

*1) IEC62443 Cyber security 標準化作業 IEC/TC65/WG10 担当 ( 国務局 JEMIMA 対応)

*2) Cyber Security Management System：ISMS 制御関連組織向特化要求規定

*3) EDSA:Embedded Device Security Assurance：制御機器( ンネン ) 認証 →IEC62443-4 提案い

0-1 制御け IEC62443 標準全体像

出所：IPA IEC62443及びCSMS/EDSA規格詳細

9

、 2013/03 一部筆修

ネン認証 CSMS 製品認証 EDSA 関

ネン認証 CSMS や運用保業者

ン対象製品認証 EDSA 機器対象規格

ISA Security Compliance Institute ISCI 制御ンネン製

品認証あ EDSA 認証 Embedded Device Security Assurance

Certification program 実施い

IEC 62443-4-1及びIEC 62443-4-2 い現在標準化中(2014 6 時 )

(43)

39

CSMS ISMS 関

CSMS認証基準あ IEC 62443-2-1 ISO/IEC 27001：2005 要求参考

制御攻撃固対策追作成

い ISMS 同様要件多数載い ISMS 既得

い企業 CSMS 実現必要多経験い考え

独立行法人情報処理推進機構 IPA 10 IEC 62443-2-1 ISO/IEC

27001：2005 載い要件比較結果大半要件共通あ固要

件少数あ明い付録2参照

同析対策立案 CSMS 各い

IEC 62443-2-1 載い要件ン結果 IEC

62443-2-1 人環境等対洗い出や

全般開～廃棄各洗い出災害時や更

新時や全性いう対策機能実装や運用実施

求い指摘い

現在 ISO/IEC 27001:2005版改 ISO/IEC 27001:2013版行い

IEC 62443-2-1 ISO/IEC 27001:2013 載い要件比較結果い

付録3 示通

ISO/IEC 27001：2013附属書A A.17 管理策組織全体業管理

言及業管理ネン情報側面視置

いい付録3 比較結果映いい留意い

10 _IPA 制御ネン構築向～ IEC62443-2-1

活用～ ,2012 10

(44)

40

付録

2 ISO/IEC 27001

：

2005

く

CSMS

認証基準

IEC 62443-2-1

けあ

要求

CSMS

固

要件

CSMS認証基準 Ver.1.0

IEC 62443-2-1

番要件

ネン

4.2 析

4.2.3 識類及びン

4.2.3.2 ン背景情報提供

4.2.3.2

組織識開始前ン活動参

者対方法関訓練適情報提供

い

4.2.3.5 単純ネワ策定

4.2.3.5

組織論理的統合い主要装置

ネワ種類及び機器一般的場所示単純ネワ

策定い

4.2.3.11 物理的ン結果

HSE ン結果

ン結果統合

4.2.3.11

資産全体理解物理的ン

結果 HSE ン結果

ン結果統合い

4.2.3.12 IACS 全体わ

ン実行 4.2.3.12

開実装変更及び廃棄含術段

階わン行わい

(45)

41 CSMS認証基準 Ver.1.0

IEC 62443-2-1

番要件

4.3.2 組織及び意識向

4.3.2.3.2 組織確立

4.3.2.3.2

経営主確立又選抜 IACS 的

側面関明確指示及び督提供任持

組織構造又ネワ在い

4.3.2.4.5 訓練経時的改訂

4.3.2.4.5

新又変化脅威及びい弱性明

訓練必要応改訂

い

4.3.2.6.3 ネン間

一性維持 4.3.2.6.3

IACS 対処及び手

ネン作成対

一性あ又張い

4.4 CSMS 視及び改善

4.4.3 CSMS 改善及び維持管理

4.4.3.1 CSMS 対変更管理及び

入組織割当 4.4.3.1

CSMS 変更改良及び入管理及び調整定義方法使

用変更策定及び入組織割当

い

4.4.3.8 提案関従業員

要求及び報告 4.4.3.8

提案関従業員積極的

求ン及び機会経営幹部必要

応報告戻い

(46)

IEC 62443-2-1

番要件

細管理策

5.2 要員

5.2.3 要員的選

4.3.3.2.3

要員対利害対立又適方法職務実行

対懸念示唆能性あ変化確認的

調査行わい

5.2.7 適抑制均衡維持職務

4.3.3.2.7

IACS 機能的運用変更ン対完全制御

一個人持いう要員間任務適

抑制均衡維持い

5.3 物理的及び環境的

5.3.1 補助的物理的及び

確立 4.3.3.3.1

資産保護物理的

両方対処及び手確立

い

5.3.10 要資産暫定的保護手

確立 4.3.3.3.10

例え火災水侵害中断天災又あ

種類災害原因運用中断い要

ンネン確実保護手確立

い

5.5 制御ン管理

5.5.5 要ン一時停又削

4.3.3.5.5

ン例え職務変更や要

一時停又削い

(47)

