鉄道とサイバーセキュリティー [5] 国際規格
mack0113鉄道におけるサイバーセキュリティ規格の意義と必要性
なぜ今、サイバーセキュリティ規格が必要か?
近年の鉄道システムは、以下のように従来の閉鎖的なアーキテクチャから、オープンで相互接続された構成へと進化している:
- CBTC・ETCS・PTCなど、無線通信ベースの列車制御
- クラウド連携による遠隔保守・状態監視(SCADA等)
- ITとOTの統合(IoT、ビッグデータ、AIの活用)
これに伴い、鉄道も次のようなサイバー脅威にさらされるようになった:
- 外部からの不正侵入・乗っ取り(例:制御系通信の改ざん)
- ランサムウェアやマルウェアによるシステム停止
- サプライチェーン経由での攻撃(USB、保守端末など)
✅ **人命・安全運行に直結する鉄道において、セキュリティ対策の標準化は「安全確保の前提」**になってきている。
サイバーセキュリティ規格の意義とは?
サイバーセキュリティ規格には、次の3つの重要な目的がある:
① 最低限守るべき対策を明文化する
企業や国ごとにバラバラだった基準を、共通の要求事項(要件)として文書化し、誰もが従えるようにする。
② 製品・システムの評価基準を提供する
「この製品や設計はセキュアか?」という判断基準として使える(第三者評価やSIL認証のように扱える)。
③ インシデント後の責任所在を明確にする
標準に基づいた設計をしていれば、「過失がないこと」を証明しやすくなる(訴訟リスク対策にも)。
規格準拠の現状(世界・日本)
海外での動き
- EUではTS 50701が正式に採択され、ETCSや新規路線に対して準拠が推奨されている
- 米国ではNIST SP800シリーズやTSAガイドラインに従った対策が要求されつつある
- 製造側(車両メーカー、制御装置ベンダー)もIEC 62443-4-1/4-2準拠の製品開発が加速
日本の現状
- 国交省は**サイバーセキュリティ基本方針(2021年版)**で「鉄道事業者に対策を要請」しているが、
- 多くの既設路線は**レガシー設備(固定閉塞、継電連動)**で構成され、導入はこれから
- 一部の新線(都市高速鉄道・民間事業者)では、TS 50701の採用を視野に入れたセキュリティ設計が検討されている
IEC 62443とは?
IEC 62443シリーズは、産業用オートメーションおよび制御システム(IACS)のために作られた国際的なサイバーセキュリティ規格。
もともとはISA(国際自動制御学会)で策定され、後にIEC(国際電気標準会議)によって国際規格化された。
主な構成
IEC 62443は以下の4階層に分かれている:
| カテゴリ | 内容 |
|---|---|
| 62443-1-x | 用語定義・基本概念(共通基礎) |
| 62443-2-x | ポリシーと運用(組織・管理者向け) |
| 62443-3-x | システムレベルの要件(システム設計者向け) |
| 62443-4-x | コンポーネントの技術要件(装置ベンダー向け) |
鉄道向けに拡張された規格:TS 50701
EN(TS)50701とは?
- 正式名称:CENELEC TS 50701:2021
- 制定:欧州電気標準化委員会(CENELEC)
- IEC 62443に準拠しながら、鉄道の実情に即した具体的な要求事項を定義した鉄道分野のサイバーセキュリティ技術仕様
特徴
- CBTC、ETCS、SCADAなどの鉄道固有の制御・監視システムを対象とする
- SILなどの安全規格(EN 5012x)との整合性を重視している
- 鉄道事業者、インテグレータ、ベンダーの役割ごとに要件を分類
IEC 62443 ⇨ TS 50701 関係図
IEC 62443 と TS 50701 の関係
- 1-x: 基本概念・用語
- 2-x: 運用・管理ポリシー
- 3-x: システムセキュリティ要件
- 4-x: コンポーネントのセキュリティ仕様
IEC 62443カテゴリ解説
IEC 62443 と TS 50701 の関係
- 1-x:基本・概念・用語
セキュリティレベル、ゾーン&コンジットモデル、資産識別など、全体に共通する基本用語や原則を定義。 - 2-x:ポリシー・運用管理
組織レベルで必要なガバナンス、リスクアセスメント、インシデント対応など。運用・保守担当者向け。 - 3-x:システムレベルのセキュリティ要求
制御システム(OT)の設計・構成における要求事項(例:ネットワーク分離、アクセス制御、ロギングなど)。 - 4-x:コンポーネントのセキュリティ要求
PLC、HMI、センサなど機器レベルの要件(例:ソフトウェアの署名、ポート制限、セキュアブートなど)。
