IEC 62443シリーズの規格：サイバー攻撃からインフラストラクチャを保護する方法

IEC 62443シリーズの規格は、サイバーセキュリティ上のレジリエンスを確立し、重要なインフラストラクチャとデジタル・ファクトリを保護するために設計された一連のプロトコルで構成されていますが、この記事では、この規格の基本的な根拠と利点について解説します。この先進的な規格は広範なセキュリティ層を提供しますが、証明取得にあたっての課題もいくつか生じています。ここでは、産業用自動制御システム（IACS）コンポーネントの証明取得という目標の実現に不可欠な支援を、セキュリティICがどのようにして提供するのかを説明します。

ますます巧妙化するサイバー攻撃の可能性が増大しているにもかかわらず、これまでのIACSへのセキュリティ対策の導入は遅々たるものでした。その原因の1つは、これらのシステムの設計者や運用者が依拠すべき共通の基準がなかったことです。IEC 62443シリーズの規格は、より安全な産業インフラストラクチャへの道を開くものですが、これをうまく利用するには企業がその複雑な内容を整理して把握し、これらの規格に伴う新たな課題を理解する必要があります。

水道、廃水処理、電力網などの重要インフラストラクチャのデジタル化によって、それらのシステムへのアクセスが中断されないことが毎日の生活にとって不可欠になりました。しかし、サイバー攻撃は依然としてこれらのシステムを混乱させる要因の1つとなっており、しかもその数は今後も増えると予想されています¹。

インダストリ4.0は、高度なネットワークに接続された多数のセンサー、アクチュエータ、ゲートウェイ、アグリゲータを必要とします。ネットワークへの接続が増えればサイバーアタックによるリスクの可能性も増し、これまで以上にセキュリティ対策が重要になってきます。米国サイバーセキュリティ・社会基盤安全保障庁（CISA）のような組織の設置は、サイバー攻撃から重要インフラストラクチャを保護し、そのレジリエンスを確立することの重要性を示すものであると共に、それらの活動への実際の取り組みを示すものでもあります²。

2010年にStuxnetが出現したことによって産業用インフラストラクチャの脆弱性が露呈しました³。Stuxnetは、遠方からIACSへの攻撃を成功させられることを示した世界初のサイバー攻撃でした。その後に続いた攻撃により、特定タイプの機器を標的にできるリモート攻撃を通じて、産業用インフラストラクチャに害を及ぼすことができるという認識が確立されました。

政府機関、公共サービス、IACSのユーザと装置メーカーは、IACSを保護する必要があることをすぐに理解しました。結果として、政府機関やユーザは組織的な対策やセキュリティの方針を自然に学び、装置メーカーはハードウェアやソフトウェアによる対応策を研究しました。しかし、以下のような理由からセキュリティ対策は遅れていました。

• インフラストラクチャが複雑であること
• 関係者の興味と関心がそれぞれ異なっていたこと
• 実装と使用可能なオプションが多岐にわたっていたこと
• 測定可能な目標がなかったこと

要するに関係者は、目標とすべき適切なレベルのセキュリティ、言い換えると保護機能とコストが慎重にバランスされたセキュリティというものが曖昧な状態に直面していたのです。

国際計測制御学会（International Society for Automation: ISA）は、ISA99イニシアチブの下で共通の基準を定めるために、ワーキング・グループを発足させました。最終的には、これがIEC 62443シリーズの規格の発表につながります。現在、この一連の規格は、図1に示すように4つのレベルとカテゴリにまとめられています。IEC 62443規格の範囲は非常に多岐にわたっており、組織としての方針、手順、リスク・アセスメント、ハードウェアおよびソフトウェア・コンポーネントのセキュリティなどの項目を包含しています。この広範な規格の範囲によって、その内容を実際の現状に合わせたり、現状を内容に反映させたりすることが可能になっています。加えてISAは、IACSに関わるすべての関係者の様々な興味に対処する際に、包括的なアプローチを採用しました。一般に、セキュリティ上の関心は関係者ごとに異なります。例えば、IPの盗用について考える場合、IACS運用者が興味を寄せるのは製造工程の保護だと思いますが、機器メーカーの興味の対象は人工知能（AI）アルゴリズムをリバース・エンジニアリングから保護することかもしれません。

また、IACSは本来複雑なものなので、セキュリティに関わるあらゆる要素を考慮することが不可欠です。セキュリティ機器が手順や方針に対応していない場合は、手順や方針だけあっても不十分ですし、高いセキュリティ機能を備えたコンポーネントであっても、その安全な使用法が手順によって適切に定められていなければ無駄になってしまいます。

