プラント設備エンジニア向け機能安全(連載#4回)

これからプラント分野の機能安全に取り組む方を対象に、この規格がどのような取り組みなのかを知っていただくための連載です。要件の背景や具体的な取り組み例を知っていただき、本格的な勉強につなげていただければ幸甚です。

本記事は工業技術社月刊「計装」2017年4月号から連載した記事に一部追記し、編集部ご了解のもと掲載しています。掲載記事は本誌をご覧ください。#4回はIEC 61511に追加されたセキュリティアセスメントについてみてゆきます。

どんな事件が起きているのか?(その2:制御セキュリティ)

カード番号・生年月日など、秘密情報の漏洩事件が数多く発生しています。このような事件を防ぐための情報セキュリティ維持の管理計画をISMS(※脚注)といいます。ISO-27001が相当します。多くの企業がQMS(※脚注)ISO9001と併せて認証を取得しています。工場やプラントの制御システムや端末などが接続されている制御ネットワークに求められる制御セキュリティには情報セキュリティとは異なるアプローチが必要です。対象となるインシデント(=事件・事故)は、制御システムや保護システムの動作を阻害し、設備の稼働に影響を与える事態を指します。制御セキュリティ、IOTセキュリティなどとも呼ばれます。

Fig-4-1-1ウクライナで57か所の変電設備の停止による大規模停電は、SCADAシステム(監視操作するパソコンおよびそのソフトウェア)にウィルスが感染したことが原因で発生しました。そのうえソフトウェアの再起動に必要なファイルを消去されたことで影響が拡大したようです。情報系のインシデントとは異なり、制御セキュリティのインシデントは設備停止による損失や、制御不良による機器破壊、受傷など直接的な災害につながります(図1)。

また人の悪意以外に、ネットワーク機器の故障が脅威となるケースもあります。保護システムは設備の故障や操作ミスも含めた万一に備えるためのシステムです。もしもこれらが無効化されたなら設備の潜在的な災害リスクが大きくなります。保護システムによって低減されていたはずのリスクが低減されず残存リスクが大きくなるからです。このため制御セキュリティ対策は、機能安全の要件の一部と考えます。制御セキュリティは、情報系技術者のテーマのように思えますが、制御や保護のシステムを構築する計装エンジニアが担うべき範囲です。制御ネットワークの構造や機能は現場ごとに異なります。制御セキュリティの計画には、設備運用への理解が不可欠だからです。

Fig-4-2-1機能安全のプラント分野向け規格IEC 61511では、昨年の改定で、SIS(※脚注)に対し、IEC 62443に基づくセキュリティリスクアセスメントを位置付けました。他の機能安全の分野規格もIEC62443を参照する予定です。IEC62443は、設備オーナ、インテグレータ、デバイスメーカのそれぞれが、リスクを分析し低減することを求めています。(図2)

IEC 62443では最初に、インシデント発生時の危害を分析します。化学物質の漏洩なのか、または機械の破損なのかなど、オーナや設備エンジニアのリスク分析がなければ、守るべき対象が定まらないからです。次にインテグレータが、どのような脆弱性や脅威があるのか、洗い出し、特定し、分析・対策し、セキュリティの仕組みを構築します。ここでもリスク分析が必要です。制御セキュリティのライフサイクルは、安全ライフサイクルと同じ構造です。機械や設備のリスク分析から、システムやネットワークのリスク分析(脆弱性分析・脅威分析)、実際のモノづくり、そして据え付けや運用保守のすべてが範囲です。

Fig-4-3前回、安全ライフサイクルでリスク分析を継承することの大切さをお話ししました。ネットワーク機器は更新周期も短く、新しい機器が加わる可能性が高いです。最初は切り離されていた設備でも、IOTのためにインターネットにつなげるケースも今後は増加するでしょう。このため制御セキュリティリスクの管理が継続的に維持されることは、とても大切です。IEC62443では、このようなセキュリティ維持の管理計画を、CSMS(※脚注)とよんでいます(図3)。

IOTやIndustrie4.0によって設備運用・機器保全のメリットを長期に安心して享受するためには、CSMSの構築、特にセキュリティ維持のコンセプトや指針、ルールをまとめた、Security Policyが必要です。Security PolicyなしのIOTやIndustrie4.0の導入は、安全保護の仕組みが一切無い設備と同じです。利便性を追求した結果、事故や災害のリスクを大きくしては本末転倒です。

TUV-SUDでは、サイバーセキュリティの監査や、欧米のセキュリティ専門家によるサイバーアタックの模擬試験(ペネトレーションテスト)など、運用中・計画中の設備に対して、様々なセキュリティアセスメントサービスを提供しています。また、計装エンジニアの皆様に向け、ネットワーク技術やセキュリティ技術の解説・導入講座も準備しています。お客様のセキュリティ対策の実態に合わせ、ワークショップ形式で実践的な対策をご提案いたします。ぜひお問い合わせください。

さて、前回と今回は、機能安全および関連する制御セキュリティにおいて、実際に発生した事件を見ながら、設備ライフサイクル全般にわたる管理計画(FSMSやCSMS)が大切な理由を解説してきました。そして、安全ライフサイクルの重要なカギが安全やセキュリティに対するリスクアセスメントであることが、ご理解いただけたのではないでしょうか。設備を建設する最初だけではなく、運用や保守改修など、長期に繰り返し維持実施されるべき活動が機能安全や制御セキュリティの規格が求めるリスクアセスメント活動です。リスクベースのアプローチは、これらの規格の根幹なのです。
次回は、機能安全が求める信頼性(安全完全性)の高いシステムとは何かについて解説します。

脚注

FSMS:Functional Safety Management System
ISMS:Information Security Management System
QMS:Quality Management System
CSMS:Cyber Security Management System
SIS:Safety Instrumented System 安全計装システム、保護システム

 

 

(株)制御システム研究所は、TUV-SUDの公式パートナー/機能安全エキスパートです。