近年、制御システムにおいてもコスト低減や利便性向上を目的にWindowsやUNIXといった汎用プラットフォームの活用やネットワーク、外部メディアの利用が進んでおり、サイバー攻撃の脅威が高まりつつあります^(*1)。重要インフラの一端を担う制御システムの安全性確保のためには、統一的なセキュリティ基準の確立と普及の必要が高まっています。

　日本では、2011年10月に経済産業省により官民一体となったタスクフォースが立ち上げられ、IPAは、この活動の一部として、国内制御システムのセキュリティ確保および海外輸出のための認証スキーム確立を目的とした、「制御システム情報セキュリティ委員会」（以下「委員会」）を立ち上げました。委員会では、統一・国際的なセキュリティ基準として、現在策定が進められている国際規格IEC^(*2)62443を選定し、標準化活動や各国の動向調査を実施しました。また、本委員会活動成果に基づき、認証スキーム確立に向け、実証実験を含むパイロットプロジェクトを提案、これに着手しました。

	（1）	各国の動向調査 欧米やアジアにおける制御システムのセキュリティ動向の把握を目的とし、国際標準、評価認証、インシデント、官民情報共有、ガイド･ツール等に関する各国の状況を調査し、報告書としてまとめました。
	（2）	国際規格への標準化活動 IEC62443-2-1ed2 ドラフトに対して41件のコメントを提出 IEC62443-3-3ドラフトに対して50件のコメントを提出 　IEC62443-2-1ed2は制御システムを利用する事業者向けの規格であり、IEC62443-3-3は制御システムの構築事業者向けの規格となります。また、すでに発行されている規格について、翻訳・解説等を行いました。（2012年10月10日IPAプレス発表「制御システムにおけるセキュリティマネジメントシステムの構築に向けた解説書の公開」をご参照ください）
	（3）	認証スキーム確立に向けた活動 セキュリティマネジメントシステム認証： 制御システムを利用する事業者に対するセキュリティ要求事項を規定した規格であるCSMS(*3)は ISMS(*4)を参照し、制御システム事業者向けに策定された規格であり、すでに実績のある(*5)ISMS のスキームを活用し、同等のマネジメントシステム適合性評価制度の確立を目標としています。 制御機器・製品認証： 制御機器に対するセキュリティ要求事項を規定したEDSA(*6)はISCI(*7)が運営する製品認証スキー ムであり、国内におけるスキーム確立を目標としています。 　 これらの日本における評価認証スキーム確立を目指して、パイロットプロジェクトに着手しました。IPAでは、国内関係組織と協力し、 平成26年度までに両スキームを確立することを目標としています。

　IPAとしては、本活動の成果が活用され、国内外における制御システムを利用する事業のセキュリティ確保と、海外輸出事業の促進に貢献することを期待するとともに、今後も、誰もが安心して重要インフラ等のサービスを利用できる社会を目指すべく活動を続けてまいります。

(*1)2010年に出現したウイルスであるStuxnetは感染力が強く、特定の制御装置が不正操作された疑いがある。

(*2)International Electrotechnical Commission：電気・電子技術分野の国際規格の策定を行っている組織。

(*3)Cyber Security Management System：IEC62443-2-1^ed1として規定。

(*4)Information Security Management System：ISO/IEC27001として規定。

(*5)2013年2月14日時点で登録組織が4209組織（JIPDEC,一般財団法人日本情報経済社会推進協会）。

(*6)Embedded Device Security Assurance：IEC62443-4シリーズに提案されている。

(*7)ISA Security Compliance Institute：EDSA認証のスキームオーナー。

• 委員会活動報告書 （PDFファイル 2.5MB）
• 委員会活動報告書付録：パイロットプロジェクト （PDFファイル 1.1MB）
• 調査報告書 （PDFファイル 3.1MB）

• プレスリリース全文 (PDFファイル237KB)
• 別紙 (PDFファイル501KB)

IPA 技術本部 セキュリティセンター 金野／入澤
TEL：03-5978-7527　FAX：03-5978-7518 E-mail：