HOME >> 情報セキュリティ >> :制御機器認証プログラム「EDSA」国内認証制度の確立および規格書対訳版の公開について

制御機器認証プログラム「EDSA」国内認証制度の確立および規格書対訳版の公開について

掲載日 2013年4月15日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPAは、産業用制御システムのセキュリティ強化の一環として、制御機器の認証制度「EDSA」について、米国ISCIとの合意に基づき、本制度の日本国内での確立・拡大に向けた今後の計画等をIPAのウェブサイトで、同計画およびEDSA規格の英日対訳版をISCIのウェブサイトで公表します。
ISCIサイトURL:http://www.isasecure.org/(日本時間4月16日公開予定)
 

 近年、制御システムにおいてもコスト低減や利便性向上を目的に、WindowsやUNIXといった汎用プラットフォームの活用やネットワーク、外部メディアの利用が進んでいます。しかしその反面、汎用性の高まりや外部と接続したことによってサイバー攻撃の脅威が増しつつあり(*1)、重要インフラの一端を担う制御システムの安全性確保のためには、統一的なセキュリティ基準の確立と普及の必要もまた、高まっています。

 IPAでは、このような状況に対応するため、制御機器のセキュリティ保証に関する認証制度である「EDSA(*2))認証」について、国内認証制度の確立・普及を目的としたパイロットプロジェクトを推進しています。
 2012年9月に本制度の運営元である米国「ISA(*3)セキュリティ適合性協会(ISCI(*4))」と相互協力の関係を結び(*5)、同年10月にはIPAから、EDSAをよりグローバルな認証制度に拡大させる旨を提案し、承諾を得ていたところです。  さらに、2013年3月にISCIおよびIPAのほか、「米国国家規格協会(ANSI(*6))」、「日本適合性認定協会(JAB(*7))」の4者にて会合を実施しました。この度の日本国内への認定機関設置およびEDSA規格の英日対訳版の発行は、この席上、IPAから提案し、合意に至った結果に基づくものです。

4者(ISCI、ANSI、JAB、IPA)会合 [2013年3月18日,米国ANSI本部]画像

<4者(ISCI、ANSI、JAB、IPA)会合 [2013年3月18日,米国ANSI本部]>

  EDSA認証における評価項目は、「通信に関する堅牢性試験(CRT(*8))」、「セキュリティ機能の実装評価(FSA(*9))」、「ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSA(*10))」の3項目が存在します。FSA、SDSAの要求事項については現在策定が進められている制御システムのセキュリティに関する国際規格「IEC62443」へ提案されており、承認される見込みです。

1.EDSAに関する国内における認証制度の確立・推進、今後の計画について

 EDSA認証制度は、現状ではISCIほかすべて北米の組織で構成(*11)されており、日本国内からのEDSA認証取得は手続き面で難しさがありました。このため、IPAでは日本国内に本制度を導入し、認証取得の容易化を図ることを目標としています。
 日本国内への認定機関設置は、「国際認定フォーラム(IAF(*12))」および「国際試験所認定協力機構(ILAC(*13))」による国際的な相互承認の枠組みを活用しており、EDSAの認定機関としてJABを登録することが、先述した2013年3月の会合で合意されています。ISCIとJAB間の覚書の締結後、正式に日本国内の認定機関として登録される見通しです。
 今後、2013年度内を目途にJABがEDSAの認定業務を開始、国内認証機関候補による認定申請を受け付け、2014年度には日本国内における認証業務を開始することを予定しています。

2.EDSA規格の英日対訳版の公開

 EDSA認証は、制御機器のセキュリティについて試験・評価および認証のプロセス等をおよそ20の規格書(*14)によって定義されています。今回の英日対訳版公開により、EDSAの日本国内での普及促進に加え、わが国の制御機器・システムベンダー、ユーザー等関係者からの国際基準に対しての意見表明・提案とその反映が円滑に行われるようになることを期待しています。なお、英日対訳版は、英文の規格書と同様、ISCIのウェブサイトから入手が可能となります。

 IPAとしては、本活動の成果が活用され、国内意見を国際的な基準へと反映することに加え、海外輸出事業の促進に貢献することを期待するとともに、今後も、誰もが安心して重要インフラ等のサービスを利用できる社会を目指すべく活動を続けてまいります。

脚注

(*1) 2010年に出現したウイルスであるStuxnetは感染力が強く、特定の制御装置が不正操作された疑いがある。

(*2) Embedded Device Security Assurance:制御機器(組込み機器)のセキュリティ保証に関する認証制度。

(*3) International Society of Automation:国際計測制御学会

(*4) ISA Security Compliance Institute:ISAのメンバーのコンソーシアムにより創設されたEDSA認証の制度運営元

(*5) 2012年9月10日IPAプレス発表「ISA Security Compliance Institute(ISCI)との制御システムセキュリティ強化のための相互協力の合意について」をご参照ください

(*6) American National Standards Institute

(*7) Japan Accreditation Board

(*8) Communication Robustness Testing

(*9) Functional Security Assessment

(*10)Software Development Security Assessment

(*11)ISCIのほか、認定機関としてANSI、評価および認証機関として米国exida社、ツールベンダとしてカナダのwurldtech社が各々の役割を担っている。

(*12)International Accreditation Forum

(*13)International Laboratory Accreditation Cooperation

(*14)非公開のISCI内部文書を含む。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 金野/入澤
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:本件に関するお問い合わせ先