ISA/IEC 62443-2-1規格によると、セキュリティポリシー、組織、および意識向上は、IACSセキュリティ管理システムの4つの基本要件の1つです。この要件は、「セキュリティプログラムをサポートするために必要なポリシー、手順、および組織構造」1を定義します。この要件の要素の1つは、スタッフのトレーニングとセキュリティ意識向上であり、「IACSコンポーネントにアクセスする、または責任を負うすべての担当者に適切なセキュリティ教育とトレーニングを提供すること」1が含まれます。この要素は、スタッフがセキュリティリスク、ポリシー、および手順を認識し、安全な方法で役割と責任を遂行できるようにすることを目的としています。スタッフのトレーニングとセキュリティ意識向上には、セキュリティ原則、脅威と脆弱性、インシデント対応、パスワード管理、物理的セキュリティ、ソーシャルエンジニアリング2などのトピックが含まれます。参考文献：
* ISA/IEC 62443シリーズ規格 - ISA
* 産業オートメーションおよび制御システムのセキュリティ - ISAGCA

OPC Classicは、1024から65535までの任意のポートを動的に割り当てるDCOMを使用します。包括的な説明：OPC Classicは、分散コンポーネントオブジェクトモデル（DCOM）プロトコルを使用して、異なる産業用制御システム間のデータ転送を容易にするソフトウェアインターフェーステクノロジです。DCOMは、アプリケーションがネットワークを介して通信できるようにするMicrosoftテクノロジです。しかし、DCOMはセキュリティを考慮して設計されておらず、ファイアウォールの設定においていくつかの課題が生じます。主な課題の一つは、DCOMが固定のTCPポート番号を使用せず、最初の接続時に新しいポート番号をネゴシエートすることです。つまり、中間のファイアウォールはワイドオープンルールでしか使用できず、広範囲のポートが攻撃の脅威にさらされることになります。そのため、OPC Classicは「ファイアウォールフレンドリー」ではなく、提供されるセキュリティと保護機能が低下します。参考資料：
* トフィーノセキュリティOPC財団ホワイトペーパー
* ステップ2（クライアントまたはサーバー用）：ファイアウォール設定の構成 - GE
* OPC Classic 向けセキュアファイアウォール - Design World

ISA/IEC 62443 標準に準拠した ISASecure 認証プログラムは、既知のサイバーセキュリティの脅威に対する産業用制御システムの堅牢性を分類する 3 つの異なるセキュリティ レベルを定義します。
これらのレベルは、産業用オートメーションおよび制御システムのセキュリティを確保するためのスケーラブルなアプローチを提供するために設計されており、レベルごとにより高いレベルのセキュリティが提供されます。通常、レベルはSL1（セキュリティレベル1）、SL2（セキュリティレベル2）、SL3（セキュリティレベル3）と分類され、それぞれがサイバー攻撃に対するより厳格なセキュリティ機能と耐性を備えています。

このリファレンスモデルは、適切なセキュリティプログラムを設計するための全体的な概念的基盤を提供します。IACSセキュリティに責任を負うすべての関係者が使用できる共通の用語、概念、およびモデルを定義します。このリファレンスモデルでは、IACSの一般的な特性、一般的な脅威と脆弱性、セキュリティライフサイクルのフェーズ、およびセキュリティレベルについて説明します。また、ゾーンとコンジットの概念も導入されています。これらは、セキュリティ要件が類似する資産をグループ化および分離し、それらの間の通信を制御するために使用されます。参考資料：https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/IoT_Security_Lab/IEC62443_WP.pd
https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/IoT_Security_Lab/IEC62443_WP.pdf