Q1: SBOMとは?
SBOM(Software bill of materials: ソフトウェア部品表)はソフトウェアコンポーネントと階層関係を含む依存関係で構成された標準化された、機械判読可能なインベントリーです。オープンソースソフトウェアとプロプライエタリ・ソフトウェア双方を包含し、広く普及しているものもアクセスが制限されているものも対象となります。SBOMは脆弱性の技術的な基盤としてEUサイバーレジリエンス法(CRA)の必須要件にもなっています。当社ではSBOM導入やCRA対応のためのトレーニングとアドバイザリーを提供しています。
Q2: ISO27001の認証を取得していれば、産業製品と自社工場のOTセキュリティは確保できますか?
ISO 27001 は ISMS(情報セキュリティマネジメントシステム)のための国際規格で、組織の種類や規模を問わず適用できる体系的なガバナンスの枠組みを提供し、あくまで企業の情報セキュリティと IT 領域のリスク管理に重点を置いています。
対照的にISA/IEC62443はIACS(産業オートメーション・制御システム)に特化して開発され、IACSのライフサイクル全体にわたっての技術的およびプロセスの要件を規定し、工場・施設の所有者 (2-1)サービスプロバイダー(2-4)製品サプライヤー (3-3、4-1、4-2)特有の要件を定義しています。ISA/IEC62443-2-1はISO27001に組み込むこともできますが、ISA/IEC62443は製品セキュリティのライフサイクルをさらに拡張し、OT環境に特有の高可用性の要件を重視しています。
両規格は相互補完的な関係にあり、併せて導入することで、IT と OT 双方に対してより包括的なセキュリティ体制を構築することが可能です。
Q3: OTセキュリティのエキスパート向け資格にはどんなものがありますか。
ISA(国際自動制御学会)が提供するISA/IEC 62443サイバーセキュリティ認定プログラムがあります。同プログラムは下記で構成されています。
Certificate 1: ISA/IEC 62443 Cybersecurity Fundamentals Specialist
Certificate 2: ISA/IEC 62443 Cybersecurity Risk Assessment Specialist
Certificate 3: ISA/IEC 62443 Cybersecurity Design Specialist
Certificate 4: ISA/IEC 62443 Cybersecurity Maintenance Specialist
Certificate 1、2、3、4すべてを取得するとISA/IEC 62443 サイバーセキュリティエキスパートに認定されます。
当社はISAの公式トレーニングパートナーとして、ISA/IEC 62443サイバーセキュリティエキスパートの認定取得のためのCertificate 1、2、3、4すべてのコースを提供しています。
Q4: Sun Squareの強みはどこにありますか。
Sun Square、ISA公式トレーニングパートナーおよびOpenChainサービスパートナーとして、国際規格(ISA/IEC 62443、SEMI E187、ISO/IEC 5230)の標準化活動に深く参画しています。そこで培った知見と元アセッサーとしての経験を活かし、法規制の要件と、実運用に耐えるセキュアなアーキテクチャの橋渡しとなる技術アドバイザリーを提供します。
Q5: 世界各地に広がる自社工場のセキュリティを対策する必要がありますが、そのサポートは可能ですか。
はい。可能です。グローバルに展開する製造業のお客様に対し、多言語対応(英語/日本語/中国語)および10年以上の現場での経験により、国内外問わず複数拠点での、一貫して堅牢なOTセキュリティのアーキテクチャーの設計と導入を支援いたします。
Q6: PSIRTをどのように構築できるのかトレーニングとアドバイザリーを提供していますか。
はい。法規制はPSIRTを必須としてはしていませんが、製品のライフサイクルを通じての脆弱性対応とセキュリティの管理を厳格に義務づけています。弊社ではEUサイバーレジリエンス法(ERA)で定義されているようなグローバル要件に対応できるよう必要なプロセスとフレームワークの確立をサポートします。弊社のアドバイザリーで、専門的かつ適切な脆弱性開示と緩和策を確実に行えるよう、PSIRTとして体系化された強靭な対応能力を実装します。
Q7: 重要インフラ向けのトレーニングやアドバイザリーを提供していますか。
はい。エネルギー(石油、ガス、再生可能エネルギーなど)、電力(発電・送電・配電、DER、マイクログリッドなど)、上下水、交通・輸送(鉄道、船舶など)といった重要インフラは弊社の専門領域のひとつです。現場の安定稼働とOTセキュリティの国際標準および国内の法規制・ガイドラインを整合させる、各セクターに対応したトレーニングとアドバイザリーを提供します。