IEC 62443-2-1

番要件

5.6.3 管理及びン構成

強い認証方法要求 4.3.3.6.3

管理者ン及びン

構成ン強い認証実践強いワ要求

使用い

5.6.7 失敗ン試行

ン無効化 4.3.3.6.7

一定回数失敗ン試行

ン一定期間無効

い

5.6.9 間通信認証採用

4.3.3.6.9

ン装置間間通信対

適認証方式採用い

5.7 制御認

5.7.2 IACS装置適

論理的及び物理的許方法確立 4.3.3.7.2

IACS 装置許論理的あ既知

役割基い付又拒否行う

規則物理的あ実行中ンン

制限錠及び管理策又両方

い

5.7.3 役割基ン

情報又制御 4.3.3.7.3

ン役割対適情報又

管理役割基いい

い役割定義全性対影響考慮

い

5.7.4 要 IACS 対複数認方法

採用 4.3.3.7.4

要制御環境複数認方法採用 IACS

制限い

(48)

IEC 62443-2-1

番要件

5.8.4 開又保変更対

要求

4.3.4.3.4 既ン IACS環境設置新い

要求ン環境い要求

及び手合いい同様保

又変更ン要求

合いい

5.8.5 及び全性

ネン PSM 変更管理手統合

4.3.4.3.5 変更管理手既 PSM 手統合

い

5.8.6 及び手及び維持管理 4.3.4.3.6 変更全性又業対

増大い確実運用及び変更管理及

び手新状態維持い

5.9 情報及び文書ネン

5.9.5 情報類維持管理 4.3.4.4.6 特管理又処置必要情報特処置必要あ

検証定期的実行

い

5.10 ンン計画及び対応

5.10.2 ンン対応計画伝遉 4.3.4.5.2 適組織ンン対応計画伝遉

い

5.10.10 見問題対対処及び修 4.3.4.5.10 見問題対処修い確実

(49)

45

付録

3 ISO/IEC 27001

：

2014

く

CSMS

認証基準

IEC 62443-2-1

けあ

要求

CSMS

固

要件

CSMS認証基準 Ver.1.0

IEC 62443-2-1

番要件

ネン

4.2 析

4.2.3 識類及びン

4.2.3.3 ン実行

4.2.3.3

IACS 用性完全性又機密性損わ場合務的結果及

びHSE health,safety and environment 対結果理解

ン実行

い

4.2.3.5 単純ネワ策定

4.2.3.5

組織論理的統合い主要装置

ネワ種類及び機器一般的場所示単純ネワ

策定い

4.2.3.11 物理的ン結果

HSE ン結果

ン結果統合

4.2.3.11

資産全体理解物理的ン

結果 HSE ン結果

ン結果統合い

4.3 CSMS 対処

(50)

IEC 62443-2-1

番要件

4.3.2.4.5 訓練経時的改訂

4.3.2.4.5

新又変化脅威及びい弱性明

訓練必要応改訂

い

4.3.2.6.3 ネン間

一性維持

4.3.2.6.3

IACS 対処及び手

ネン作成対

一性あ又張い

4.4 CSMS 視及び改善

4.4.3 CSMS 改善及び維持管理

4.4.3.6 業界 CSMS戦略視及び評価

4.4.3.6

ネン所者ン及び軽

減 CSMS 関業界視

適用能性評価い

4.4.3.8 提案関従業員

要求及び報告 4.4.3.8

提案関従業員積極的

求ン及び機会経営幹部必要

応報告戻い

細管理策

5.2 要員

5.2.3 要員的選

4.3.3.2.3

要員対利害対立又適方法職務実行

対懸念示唆能性あ変化確認的調

(51)

IEC 62443-2-1

番要件

5.3 物理的及び環境的

5.3.1 補助的物理的及び

確立 4.3.3.3.1

資産保護物理的

両方対処及び手確

立い

5.3.10 要資産暫定的保護手

確立

4.3.3.3.10

例え火災水侵害中断天災又

あ種類災害原因運用中断い

要ンネン確実保護手確立

い

5.6 制御認証

5.6.5 適

認証

4.3.3.6.5

組織対明確識適

強度認証方式採用い

5.6.6 ン及び接

策定

4.3.3.6.6

組織失敗ン試行及び活動い期間対

適対応定義制御

ン及び又制御接

例え間接対処策定

い

5.6.7 失敗ン試行

ン無効化 4.3.3.6.7

一定回数失敗ン試行

ン一定期間無効

(52)

