CSMSとは

/セキュリティ
2024.02.18

CSMS制度

CSMS(Cyber Security Management System)制度(CSMS適合性評価制度)とは、産業用オートメーションおよび制御システム(IACS:Industrial Automation and Control System)を対象とした、サイバーセキュリティマネジメントシステムに対する第三者認証制度です。

CSMS証制度は、JIP-CSCC100を認証基準に採用しています。JIP-CSCC100は、国際標準IEC62443-2-1:2010「産業用通信ネットワーク-ネットワーク及びシステムセキュリティ」をベースに JIPDEC(日本情報経済社会推進協会)が発行した規格です。

CSMSの構築・運用のメリット

CSMS制度の目的は、組織の IACSのセキュリティを向上させ、サイバー攻撃から守ることです。CSMS導入のメリットは以下になります。

  • サイバー攻撃に対するリスクの低減
  • IACSの運用担当者に対するセキュリティ管理策の行動指針の設定
  • セキュリティ対策の継続的改善が可能
CSMS認証取得のメリット

組織がCSMSを取得することのメリットは以下になります。

  • サイバーセキュリティ管理体制の客観的な証明が可能
  • 第三者の視点でセキュリティチェック
  • 組織のブランド力の強化
ISMSとCSMS

ISMS(情報セキュリティマネジメントシステム)とCSMSの共通点は、両規格とも継続的改善である PDCA(Plan-Do-Check-Act)を実施すること、守りたい情報資産に対し機密性・可用性・完全性の3つの観点からリスクアセスメントを行うことなどです。

ISMSとCSMSの最も異なる点は、セキュリティの管理対象範囲です。ISMSが情報資産(情報システム資産)を対象としているのに対し、CSMSは IACS(工場システム)のみを対象とします。

CSMSの構成

CSMS認証基準は、5つの章から構成されています。

CSMS適合性評価制度の概要

サイバーセキュリティマネジメントシステム

一般的要求事項として、組織は、事業活動全般において直面するリスクに対して、文書化したCSMSを確立・導入・運用・レビュー・改善することが求められています。

リスクへの対処では、詳細管理策または詳細管理策以外から管理策を選択します。このとき、その管理策を選択した理由、あるいは、選択から外した理由を明記する必要があります。

リスク分析

リスク分析では、リスクの識別・分類およびアセスメントを以下の手順で実施します。リスク分析は、技術や組織の変化に基づき繰り返し実施する必要があります。

  1. リスクアセスメント方法の選択する。
  2. 対象のIACSを定義し、ネットワーク図を作成する。
  3. IACSのセキュリティが損なわれた場合の財務面とHSE(健康・安全・環境)への影響を評価する。
  4. IACSのセのライフサイクル全体にわたり脆弱性アセスメントを実施する。
  5. 4項で識別された脆弱性に優先順位を付ける。

IACSの脆弱性や脅威に対して、可用性(A)、完全性(I)、機密性(C)の観点からリスクを評価します。リスク評価の対象は、開発、導入、更新、廃棄のライフサイクル全てになります。脆弱性の洗い出しは、以下のサイトを参考にします。

JVN 脆弱性対策情報データベース

また、リスクレベルの目安は以下になります。

カテゴリ 発生可能性 影響度
今後1年以内に発生の可能性大 1サイトの停止が7日超
今後10年以内に発生の可能性大 1サイトの停止が2日超
発生する可能性は低い 1サイトの停止が1日超
リスクレベル 影響度
発生可能性
セキュリティポリシと組織

リスクへの対処は、経営陣主導で全組織的に実施する必要があります。

  • 経営陣の主導によってセキュリティに責任をもつ組織を確立する。
  • 経営陣の承認を受けたキュリティポリシを策定し、従業員に周知し、定期的に見直す。
  • 全ての従業員に対して教育、訓練などを定期的に実施する。

セキュリティポリシの文書体系のイメージは以下になります。

上位レベル 全社共通 基本方針
詳細レベル CSMS組織固有 個別方針・実施基準
実施手順
セキュリティ対抗策

セキュリティ対策には以下の種類があります。

実行

CSMSの導入では以下の観点で検討します。

監査と改善

監査と改善では、導入したCSMSに対し、PDCA(Plan-Do-Check-Act)のサイクルを繰り返すことが要求事項として規定されています。

  • セキュリティポリシが機能しているかの監査を定期的に実施する
  • CSMSを定期的に評価し見直しを行う
  • 法令や業界で行われているベストプラクティスなどの情報を収集し評価する