IDSに関する要求(IEC 62443 / TS 50701より)
IEC 62443での位置づけ
IEC 62443では、特定のIDS製品を要求しているわけではないけど、以下のような文脈でIDSの導入や同等機能の実装を求めている:
**62443-3-3(システムレベル)**でのセキュリティ要件:
要件 SR 3.1〜3.3:「異常な動作や侵入の検知・ログ・通知」が必要
IDSはその実現手段の1つとして推奨される
**62443-2-1(ポリシー)**でも:
継続的監視とセキュリティイベントの評価が必要
まとめると:「IDSの導入」は強制ではないけど、その目的(不正検知・対応)の達成手段としては非常に有効とされているよ。
TS 50701での要求
TS 50701(鉄道向け)では、より具体的に鉄道OTシステムへのIDSの適用が推奨または要件になっている。
Chapter 6.3.3:監視機能
「SCADA、CBTC、ETCSなどの制御システムに対し、侵入検知または監視の導入を推奨」
IDSやSIEM(統合ログ監視)などの利用例が記載されている
鉄道構成ごとに監視ポイントを定義(例:境界ルータ、プロトコル変換装置、ZC/IXL間など)
特徴的な点
IEC 62443
TS 50701(鉄道)
IDSは要件達成手段の一つ
IDSを明示的に紹介し推奨
システム全体に対する抽象的要求
鉄道の機器や通信区間に即した適用指針あり
他の対策(アクセス制御やセグメント化)と併用
特に境界セキュリティと運行制御系での導入が想定される
IEC 62443: IDSは「推奨される実装手段」
TS 50701: 鉄道向けに「導入が強く推奨される機能」
IEC 62443およびTS 50701には、サイバーセキュリティに関する「プロセス」(どう守るかの手順)と「具体的な対策」(何をやるか)が、両方しっかり記述されているよ。
以下に、両者の視点でそれぞれ整理するね。
プロセス(プロジェクトライフサイクル上の手順)
IEC 62443とTS 50701では、セキュリティを導入するためのプロセス(工程)が定義されていて、これはライフサイクルベースになっている。
プロセス例(IEC 62443-1-1 / TS 50701参照)
| フェーズ | 内容例 |
|---|---|
| 要件定義 | 資産(アセット)の洗い出し、セキュリティレベル(SL)の決定 |
| リスクアセスメント | 脅威・脆弱性の特定、リスクの定量評価、残留リスクの定義 |
| セキュリティ設計 | ゾーニングとコンジット設計、アクセス制御設計、ログ監視設計など |
| 実装 | セキュアな設定、機能制限、認証、暗号化導入など |
| テスト・検証 | 脆弱性スキャン、ペネトレーションテスト、システム統合テスト |
| 運用・保守 | IDS運用、ログ監視、セキュリティパッチ管理、教育訓練 |
| 廃棄 | 機器の初期化、データの完全削除、記録保存 |
TS 50701では、特に鉄道プロジェクトに合わせて「RAMS(EN 50126)」のフェーズにセキュリティプロセスを重ねることが強調されている。
具体的な技術的対策(Security Measures)
IEC 62443-3-3 では、セキュリティ要求(SR:Security Requirements)が明文化されており、以下のような具体策が並ぶ。
TS 50701ではこれを鉄道用語や装置にマッピングしてる。
技術的対策の例(IEC 62443-3-3 / TS 50701対応)
| 分類 | 要求内容(SR項目例) | 鉄道システムでの例 |
|---|---|---|
| 識別と認証 | ユーザーや機器のID管理、パスワード強化 | HMIログイン、ZC間通信 |
| アクセス制御 | ロールベースアクセス、最小権限 | CBTC保守端末の制限 |
| システム整合 | 時刻同期(NTP)、状態整合の維持 | RBC・IXLの一致監視 |
| データ保護 | 通信・保存データの暗号化 | CBTCとの暗号通信 |
| 応答と復旧 | インシデント対応計画、ログ保存、IDSアラート処理 | 検知+遮断 |
| リモートアクセス | VPN制御、2段階認証、証明書による端末制限 | SCADA遠隔監視端末 |
| アップデート | セキュリティパッチの管理、更新時の署名確認 | 車上装置のFW更新 |
ポイントまとめ
- プロセスは「誰が・いつ・どうやって」守るかを決める流れ(責任の所在)
- 対策は「何を・どこに」導入してセキュリティを実現するか(技術や手段)
- TS 50701は、62443のプロセスと対策を鉄道システムにマッピングした仕様
