事例紹介:CSMS認証取得
株式会社MHPSコントロールシステムズ(製造部)
▲写真左より:株式会社MHPSコントロールシステムズ 製造部
次長 山崎 克也 様、主席 吉田 孝 様
BSIジャパンは、株式会社MHPSコントロールシステムズの長崎事業所製造部に対し、CSMS(産業用制御システム向けサイバーセキュリティマネジメントシステム)認証を行いました。(認証登録日:2016年10月7日)
同社は、制御システムDIASYS Netmationや、世界をリードする最新機種Netmation4Sを通じ、より高い安全性が要求される電力インフラや船舶、航空宇宙関連設備に対して常に最新の制御技術と高い信頼性の提供を行ってきました。ソリューション技術をさらに大きく発展させ、社会インフラ業界に貢献すること目指しています。
1. 制御システムのアセットオーナーとしてCSMS認証を取得されましたが、CSMS認証取得に至った背景やきっかけ、経緯をお聞かせ下さい。
▲株式会社MHPSコントロールシステムズ ICTソリューション統括室室長兼ICTソリューション部長 三條西 公朋 様、CISA
北米において、電力供給業者のセキュリティ信頼性確保のためにNERC*-CIP(Critical Infrastructure Protection)が発行されました。これは、遵守しない組織に対し罰金が科されたり、是正命令が下されるセキュリティ規準です。
今後、電力業界でこの遵守要求が高まることを念頭に、当社がセキュリティでどのようにお客様にアプローチするか考えるようにとトップダウンで指示がありました。
加えて、海外のお客様からの要求スペックとして、ISMS(情報セキュリティマネジメントシステム)やIEC 62443の準拠が記載される状況がでてきたので、当社もCSMS認証取得によって理解を深めることとしました。当社製品供給体制のセキュリティ強化、サービスレベル向上、及びお客様の要求に今後も応じられる体制づくりを目的としてCSMS認証取得に取り組みました。
※ North American Electric Reliability Corporation (北米電力信頼度協議会)
2. 国内の状況はいかがでしょうか。
▲同社ICTソリューション統括室ICTソリューション部ICSセキュリティグループグループ長 金澤 和彦 様、情報処理安全確保支援士、CISA
現状、国内の電力業界では、要求事項として認証取得の要望はでていません。ただ、2016年5月に「電力制御システムセキュリティガイドライン」が発行されました。これは今後電気事業法下の技術基準や保安規定に組み込まれていく事でしょう。そのような状況から、お客様からご相談の問い合わせをお受けすることがあります。ガイドライン内の「第4-1条 セキュリティ管理」には、勧告的事項として、セキュリティマネジメントシステムを構築することが記載されています。
今後、このガイドラインが強制力を持ってくれば、CSMS認証もより重要になってくると考えます。
3. マネジメントシステム構築のなかで、苦労された点などございましたらお聞かせください。
▲同社ICTソリューション統括室ICTソリューション部ICSセキュリティグループ主席 村上 美恵子 様、ISMS審査員補
CSMS認証取得の情報収集を行うなかで、必ず目にするのが「CSMSはISMSの産業システム版」という言葉でした。当社は、10年前にISMS認証を取得して以降、これまで維持継続を行ってきました。
ISMS認証取得の際には自身も一部携わっていたこともあり、CSMS認証取得はISMS要求事項の差分程度の対応で比較的円滑に進むのではないかと考えていました。しかし、予備調査において気づかされたのは、「CSMSはISMSの産業システム版」という意識から離れることでした。これが一番の障壁でした。CSMSはむしろQMS(品質マネジメントシステム)に近く、プロセスから見ていくほうがよいという気づきを得たことでポイントが見えてきました。
4. 認証取得後のマネジメントシステム運用状況はいかがでしょうか。また企業として、成果や利点は何かございましたか?
製造部ではQMSやISMSの構築運用も長年に渡り行っており、CSMSの運用についても問題なく回っています。あくまでも本業を最優先にした上で、業務に支障をきたすような活動を排除したかたちでのマネジメントシステム構築を行っていますが、今回のCSMS審査において、ISMSの改善点の気づきを得る事ができたのは、良い経験となりました。
また、今回のCSMS認証取得によってMHPSグループとして初めて制御システムのセキュリティという観点で専門部署が本年4月に立ち上がりました。それがICSセキュリティグループです。
従来は、各製品担当者が個別にセキュリティ要件を検討していましたが、当部署ができたことにより、製品リリースを行っていく上でのセキュリティ担当部署が明確になりました。それによって、セキュリティレベルの均一化をはかれるような方向になりつつあります。
5. 今後の展開と目標をお聞かせください。
制御システムでもセキュリティが必要なことは言うまでもありません。また、当社はIoT関連システムの取り扱いもあり、クラウドを利用することを考えればセキュリティの確保は必須です。今回のCSMS認証はそういったことも背景に取り組みを行いました。最終的にはMHPS製品に限らず、セキュリティという観点でお客様をサポートするビジネス展開を目指しています。
6. BSIジャパンを審査機関として選定いただいた理由をお聞かせください。
CSMS認証の審査機関が2組織であることは知っていましたが、当社も参画するVEC(Virtual Engineering Community)にてBSIジャパンがCSMS認証の認知普及活動を行っていることを知り、BSIジャパンに依頼することとしました。
7. 審査の感想や今後BSIジャパンに期待することをお聞かせください。
今回の認証取得においては、コンサルティングも利用せず、不明な点が多数ありました。しかしながら、予備調査から多くの指摘をいただいたことで気づきを与えてもらえました。認証取得を目的とした形式的な審査が多い中で、非常に勉強になりました。また、多方面での切り口でリスクを捉えて指摘をいただいたことに感謝しています。認証取得を行う意義がどういうことなのかを改めて考えることができたように思います。
リクエストとしては、苦労した点と関連しますが、CSMS認証取得にあたって研修コースの開講を希望します。特に、内部監査員養成コースやISMSを取得している組織のためのCSMS講座などがあるとこれから認証取得を検討される組織も増えてくるのではないでしょうか。
今後の参考とさせていただきます。貴重なお話をありがとうございました。
株式会社MHPSコントロールシステムズ様に関して
今回インタビューにご協力いただきました株式会社MHPSコントロールシステムズ様の詳細情報に関しては、下記URLよりご参照いただけます。