詳細管理策

事業継続計画

事業継続計画でのポイントは以下になります。

  • 各システムの優先順位と復旧目標を規定する。
  • システムのバックアップと復元の手順を作成する。
  • 事業継続計画は定期的にテストし見直しを行う。
    要員のセキュリティ

    要員のセキュリティでのポイントは以下になります。

    • IACSにアクセス権をもつ要員を適切に選別する。
    • セキュリティ上の責任は、採用から雇用終了、雇用終了後の一定期間に渡り発生する。
    • 要員間で任務を分離し、権限の適切な抑制と均衡を維持する。。
      物理的セキュリティ

      物理的セキュリティでのポイントは以下になります。

      • 保護する資産に対し物理的なセキュリティ境界を設置する。
      • 物理的なセキュリティ境界では入退管理を提供する。
      • 全ての資産に対し適切に運用・管理・保守・廃棄を行う。
        ネットワーク分割

        ネットワーク分割でのポイントは以下になります。

        • セキュリティレベルの異なるゾーン間はネットワーク的な障壁を設置する。
        • ネットワーク的な障壁において不要な全ての通信をブロックする。
          アクセス制御(アカウント管理)

          アクセス制御(アカウント管理)でのポイントは以下になります。

          • セキュリティレベルの高い資産に対しては個人に対してアカウントを発行する。
          • アカウントに対しては必要最小限の権限を許可する。
          • アカウントのリストは定期的に見直し、不要な場合は即削除する。
            アクセス制御(認証)

            アクセス制御(認証)でのポイントは以下になります。

            • アクセスアカウントには十分強いパスワードを要求する。
            • システムに対するログイン試行は全てログに記録する。
            • 一定回数の試行に失敗したアカウントは一定期間無効する。
              アクセス制御(認可)

              アクセス制御(認可)でのポイントは以下になります。

              • 全ての利用者に適用される認可セキュリティポリシを定義する。
              • 利用者の職務役割に応じて権限を規定する。
              • 重要なシステムに対して複数の認可方法を採用する。
                システム開発と保守

                システム開発と保守でのポイントは以下になります。

                • 変更管理システムを導入し、その運用は職務分離の原則に従う。
                • システム変更のリスクアセスメントを行い、潜在的影響についてレビューを行う。
                • システム変更についてセキュリティポリシに合致させる。
                • システムのバックアップと復旧の手順を確立し、テストにより検証する。
                  情報と文書のマネジメント

                  情報と文書のマネジメントでのポイントは以下になります。

                  • 全ての資産の保持、完全性の保護、廃棄に関する手順とポリシを策定する。
                  • 情報分類レベルに応じてアクセスや制御(閲覧、コピー、変更など)を定義する。
                  • 長期記録を確実にするための対策を行う。
                    インシデント対応

                    インシデント対応でのポイントは以下になります。

                    • インシデント対応計画を導入し、全ての組織に伝達する。
                    • インシデント発生時の報告手順を確立する。
                    • インシデント対応計画を定期的にテストするため演習を行う。

                       

                      ISMS(情報セキュリティマネジメントシステム)とは
                      情報セキュリティマネジメントシステム、ISO/IEC2700ファミリ、ISMS適合性評価制度、情報セキュリティ管理策
                      www.sansakuro.com
                      2024.05.18
                      IT
                      マネジメント、セキュリティ、ネットワーク、システム
                      www.sansakuro.com
                      2021.04.25
                      散策路TOP
                      数学、応用数学、古典物理、量子力学、物性論、電子工学、IT、力学、電磁気学、熱・統計力学、連続体力学、解析学、代数学、幾何学、統計学、論理・基礎論、プラズマ物理、量子コンピュータ、情報・暗号、機械学習、金融・ゲーム理論
                      www.sansakuro.com
                      2021.03.24

                      CSMS認証取得に関する文書

                       

                      タイトルとURLをコピーしました