工場・プラントの遠隔操業支援やリモート保守対応、セキュリティ監視などのサービスを提供する事業者が、CSMS認証に注目しています。自社のリモートセンターを対象にCSMS認証を取得することで、セキュリティマネジメントの仕組みを強化し、顧客へ提供するリモートサービスの安全性を高めるためです。

CSMS認証とは

CSMS（Cyber Security Management System）とは、IEC 62443-2-1の規格番号で示される国際標準です。このCSMSには、IACS（Industrial Automation and Control System：産業用オートメーション及び制御システム）に対するセキュリティマネジメントの要求事項が規定されています。

日本が世界初としてスタートしたCSMS認証

CSMS認証とは、このCSMS（IEC 62443-2-1）に基づいた第三者認証制度です。情報セキュリティマネジメントのスタンダードであるISMS（ISO/IEC 27001）適合性評価制度を運営するISMS-AC（情報マネジメントシステム認定センター）により、CSMS適合性評価制度として2014年にスタートしました。これは、経済産業省が国際的に通用する認証基盤の確立のために実施した、「グローバル認証基盤整備事業」の一環となる、世界初の取り組みなのです。

リモートサービスの付加価値を向上

CSMS認証の対象者は

CSMS認証は、IACSのライフサイクルに関わる、次の３つの事業者が対象となっています。

• IACSを所有する事業者（アセットオーナー）
• IACSを構築・提供する事業者
  （エンジニアリング会社、システムインテグレーター等）
• IACSの運用・保守を担う事業者
  （エンジニアリング会社、サービスプロバイダー等）

IACSのセキュリティを高めるには、これら３つの事業者が三位一体となって、セキュリティ対策を進めることが重要だといえるのです。

今なぜリモートサービスで

これら３つの事業者の中で、遠隔の自社センター施設から、顧客の工場・プラントに対してリモートサービスを提供する事業者の方々が、今CSMS認証に注目しています。 工場・プラントへのリモートサービスの需要は、年々増加しています。たとえば、生産ラインの運転監視を遠隔からサポートすることで、現場を監視する要員不足を補うことができます。また、システムのトラブル発生時に、いち早くリモート操作により不具合を修復することで、ラインの稼働率を高めることができます。

しかしながら、顧客となるアセットオーナーは、リモートサービスを受けるために必要な、外部とのネットワーク接続に不安を抱きます。近年、サイバー攻撃の脅威が高まっているからです。

こうした中、リモートサービスを提供する事業者にとって、セキュリティの安全性を高めることは、顧客の不安を解消し、競合他社との差別化につながります。IACSを守るためのCSMS認証を取得し、セキュリティ対策の継続的な改善に努める事業者と、そうではない事業者では、顧客のサービス選定に今後大きな差が生まれるでしょう。

CSMS認証は、顧客から選ばれるリモートサービスとして、ビジネスの付加価値を高めるのです。

認証取得の進め方

準備作業

CSMS認証を取得するには、まず社内のプロジェクト体制を整え、準備作業を進めます。基本方針、管理の枠組み、対策の基準などを社内規程としてまとめます。そして、それを組織内へ浸透させるための教育訓練を実施します。セキュリティマネジメントの運用が軌道に乗れば、規定どおりに実践できているか内部監査でチェックします。

ここでプロジェクトの成功ポイントとなるのが、セキュリティに関する専門技術や、ISO等マネジメントシステムの経験ノウハウを持つ要員の参画です。もし自社内での要員確保が難しければ、外部から専門のコンサルティングを受けることが効果的です。

登録審査

内部監査と経営層へのマネジメントレビューが終わり、PDCAサイクルが一巡したら、いよいよ認証機関から登録のための審査を受けます。登録審査は、第１段階審査と第２段階審査の計２回に渡ります。そして、それぞれの審査で、CSMSへの適合性や有効性に問題がなければ、登録証が発行されます。

ジェイティ エンジニアリングのコンサルティングサービス

CSMS認証取得支援サービス

ジェイティ エンジニアリングでは、CSMS認証制度のスタートに合わせて、CSMS認証取得を目指す事業者を支援する、コンサルティングサービスの提供を始めました。IACSのセキュリティ技術と、組織のマネジメントシステム構築に知見を有するコンサルタントが、お客様のCSMS認証取得に必要となる各種作業をフルサポートするサービスです。

認証を取りたいが一体どのように取り組めばいいのか、不安を抱えるお客様の課題を解決します。ISO等マネジメントシステム構築の経験がなくても大丈夫です。当社が認証登録までの道のりを、しっかりと支えます。

サービスの特長

• 完全定額でのコンサル報酬
• 認証がとれるまでサービスを継続
• 成功報酬型でのビジネスモデル
• 認証取得100%の実績
• 訪問回数無制限
• 豊富なコンサルティング経験
• IACSセキュリティの知見

このサービスの特長としては、完全定額制で成功報酬型のコンサルティングメニューで実施している点です。お客様の都合でスケジュールに遅れ（サービス期間の延長）が生じても、追加料金は発生しません。また、当社の支援サポートに落ち度があり、万が一認証が取れないことになれば、報酬をいただかないスタンスで実施しています。

当社では、プロジェクトの立ち上げから認証登録までのスケジュールを、標準的に約10ヵ月間で想定しています。ただし、いち早くビジネスの競争優位を築きたいお客様には、約6ヶ月でのスピード取得も対応可能です。

競争戦略としてのCSMS

2018年春、当社のCSMS認証取得支援サービスをご利用いただいた事業者の認証登録が始まりました。いち早くCSMS認証を取得することは、IACSのリモートサービスを提供する事業者の皆さまにとって、ビジネスを差別化する切り札（競争戦略）となるはずです。

また、CSMSに関する基礎知識については、業界第一人者で当社コンサルタント（福田敏博）の著書、 『工場・プラントのサイバー攻撃への対策と課題がよ～くわかる本（秀和システム）』をご購読いただければ幸いです。