ISA/IEC 62443-4-1、ソフトウェア・テストが要件

セキュアな産業用制御製品開発ライフサイクルに対応する新しい標準が認可されていますが、その要件として、静的コード解析、ソフトウェア・コンポジション解析、不正形式の入力を用いたテストが定義されています。

正式にはIEC 62443-4-1セキュリティとして知られている産業用オートメーションおよび制御システム向けのセキュリティ規格Part 4-1：セキュア製品開発ライフサイクルの要件は、産業用制御システムのサプライヤーの製品開発ライフサイクルプロセスを評価することを目的とした大規模な認証プログラムの一部です。ISAおよびIEC規格はさまざまな業界で採用されており、ヨーロッパでは多くの場合に法律で義務付けられています。

ソフトウェア・テスターにとっての関心事項は8.2.1（c）節の静的コード解析（SCA）で、該当言語のテストが存在する場合、またはソフトウェアが変更された場合にこのテストを行うものとしています。別の節では、サードパーティー製ソフトウェアのテストについて規定しています。

9.4節：SV-3はファジングテストおよびネットワーク・トラフィックの負荷テストと容量テスト、アタックサーフェス解析、ブラックボックスによる既知の脆弱性スキャンを対象にしています。すべてのバイナリ実行可能ファイルでソフトウェア・コンポジション解析を行う場合、少なくとも以下のような問題があります。
（1）製品ソフトウェアコンポーネントの既知の脆弱性
（2）脆弱なライブラリへのリンク
（3）セキュリティルール違反
（4）脆弱性を引き起こす可能性のあるコンパイラ設定