IEC 62443-2-1

番要件

5.6.8 活動

再認証要求 4.3.3.6.8

定義済活動い期間経過

再度う前再認

証要求い

5.6.9 間通信認証採用

4.3.3.6.9

ン装置間間通信対

適認証方式採用い

5.7 制御認

5.7.3 役割基ン

情報又制御

4.3.3.7.3

ン役割対適情報又

管理役割基いい

い役割定義全性対影響考慮

い

5.7.4 要 IACS 対複数認方法

採用

4.3.3.7.4 要制御環境複数認方法採用 IACS

制限い

5.8 開及び保

5.8.4 開又保変更

対要求

4.3.4.3.4

既ン IACS環境設置新い

要求ン環境い要求

及び手合いい同様保

又変更ン要求

(53)

IEC 62443-2-1

番要件

5.8.5 及び全性

ネン PSM 変更管理手統合

4.3.4.3.5 変更管理手既 PSM 手統

合い

5.9 情報及び文書ネン

5.9.4 長期録得保証

4.3.4.4.5

長期録得確実適対策

新い形式変換又能

式機器保持採用い

5.10 ンン計画及び対応

5.10.2 ンン対応計画伝遉

4.3.4.5.2

適組織ンン対応計画伝遉

い

5.10.11 演習実行

4.3.4.5.11 ンン対応定期的演習

(54)

50

用語

定義

書主要用語定義示五十音

(1) HSE health、 safety and environment

Health 健康 Safety 全 Environment 環境頭文あ業活

動伴う労働全衛生問題や環境問題示 [IEC 62443-2-1：2010 3.1.16 引用]

(2) 管理策 JIS Q 27000:2014-2.16 参照

修 modifying 対策

[JIS Q 0073:2010 3.8.1.1参照]

注 1：管理策修あ方針掛実務及

び処置含

注 2：管理策常意又想定修効果揮限い

(3)

又組織資産保護

う提供規定又統制一連規則

要又情報資産対無許使

用能攻撃改変開示益逸失又破壊防要求

ンあ [IEC/TS 62443-1-1 3.2.36 引用]

(4) 産業用ン及び制御 IACS: Industrial Automation and Control

System

産業全信運用直接作用間接的影響

及能性あ要員及び集合[IEC/TC 62443-1-1：

2009 3.2.57 引用]

注：含限定い

 散制御 DCS ン PLC

端 RTU ンン電子装置視制御及び集 SCADA

ネワ化電子検知制御並び視及び診断含産業用制

御文脈い制御基的

制御機能及び全計装 SIS 機能含

機能物理的い統合い問わい

 先進的多変数制御ンン専用機器

(55)

51

ン関連情報

 制御全及び製造作業機能連散及び提供

使用関連部ンネワ又ンン

 憶媒体ン

(5) ホ

意結果提供及び組織製品及び能性維持組織成

対利害関係個人又

注：製品及び影響え特定

例推進及び督対

任持組織要員あ要員

影響部門選個人職務枠超え

任者含 [IEC 62443-2-1：2010

3.1.40 引用]

(6) 組織 JIS Q 27000:2014-2.57 参照

自目的遉成任権限及び相互関係伴う独自機能個人又

人々集

注：組織いう概念法人否公的私的問わ自営業者会社法人

務所企業当局共同経営会社非営利団体協会又一部

組合含限定い

(7) 適用宣言書[ISO/IEC 27001：2005 3.16 引用]

組織 CSMS 関連適用管理目的及び管理策述文書

注管理目的及び管理策組織対基

ン及び対応結果及び結論

法又規制要求

契約義務

(56)

52

参考文献

一般団法人情報経済社会推進協会 CSMS 認証基準 IEC 62443-2-1

JIP-CSCC100-1.0 2014/6

一般団法人規格協会 IEC 62443-2-1 国規格産業用通信ネワ – ネ

ワ及び – 第 2-1 部：産業用ン及び制御

確立第1版 2010/11

独立行法人情報処理推進機構制御ネン

構築向～ IEC62443-2-1 活用～ 2012/10

一般団法人情報経済社会推進協会 ISMS

-JIS Q 27001:2014(ISO/IEC 27001:2013)対応- 2014/4

資料経済産業省成24 度補業認証基整備業一環