図2のグラフは、ISAの証明を通じてIEC 62443規格採用の変化を示したものです。予想通り、産業界の主要関係者によって定められた規格は、セキュリティ対策の実装を加速しました。

図2　ISA証明数の変化⁴

IEC 62443は非常に範囲の広い効果的な規格ですが、同時にその複雑さに圧倒されてしまうおそれもあります。その量はほぼ1000ページに及びます。サイバーセキュリティ・プロトコルを明確に理解するのは学習曲線が関係してくるような作業で、専門用語を身に着ける以上のことが求められます。IEC 62443内の各セクションに示す概念は相互に依存し合うものなので（図3を参照）、これらのセクションは全体の中の一部として捉える必要があります。

例えば、IEC 62443-4-2に従ってIACS全体を対象としたリスク・アセスメントを行う必要があり、その結果は機器の目標セキュリティ・レベルを決定する条件となります⁵。

最も高いセキュリティ・レベルにはハードウェア実装が必要

IEC 62443は、図4に示すように分かりやすい言葉でセキュリティ・レベルを定義しています。

IEC 62443-2-1は、セキュリティ・リスク・アセスメントを義務付けています。このプロセスの結果として、各コンポーネントには目標セキュリティ・レベル（SL-T）が割り当てられます。

図1と図3に示すように、規格のいくつかの部分がプロセスと手順について定めている一方で、IEC 62443-4-1とIEC 62443-4-2はコンポーネントのセキュリティについて定めています。IEC 62443-4-2によるコンポーネント・タイプは、ソフトウェア・アプリケーション、ホスト・デバイス、組込みデバイス、およびネットワーク・デバイスです。IEC 62443-4-2は、それぞれのコンポーネント・タイプに対し、該当するコンポーネント要求事項（CR）と強化要求事項（RE）に基づいて機能セキュリティ・レベル（SL-C）を定めています。表1に、SL-A、SL-C、SL-Tの概要と相互の関係を示します。

インダストリ4.0を実現するということは、あらゆる場所であらゆる時に検出を行うことを意味します。したがって、より多くのエッジ・デバイスを展開する必要があります。IACSエッジ・デバイスには、センサー、アクチュエータ、ロボット・アーム、PLCとそのI/Oモジュールなどが含まれます。各エッジ・デバイスは高度にネットワーク化されたインフラストラクチャに接続されるので、攻撃の潜在的な入口となります。攻撃表面はデバイス数に比例して広がりますが、それだけに止まらず、多様なデバイスの組み合わせは本質的に攻撃ベクトルの種類を拡大します。アプリのセキュリティおよび侵入テスト・ベンダーであるSEWORKSのCTOを務めるYaniv Karta氏は、「既存のプラットフォームには利用可能な攻撃ベクトルが多数存在し、エンドポイントもエッジ・デバイスも脅威にさらされることが多くなる」と語っています。一例として、複雑なIACSでは、すべてのセンサーが同じベンダーのものとは限らず、マイクロコントローラ、オペレーティング・システム、あるいは通信スタックに関するアーキテクチャが共通しているわけでもありません。また、それぞれのアーキテクチャが固有の弱点を抱えている可能性があります。MITRE ATT&CKデータベース⁶やICS-CERTアドバイザリ⁷が示すように、結果としてIACSには脆弱性が蓄積され、それによって脅威にさらされることになります。

更に、より多くのインテリジェンス機能をエッジに組み込むという産業用モノのインターネット（IIoT）のトレンド⁸によって、システム的な決定を自律的に下せるようなデバイスが開発されるようになっています。したがって、これらの決定が安全、システムの動作、その他にとって非常に重要であるということを踏まえると、デバイスのハードウェアとソフトウェアを信頼できるものにすることが更に重要になります。加えて、デバイス開発者のR&D IP投資を盗用から保護すること（例えばAIアルゴリズムに関するものなど）は例外なく考慮すべき事項であり、これは、ターンキー型セキュリティICがサポートできる保護手段を導入するという決定の主要な動機となり得ます。

もう1つの重要なポイントは、不十分なサイバーセキュリティは機能安全に悪影響を及ぼすということです。機能安全とサイバーセキュリティの関係は複雑であり、これについて論じようとすると別途記事を書かなければならないくらいですが、とりあえず以下の点を強調しておくことができます。

