ITシステムと制御システムが融合するIoTクラウドのいま：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

情報技術と制御技術の融合で求められるリスク評価の共通尺度

　産業システムの分野では、IoTの普及・拡大とともに、情報技術（IT：Information Technology）と制御技術（OT：Operations Technology）の融合・シームレス化が進展していく。そこで問題となるのが、ITおよびOT双方を包含する産業システム全体の品質管理だ。

　元々、標準的な国際品質マネジメントシステム規格（QMS）として「ISO 9001」があり、その汎用的な要求事項に、個々の業種・業界向けの独自の要求事項を付加したセクター規格が発達し、自動車産業向けの「ISO/TS 16949」、航空宇宙産業向けの「AS9100（JIS Q 9100）」、医療機器産業向けの「ISO 13485」、電気通信産業向けの「TL 9000」などが利用されている。

　「ISO 9001」をベースに、情報資産のセキュリティ品質に特化したマネジメントシステム規格として「ISO/IEC 27001」が発展し、オープンで汎用的なITの視点に立ったセキュリティにかかわるリスクの特定・分析・評価や管理策が求められるようになった。他方、各セクター規格については、当初ハードウェアやOTを前提としたモノの品質管理や物理的セキュリティが主体だったが、電子化・サービス化の進展とともにソフトウェアが台頭し、外部ネットワークと接続するにつれて、情報セキュリティに係る管理策も不可欠になってきた。

　しかしながら、同じセキュリティでも、データの機密性保護を重視するITと、現場・要員の安全や物理的セキュリティを重視するOTの間には大きなギャップが存在する。下表は、米国アイダホ国立研究所が2006年5月に公表した「制御システムのサイバーセキュリティ：多層防御戦略」（原題＝Control Systems Cyber Security: Defense in Depth Strategies、JPCERTコーディネーションセンター日本語訳参照より、ITシステム環境と制御システム環境におけるセキュリティの視点をまとめたものだ。

出典：米国アイダホ国立研究所「Control Systems Cyber Security: Defense in Depth Strategies」（2006年5月）を元に筆者作成

　情報セキュリティの「ISO/IEC 27001」では、2013年版の規格改訂により、リスクマネジメントシステム規格「ISO 31000/JIS Q 31000」に準拠したリスクベース・アプローチが適用され、供給者関係の管理策としてICTサプライチェーンが追加された。

　産業システムの場合、複数の産業機器やソフトウェアの組み合せで構成されるケースが多く、ICTサプライチェーンを構成する企業やその外部委託先・再委託先との関係も複雑化する。従って、ICTサプライチェーンをコントロールするためには、ITシステムと制御システムの間で異なるリスク認識をすり合わせた上で、情報セキュリティリスクを特定・分析・評価するための基準を共有しておく必要がある。

　今後リスクベース・アプローチは、「ISO 27001:2013」から品質の「ISO 9001:2015」、環境の「ISO 14001:2015」、さらにはセクター規格へと拡大する見通しであり、ITとOTの双方を網羅した横断的なリスク評価基準の開発は欠かせない。