ソフトウェア・インテグリティ

 

ISA 62443 SDLC要件とISASecure認証の更新

2016年にISA 62443-4-1の草案が承認され、最終確認のためIECに提出されました。そして、2020年5月時点ではIEC 62443準拠のISASecure認証はひとつの節目を迎えています。

正式にはISA-62443-4-1セキュリティとして知られている産業用オートメーションおよび制御システム向けのセキュリティ規格Part 4-1:セキュア製品開発ライフサイクルの要件を規定したこのドキュメントは、産業オートメーション制御システムのサプライヤーの製品開発ライフサイクルプロセスを評価する認証プログラムの一部です。このプログラムにより開発ライフサイクルのセキュリティの保証レベルが向上します。このドキュメントは、保証がコンポーネント、システム、またはその両方の開発に適用されるかどうか、および組織がそのプロセスを適用する製品の範囲(すべての製品が対象になる場合もあります)を規定します。

1945年に設立されたISA(International Society of Automation)は非営利団体です。現在、全世界で40,000人を超える会員がいます。この組織は主に自動化の標準を策定します。

関連組織であるIEC(International Electrotechnical Commission:国際電気標準会議)は、電気、電子、および関連技術の国際規格と適合性評価を策定します。

ソフトウェア・テスターにとっての関心事項は8.2.1(c)節の静的コード解析(SCA)で、該当言語のテストが存在する場合、またはソフトウェアが変更された場合にこのテストを行うものとしています。別の節では、サードパーティー製ソフトウェアのテストについて規定しています。

9.4節:SV-3はファジングテストおよびネットワーク・トラフィックの負荷テストと容量テスト、アタックサーフェス解析、ブラックボックスによる既知の脆弱性スキャンを対象にしています。すべてのバイナリ実行可能ファイルでソフトウェア・コンポジション解析を行う場合、少なくとも以下のような問題があります。

(1)製品ソフトウェアコンポーネントの既知の脆弱性
(2)脆弱なライブラリへのリンク
(3)セキュリティルール違反
(4)脆弱性を引き起こす可能性のあるコンパイラ設定

この規格は重要です。たとえば、ヨーロッパでは多くの場合にISAおよびIEC規格が法律で義務付けられています。

ISASecure認証についての最新動向は下記のウェビナーでご確認ください。

https://www.brighttalk.com/webcast/18289/425794/isa-iec-62443-isasecure

 

この著者によるその他の情報