• IEC 61508：電気式／電子式／プログラマブル電子式の安全関連システムの機能安全には、IEC 62443に基づくサイバーセキュリティ・リスクの分析が不可欠です。
• IEC 61508は主としてハザードとリスクの分析に焦点を当てており、サイバーセキュリティに関わる事象が深刻なものであった場合は、その都度セキュリティに対する脅威の分析と脆弱性の分析を事後に行うよう義務付けています。

上に挙げたIACSエッジ・デバイスは組込みシステムです。IEC 62443-4-2は、悪意あるコードからの保護メカニズム、安全なファームウェア・アップデート、物理的タンパリングの防止と検出、信頼の基点のプロビジョニング、ブート・プロセスの完全性などのシステムについて、具体的な要求事項を定めています。

アナログ・デバイセズのセキュア・オーセンティケータはセキュア・エレメントとも呼ばれ、実装の容易さと良好なコスト効率を念頭に、これらの要求を満たせるように設計されています。ホスト・プロセッサに必要なすべてのソフトウェア・スタックを備えた固定機能ICが、ターンキー・ソリューションです。

結果としてセキュリティの実装はアナログ・デバイセズに委託する形となり、コンポーネントの設計者は本来の業務に集中することができます。セキュア・オーセンティケータは本質的に信頼の基点であり、ルート鍵や秘密情報、そしてファームウェア・ハッシュなどの装置状態を示す要注意データを、安全かつ改ざんできない形で保存します。これらのオーセンティケータは、認証、暗号、セキュア・データ・ストレージ、ライフサイクル管理、セキュア・ブート／アップデートを含め、広範な暗号機能のセットを備えています。

ChipDNA^™の物理複製困難関数（PUF）技術は、従来のようにフラッシュやEEPROMに暗号鍵を保存するのではなく、ウェーハの製造過程で自然に発生する無作為の変動を利用して暗号鍵を作成します。利用されるこの変動はごくわずかなものなので、チップのリバース・エンジニアリングに使われる極めて高価かつ高度な侵入技術（走査型電子顕微鏡、収束イオン・ビーム、マイクロプロービングなど）でも、鍵を取り出すことはできません。集積回路以外でこのレベルの抵抗を実現できる技術はありません。

セキュア・オーセンティケータは、証明書および証明書チェーンを管理することもできます⁹。

加えて、アナログ・デバイセズは非常に安全性の高い鍵と証明書の事前プログラミング・サービスを工場で提供しているので、受託メーカー（OEM）はプロビジョニング済みのデバイスを受け取って、それを自社の公開鍵インフラストラクチャ（PKI）にシームレスに組み込んだり、オフラインPKIをイネーブルしたりすることができます。高い信頼性を備えたその暗号機能は、安全なファームウェア・アップデートとブートを可能にします。

セキュア・オーセンティケータは既存の設計に高度なセキュリティを追加するのに最適のオプションです。BOMコストを低く抑えながら、セキュリティ確保を目的とするデバイスのアーキテクチャ変更に必要なR&Dの負担を軽減します。例えば、メインのマイクロコントローラを変更する必要はありません。一例を挙げると、DS28S60およびMAXQ1065セキュア・オーセンティケータは、図5に示すように、IEC 62443-4-2のすべてのレベルの要求に対応しています。

DS28S60とMAXQ1065は3mm × 3mmのTDFNパッケージを使用しているので、スペースの制約が厳しい設計に適しています。また、消費電力が少ないので、消費電力が厳しく制限されるエッジ・デバイスにも最適です。

IEC 62443-4-2の要求に対応するセキュリティ機能を備えたマイクロコントローラが、IACSコンポーネント・アーキテクチャに既に組み込まれている場合でも、鍵や証明書を配布するためにセキュア・オーセンティケータの利点を生かすことができます。秘密IC認証情報を扱うためには高価な製造施設が必要ですが、これによってOEMやその契約メーカーによる投資の負担が軽減されます。このアプローチは、マイクロコントローラに保存された鍵を保護し、JTAGなどのデバッギング・ツールを通じて抜き出されるのを防ぐことにもなります。

ポートフォリオの製品構成と製品の詳細はanalog.com/en/product-category/secure-authenticators.htmlで参照できます。

IEC 62443規格の要求事項をまとめ、それを採用することによって、IACSの関係者は信頼できる安全なインフラストラクチャへの道を開きました。セキュア・オーセンティケータは、ハードウェア・ベースのセキュリティを必要とするIEC 62443規格準拠コンポーネントの未来を支える基盤です。OEMは、セキュア・オーセンティケータが自社の求める証明を実現する助けとなることを理解し、自信を持って設計を行うことができます。