IEC 62443とは?産業制御システムのセキュリティ国際規格
IEC 62443は、産業用オートメーション・制御システム(IACS:Industrial Automation and Control Systems)のサイバーセキュリティを体系的に規定した国際規格シリーズです。国際電気標準会議(IEC)が策定し、製造業・エネルギー・水道・交通など幅広い産業インフラに適用されます。
2000年代初頭に米国の業界団体ISA(国際オートメーション学会)がISA-99として整備した規格を起源とし、その後IECへ移管・国際規格化されたものです。現在は「IEC 62443」シリーズとして世界中の製造業・設備メーカー・システムインテグレーター(SI)が参照する事実上のグローバルスタンダードとなっています。
なぜ今、IEC 62443が重要なのか
製造現場のOT(Operational Technology)環境は、かつてはクローズドネットワークであったため、サイバー攻撃のリスクは比較的低いと考えられてきました。しかし近年、以下の変化により状況は一変しています。
- ITとOTの融合:ERP・MESとPLC・SCADAの接続が進み、インターネット経由の侵入経路が拡大
- サプライチェーン攻撃の増加:部品メーカーや設備メーカーを経由した攻撃が国内外で多発
- 規制・調達要件の厳格化:欧州のNIS2指令や米国のTSA(運輸保安局)ガイドラインなど、OTセキュリティへの法的要求が強まっている
日本でも経済産業省が2024年に改定した「産業サイバーセキュリティ研究会」報告書の中で、重要インフラ事業者に対するIEC 62443への対応を強く推奨しており、製造業においては取引先・納入先からの要求事項として認証取得を求められるケースが増えています。
IEC 62443の体系:4つのシリーズと主要文書
IEC 62443は単一の規格ではなく、対象(一般・ポリシー・システム・コンポーネント)ごとに整理された4つのシリーズ(Series 1〜4)から構成されています。
シリーズ | 名称 | 主な対象 | 代表的な規格番号 |
|---|---|---|---|
Series 1 | 一般(General) | 全関係者向け概念・用語定義 | IEC 62443-1-1、-1-2、-1-3、-1-4 |
Series 2 | ポリシー・手順(Policies & Procedures) | 資産オーナー(製造業者・工場運営者) | IEC 62443-2-1、-2-2、-2-3、-2-4 |
Series 3 | システム(System) | SIer・システム設計者 | IEC 62443-3-1、-3-2、-3-3 |
Series 4 | コンポーネント(Component) | 製品・機器メーカー | IEC 62443-4-1、-4-2 |
特に重要な規格文書
IEC 62443-2-1:資産オーナーがIACSセキュリティマネジメントシステム(CSMS)を構築・維持するための要件を定義。工場・プラントを運営する製造業者にとって最も重要な文書の一つです。
IEC 62443-3-3:IACSシステムレベルのセキュリティ要件を定義。「セキュリティレベル(SL)」の概念を導入し、SL 1〜4の段階でシステムへの要求事項を規定します。
IEC 62443-4-1:製品開発ライフサイクルにおけるセキュリティ要件を規定。産業機器メーカーが製品設計段階から組み込むべきセキュアデベロップメントプロセス(SDL)の要件です。
IEC 62443-4-2:個別コンポーネント(制御システム、組み込み機器など)に求められるセキュリティ機能要件を定義。機器単体の認証取得に用いられます。
日本企業に関係する部分:どの規格に対応すべきか
IEC 62443の全文書に一斉対応する必要はありません。企業の立場(資産オーナー・SIer・製品メーカー)によって、優先すべき規格が異なります。
立場別の対応優先規格
工場・プラントを運営する製造業者(資産オーナー)
最初に取り組むべきは IEC 62443-2-1(CSMSの構築)と IEC 62443-3-2(リスクアセスメント)です。自社工場のOT資産を棚卸しし、セキュリティリスクを評価・管理する体制を整えることが基本となります。
産業用制御システムを設計・納入するSIer
