事例紹介:CSMS認証
横河ソリューションサービス株式会社

制御システムのセキュリティマネジメント
CSMS 認証取得

横河ソリューションサービス株式会社様

授与式写真
▲ 2014 年4 月25 日 JIPDEC にて行われたCSMS 認証登録授与式において:
写真左、横河ソリューションサービス株式会社 取締役専務執行役員 コーポレート本部長 山本 順二 様 写真右、BSI グループジャパン株式会社 代表取締役社長 竹尾 直章

横河ソリューションサービス株式会社は、横河電機株式会社の制御事業に関する国内販売・エンジニアリング・サービス子会社として2013 年4 月に発足し、プラント操業の最適化を目指したソリューションを提供しています。

この度、世界初の事例として制御システムのセキュリティマネジメントシステム国際標準IEC 62443-2-1(CSMS(*1))の認証を取得されました。
今回はCSMS 認証取得についてソリューションビジネス本部の木下高広様、新井保廣 様よりお話を伺いました。

 

  1. CSMS の認証取得するに至った背景やきっかけ、目的をお聞かせください。

    当社の親会社である横河電機株式会社は、制御システムのセキュリティについて長年にわたって取り組んできた歴史があり、これまで先進的なユーザー企業からの要望に対してセキュリティソリューションを提供し、ベストプラクティスを積み重ねてきました。
    現在は国内、海外の4拠点(三鷹、シンガポール、ダラス、インド)にセキュリティラボを有して研究に取り組んでいます。
    今回のCSMS 認証取得への取り組みは、製品だけでなくエンジニアリングやサービスにおいても高いセキュリティを維持している事を、広く社会から認知してもらう事を目的として始めました。

    新井氏
    ▲横河ソリューションサービス株式会社 ソリューションビジネス本部 コンサルティング3 部 制御セキュリティコンサルタント 新井保廣 様

     
  2. 取組みで工夫した点、取組みの特徴などがございましたらお聞かせください。

    横河電機株式会社の情報システム部門がISMS(*2)を取得していたのですが、今回のCSMS はISMS と共通する部分もあり、さらに制御システムに特化した要求事項があります。そこで、ISMS と共通する要求事項については、既に取得している範囲でカバーできるように、また制御システム固有の部分についてはCSMS でカバーするという形で取り組みました。
    具体的には、エンジニアリングの開発環境というのはお客様の環境に依存するために、横河グループ全体で適用しているISMSのポリシーを反映できないことがあります。その場合、お客様固有の環境に対して、エンジニアリング業務を含めてCSMS を適用するといったように、住み分けをうまくやりながら進めました。

    木下氏
    ▲横河ソリューションサービス株式会社 ソリューションビジネス本部 コンサルティング3 部 部長 木下高広 様

     
  3. 取組みを行ったことによる成果・利点は何でしょうか?

    以下の4 点が今回の成果だと挙げられると考えています。

    ● 今回の対象拠点である「制御センター3 部」の制御システムのエンジニアリング独自のポリシーを策定できたこと

    ● CSMS の教育により意識の向上をはかり、各ステークホルダーに対して責任を明確に定めて手順書を整備することができたこと

    ● 物理セキュリティを含め、要員、環境、手順、リスクの可視化ができたこと

    ● CSMS のフレームワークに沿って、環境の変化(脅威の増大)に対して継続的にPDCA を回して取り組むフレームワークができたこと

    グローバルレスポンスセンター
    ▲横河ソリューションサービス株式会社 グローバルレスポンスセンター

     
  4. 今後の展開と目標をお聞かせください。

    社内的な展開としては、今回の対象拠点である「制御センター3部」で策定したポリシーを、制御センター全体に展開することで、当社の全エンジニアリングサービスをCSMS に準拠させたいと考えています。
    また、お客様に対しては、CSMS の啓蒙活動を継続するとともに、2010 年から行っている制御システムセキュリティのコンサルティングビジネスにおいて、認証取得のノウハウ、ベストプラクティスを活かし、CSMS のフレームワーク構築や、認証取得に向けた審査準備の支援を提供できればと考えています。

  5. BSI を審査機関としてお選びいただいた理由と経緯についてお聞かせください。

    親会社の横河電機株式会社の情報システム本部がISMS 認証を取得する際にBSI の審査を受けたことがあり、社内の評判で「クオリティが高い」、「シビアな評価をしてくれる」と聞いていたため、CSMS でも同じくお願いしたいと考え依頼しました。

  6. BSI の審査はいかがでしたでしょうか。

    先ほどお伝えした「クオリティが高い」、「シビアな評価をしてくれる」という評判は正しかったと考えています。観察事項に対応するのは大変でしたが、実態をよく把握された、妥当な観察・提言内容でした。
    短期的なものだけでなく長期的に改善していかなくてはならない観察事項というものもあり、それらについては次回のサーベイランス審査に向けて改善をしているところです。認証取得以降もサーベランス審査を通じて計画的な取り組みを継続し、セキュリティを維持できることが、この認証取得のメリットであると思います。

    office
    ▲横河ソリューションサービス株式会社 社屋

  7. 今後、審査機関に期待することを最後にお聞かせください。

    今回の認証は国内の事業所のみを対象としたものでしたが、海外の事業所(例えばシンガポールにあるラボ等)で認証を取りたいといったニーズが出てきたときに、日本と同様の審査を行っていただければ、グローバルに展開する日本企業としては大変ありがたいと思っています。また、今後社内に対して啓蒙/教育活動を進めるにあたって、支援をいただければ助かります。

本日はどうもありがとうございました。

………………………………………

制御システムは、重要インフラである電力、ガス、石油化学などのプラント、ビル等で用いられており、セキュリティ対策の必要性が高まっています。セキュリティを確保するためには、制御システム自体にセキュリティ対策が施されていることに加え、適切に構築、運用することが求められます。これからもBSI は、お客様をより一層サポートさせていただけるよう、サービスの充実に尽力してまいります。

* 1 CSMS: Cyber Security Management System for IACS (IndustrialAutomation and Control System) 制御システムに関するセキュリティマネジメントシステム

* 2 ISMS: Information Security Management System 情報資産の保護、利害関係者からの信頼を獲得するための“セキュリティ体制の確保”を目的としたフレームワークの国際規格

…………………………………………………………………………………

横河ソリューションサービス株式会社について 

横河電機株式会社の制御事業に関する国内販売・エンジニアリング・サービス子会社として2013年4 月に発足。プラント操業の最適化を目指したソリューションを提供。最近では、ネットワークセキュリティに関するコンサルティング要請が増加しており、CSMS 認証取得もセキュリティもコンサルティング力強化の一環である。これまで培った現場システム運用のノウハウと、CSMS認証の実績を踏まえて、今後は更にユーザの望むコンサルティングを提供していく。

URL : http://www.yokogawa.co.jp/

…………………………………………………………………………………

CSMS(制御システムに関するセキュリティマネジメントシステム)についてはこちらをご覧ください。

…………………………………………………………………………………

お問い合わせ先

BSIグループジャパン株式会社(英国規格協会) マーケティング本部
東京都港区北青山2-12-28 青山ビル5階
TEL: 03-6890-1174
FAX: 03-6890-1181
Email: Japan.Marketing@bsigroup.com