OT環境に対するTISAX VDA ISA 6の適用
TISAXはドイツの自動車業界で広く採用されているセキュリティ評価システムで、VDA ISはISO27001に基づいて策定された評価基準です。その最新版であるVDA ISA 6では、OTシステムが対象領域に含まれるようになりました。OT領域に対する適用のポイントを解説します。
VDA ISA 6のリリース
TISAX(Trusted Information Security Assessment eXchange)はドイツの自動車業界において広く採用されているセキュリティ評価の仕組みです。自動車会社は取引先となるサプライヤーやサービスプロバイダーに対してTISAX認証の取得を求めており、この認証を取得するには認定審査機関による審査を受ける必要があります。
VDA ISAは、ドイツ自動車工業会(VDA)がTISAX審査のためにISO27001に基づいて策定したVDA情報セキュリティ評価基準です。自動車業界における情報の取り扱いやサイバーセキュリティの状況を踏まえて数年に1度改訂されます。最新版であるVersion 6.0.1については2023年10月にリリースされ、2024年4月から審査に適用されています。
VDA ISA 6では、新たにコントロール・要求事項が追加されたことに加えて、これまで情報資産を処理するITシステムやITサービスに限定されていた対象領域に、OT(Operational Technology)システムが含まれるようになりました。
VDA ISA 6におけるアップデートの詳細については「TISAX updates:VDA ISA6のリリースと新たなTISAXラベル」をご覧ください。
本稿では、TISAX VDA ISA 6のOT領域に対する適用のポイントを解説します。
OT領域が対象となるVDA ISAの要件
OT領域にVDA ISA 6を適用させる際には、必要な対策を見極め、OT領域の固有事情も踏まえてVDA ISAの要件を適切に読み解く必要があります。VDA ISA 6の情報セキュリティに関する章は7章ありますが、特に、「4.IDとアクセスの管理」「5.IT/サイバーセキュリティ」はOTシステムの保護に密接に関係し、複雑な要求事項が多いため確実な対策が必要です。
VDA ISAで規定される要求事項は元々IT領域を対象としているため、全てがOT領域に当てはまるわけではありません。既にIT領域でVDA ISAの対応を行っているケースでは、一部の要件はIT領域における対策で既にカバーされており、OT領域における追加対策は必要ない場合があります。
例えば、図表1の「4.IDとアクセスの管理」のうち、身分証などのIDの取り扱いの管理に関する要件を定めた4.1.1については、IT領域における対策で既にカバーされている場合は、OT領域における独自の対策は必要ないと考えることができます。反対に、4.1.2や4.1.3のアクセス管理やログイン情報の管理については、OTシステムを脅威から守るため、システムの重要度に応じて適切な対策を講じる必要があります。
IEC 62443との関係性
VDA ISAの改訂に伴い、新たにIEC 62443が参照先として追加されました。IEC 62443は、IACS(産業用オートメーションおよび制御システム)のサイバーセキュリティを定めた規格であり、OT領域における標準的な国際規格として知られています。
VDA ISAにはOT領域に固有の具体的な対策手法までは記載がないため、IEC 62443を参照してOT環境のセキュリティ対策を整えていく必要があります。図表2のようにTISAXとIEC 62443の要件を紐づけることで、具体的な対策についてIEC 62443を参照することが可能になります。
例えば、VDA ISA 6の「4.IDとアクセスの管理」では、重要なシステムに対して最新の技術水準によるユーザ認証の手順を採用することを要求しています。しかしながら、OT領域における重要なシステム(生産ラインPC、制御システムなど)は、ITシステムと比較して必ずしも適切な認証機能を持つとは限りません。この点について、IEC 62443の要件では、入退室管理などの物理的な管理策と併せることで、十分なアクセス管理を行うことを要求しています。このように、VDA ISA 6とIEC 62443の両方を参照しつつ要件を満たすために補完する対策を検討することで、OT環境の実情に沿ったレベルの高いセキュリティ対策を実現することが可能になります。
OT領域を含むTISAX認証取得に向けた準備
工場などのOT環境では、生産を止めないこと(可用性)やHSE(健康・安全・環境)が何よりも重視されるため、IT領域におけるセキュリティの考え方をそのまま適用することはできません。ITを管理している部門だけではなく、実際の製造現場をよく知る人材を巻き込むことが、OT領域におけるセキュリティ強化のためには不可欠です。
TISAX認証取得はOT関連部門も含む全社的な取り組みになるため、現時点でOT領域での対策が十分に実施できていない場合、ルールの整備や運用の実施に時間を要することが想定されます。既にISA 5.1以前のTISAX認証(IT領域のみ)を取得済みでも、3年後の更新に向けてすぐに対策を開始する必要があります。
PwCにできること
PwCでは、VDA ISAに基づく現状とあるべき姿のギャップ分析、不足するセキュリティ対策の検討、審査を想定したリハーサルや現地調査の実施、IEC 62443を踏まえたOT領域特有の対策支援など、TISAX認証取得までの一連の活動のサポートが可能です。PwCのグローバルネットワークや豊富な業界経験、さまざまな先行実績を活かし、OT領域を含めた包括的なTISAX認証対応を支援します。
デジタル化する工場のサイバーセキュリティ
14 results
Loading...
半導体製造へのセキュリティ要求と求められる対応
半導体の製造に関わる企業が安定的な供給を果たすために必要なセキュリティ対策や取り組みについて、国際団体であるSEMIの規格および経済産業省の工場向けセキュリティガイドラインに則って解説します。
半導体サイバーセキュリティに関する業界標準/規格SEMI E187とは
地政学リスクが高まるなか、サイバー攻撃による被害は増加し、サプライチェーンに大きな影響を与えています。半導体メーカーは各国の法規制、SEMI E187などの国際規格を遵守し、セキュリティ対策を進めることが求められます。
経済安全保障推進法における基幹インフラの安定性確保とOTセキュリティ
「基幹インフラの安定的な提供の確保に関する制度」の概要や、これにより求められる対応について解説します。また、対応にあたって参考となるOTセキュリティの国際標準「IEC 62443」にも触れ、最新の改定内容を紹介します。
Loading...
インサイト/ニュース
40 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
Loading...