IEC 62443-2-4(SIerのセキュリティ能力要件)と IEC 62443-3-3(システムセキュリティ要件)が主要な対応文書です。発注元(資産オーナー)からの調達条件として、IEC 62443-2-4への適合証明を求められるケースが増えています。
PLC・センサー・産業用IoT機器などの製品メーカー
IEC 62443-4-1(セキュアな製品開発プロセス)と IEC 62443-4-2(製品セキュリティ要件)が中心です。特に欧州・北米市場への輸出を行うメーカーにとっては、これらの認証取得が実質的な市場参入条件になりつつあります。
セキュリティレベル(SL)の考え方
IEC 62443では、システムやコンポーネントに要求されるセキュリティ強度を「セキュリティレベル(SL)」で定義しています。
セキュリティレベル | 想定する脅威 | 典型的な適用シーン |
|---|---|---|
SL 1 | 偶発的・意図しない侵害 | 一般的な製造ライン |
SL 2 | 低スキルの意図的攻撃者 | 重要度の高い生産設備 |
SL 3 | 高スキルのサイバー攻撃者 | 重要インフラ・防衛関連 |
SL 4 | 国家レベルの高度攻撃者 | 特殊な安全保障施設 |
一般的な製造業の場合、SL 2を目標として設計・対応することが現実的な基準とされています。SL 3以上は重要インフラや安全保障に関わる施設を想定したレベルです。
IEC 62443認証取得のステップと期間
IEC 62443の認証取得は、対象(CSMS認証・製品認証・システム認証)によって手順が異なります。ここでは最も需要が高いCSMS認証(IEC 62443-2-1ベース)と製品認証(IEC 62443-4-1/4-2ベース)の流れを整理します。
CSMS認証(資産オーナー向け)の取得ステップ
Step 1:現状ギャップ分析(1〜2ヶ月)
IEC 62443-2-1が要求するCSMSの要件に対し、自社の現状がどの程度充足しているかを評価します。OT資産台帳の整備状況、セキュリティポリシーの有無、インシデント対応手順の整備状況などを確認します。
Step 2:CSMSの設計・構築(3〜6ヶ月)
ギャップ分析の結果をもとに、セキュリティ管理策を設計・実装します。具体的には以下が含まれます。
- OT資産の棚卸しとリスクアセスメント実施
- アクセス制御・パッチ管理・ネットワーク分離ポリシーの策定
- 従業員へのセキュリティ教育・訓練体制の整備
- インシデント対応計画の策定とテスト
Step 3:内部監査・マネジメントレビュー(1ヶ月)
構築したCSMSが要件を充足しているか、内部監査を実施します。経営層によるレビューと承認も必要です。
Step 4:認証機関による審査(1〜2ヶ月)
TÜV SÜD、TÜV Rheinland、DNV、SGSなどの第三者認証機関に審査を依頼します。文書審査と現地審査(オンサイト審査)が行われ、適合と判定されれば認証書が発行されます。
合計所要期間の目安:6〜12ヶ月
製品認証(製品メーカー向け)の取得ステップ
Step 1:開発プロセスの評価(IEC 62443-4-1)
自社のソフトウェア・ファームウェア開発プロセスが、IEC 62443-4-1が定めるセキュアデベロップメントプロセスの要件を充足しているかを評価します。要件定義・設計・実装・テスト・リリース・廃棄の各フェーズにわたる審査です。
Step 2:製品機能要件の評価(IEC 62443-4-2)
対象製品(PLC、HMI、産業用スイッチなど)が、要求するセキュリティレベル(SL)に対応した機能要件を充足しているかをテストします。認証・認可、暗号化、ログ管理、セキュアな通信などが評価項目となります。
Step 3:認証機関による評価・認証発行
認証機関がプロセス・製品双方の評価を実施し、適合と判定されれば製品認証書が発行されます。
合計所要期間の目安:6〜18ヶ月(製品の複雑度・開発プロセスの成熟度による)
認証取得にかかる費用の目安
IEC 62443認証の費用は、認証種別・企業規模・現状の成熟度によって大きく異なります。以下は2026年時点での一般的な費用感です。
費用項目 | 費用の目安 | 備考 |
|---|---|---|
ギャップ分析・コンサルティング | 150万〜500万円 | 規模・範囲による |
CSMS構築支援(設計・実装) | 300万〜1,500万円 | 工場数・対象システム規模による |
認証機関審査費用(CSMS) | 200万〜600万円 | TÜV等の機関・審査範囲による |
製品認証(4-1/4-2) | 300万〜800万円 | 製品1品目あたり |
年間維持費用(サーベイランス) | 50万〜200万円 | 認証維持のための定期審査 |
初回のCSMS認証取得における総費用は、中堅製造業(従業員300〜1,000名規模)で概ね700万〜2,500万円程度が実績値として多く見られます。製品認証を追加で取得する場合は、さらに製品1品目あたり300万〜800万円が加算されます。
費用を抑えるポイントとしては、ISO 27001(情報セキュリティマネジメント)やISO 9001(品質マネジメント)など既存の認証体制を活用することが挙げられます。既に文書管理・内部監査・マネジメントレビューの仕組みが整っていれば、CSMS構築にかかる工数を大幅に削減できます。
経産省・IPAのガイドラインとの対応関係
IEC 62443は国際規格ですが、日本の政府機関が公開するガイドラインとも密接に連携しています。国内企業が対応を検討する際は、これらの日本語ガイドラインを入口として活用することが現実的です。
経済産業省「産業サイバーセキュリティ研究会」報告書
経産省は2024年改定版の報告書において、製造業・重要インフラ事業者に対してIEC 62443を参照したセキュリティ対策の実施を推奨しています。特にサプライチェーン全体でのセキュリティ水準の統一を課題として明示しており、一次サプライヤーが認証を取得することで二次・三次以降への波及効果も期待されています。
IPA「重要インフラの制御システムセキュリティガイド」
情報処理推進機構(IPA)が公開する本ガイドは、IEC 62443-2-1およびIEC 62443-3-3を参考に作成されており、日本語で実装上のポイントを解説しています。特にリスクアセスメントの実施方法とゾーン・コンジット設計(ネットワーク分割手法)については詳細な解説が掲載されており、IEC 62443対応の準備段階での参照として有効です。
NISCの重要インフラサイバーセキュリティ対策
内閣サイバーセキュリティセンター(NISC)が策定する「重要インフラのサイバーセキュリティに係る行動計画」においても、IEC 62443は主要な参照規格として位置づけられています。製造業が重要インフラの一部(電力・化学・食料品等)に該当する場合、同行動計画への対応とIEC 62443認証はほぼ同一の取り組みとして進めることができます。
対応関係まとめ
日本のガイドライン | 対応するIEC 62443文書 |
|---|---|
経産省:産業サイバーセキュリティ研究会報告書 | IEC 62443-2-1、-3-2 |
IPA:制御システムセキュリティガイド | IEC 62443-2-1、-3-3 |
NISC:重要インフラ行動計画 | IEC 62443-2-1、-3-2、-3-3 |
防衛省:防衛産業サイバーセキュリティ基準 | IEC 62443-4-1、-4-2(製品メーカー向け) |
AEVUSのIEC 62443対応支援サービス
AEVUSは、製造業・産業機器メーカー向けにIEC 62443認証取得を一気通貫で支援しています。
支援内容
1. IEC 62443ギャップ分析
現状のOTセキュリティ体制とIEC 62443の要件を比較し、認証取得に向けた具体的な課題と優先順位を整理します。対象工場・対象システムの範囲に応じて、通常2〜4週間で報告書を提供します。
2. CSMS構築・運用支援
IEC 62443-2-1が求めるCSMSの設計から文書整備・社内教育まで、認証機関の審査通過を見据えた実装支援を提供します。ISO 27001や既存の品質マネジメント体制との統合設計にも対応します。
3. 製品セキュリティ評価(4-1/4-2対応)
産業機器メーカー向けに、製品開発プロセスのセキュリティレビューと製品機能要件の評価を実施します。認証機関への橋渡しも含めてサポートします。
4. ペネトレーションテスト(OT環境対応)
認証取得前後のセキュリティ検証として、実際の攻撃シナリオに基づくOT環境向けペネトレーションテストを提供します。IEC 62443-3-2が要求するリスクアセスメントの一環として活用できます。
IEC 62443への対応を検討している製造業・産業機器メーカーの担当者は、まずは現状確認のためのギャップ分析からご相談ください。初回の相談・ヒアリングは無料で対応しています。
