ISA/IEC 62443-2-1は、資産保有者がサイバーセキュリティプロセスがどの程度一貫して効果的に実装されているかを把握するためのサイバーセキュリティ成熟度モデルを導入しています。この成熟度の概念は、技術的な高度さではなく、プロセスの一貫性、文書化、再現性に重点を置いています。
ステップ1：レベル1を理解する - 初期
レベル1は、場当たり的で事後対応的な状態と定義されます。プロセスは非公式で、一貫性がなく、多くの場合、個人の知識やシフト固有の慣行に依存しています。文書化は最小限か全く存在せず、結果も大きく異なります。
ステップ2: シナリオを定義に合わせる
質問では、サイバーセキュリティのプロセスが「シフトやチームによって大きく異なる」と明確に述べられています。この一貫性と標準化の欠如こそが、レベル1の成熟度を決定づける特徴です。強制的な手順、標準化されたトレーニング、ガバナンスの証拠は見当たりません。
ステップ3: 上位レベルが適用されない理由
* レベル 2 では、文書化された手順と基本的なトレーニングが必要です。
* レベル 3 では、繰り返し実行でき、一貫して適用されるプロセスが必要です。
* レベル 4 では測定と継続的な改善が必要です。
ステップ4: ISA/IEC 62443の意図
この規格では、多くの組織がレベル1からスタートし、徐々に成熟していくことを強調しています。高度な管理策の導入を試みる前に、このベースラインを特定することが重要です。
したがって、正しい分類はレベル 1 - 初期です。

ISA/IEC 62443-3-2 では、リスク評価の範囲境界として、検討対象システム (SuC) の概念が導入されています。
ステップ1：SuCの目的
SuC は、サイバーセキュリティ リスクについて分析される内容を正確に定義します。
ステップ2: 包括的なスコープ
これには、システムの機能に貢献する IACS コンポーネント、システム、ゾーン、コンジット、およびサポート資産の定義済みコレクションが含まれます。
ステップ3: 定義が重要な理由
明確に定義された SuC により、脅威のモデル化、影響分析、セキュリティ レベルの決定が正確に行えます。
ステップ4: 他の選択肢が間違っている理由
SuC をビジネス資産または物理デバイスに限定すると、論理的、ネットワーク的、および機能的な依存関係が無視されます。
したがって、正解は、IACS と関連資産の定義済みコレクションです。

ISA/IEC 62443 標準に従ってサイバーセキュリティ管理システム (CSMS) を監視および改善するには、システムが効果的であり、新たな脅威に対応できることを保証するいくつかの重要なアクティビティが必要です。
この進行中のプロセスにおける 2 つの重要な要素は次のとおりです。
* A. スタッフのトレーニングとセキュリティ意識の向上：安全な運用環境を維持するためには、定期的なトレーニングとスタッフのセキュリティ意識の向上が不可欠です。この予防策は、人的ミスの削減とサイバーセキュリティインシデントへの効果的な対応能力の向上に役立ちます。
* D. システムログおよびその他の重要なデータファイルのレビュー：潜在的なセキュリティインシデントの検知、調査、対応には、システムログおよびその他の関連データファイルの継続的なレビューと分析が不可欠です。この監視は、セキュリティ侵害や対応が必要な運用上の問題を示唆する可能性のある異常を特定するのに役立ちます。

IT (情報技術) 環境と IACS (産業オートメーションおよび制御システム) 環境の主な違いは、サイバーセキュリティにおいて IACS システムの安全性を考慮する必要があることです。
ISA/IEC 62443-1-1、第4.3項より:
「従来のIT環境では機密性が最優先事項ですが、IACS環境では可用性、整合性、そして最も重要な安全性が最優先事項となることがよくあります。」IACS環境におけるサイバーセキュリティの失敗は、機器の損傷、環境への悪影響、人命の損失など、物理的な結果をもたらす可能性があるため、安全性は重要な考慮事項となります。
誤ったオプション:
A) 整合性は重要ですが、通常は可用性と安全性の方が優先されます。
B). IT 部門では可用性ではなく機密性を優先します。
D) ルータは実際に IACS ネットワークで使用されており、多くの場合、強化型または産業用グレードです。
参考文献:
ISA/IEC 62443-1-1:2007 - 「用語、概念、およびモデル」
ISA/IEC 62443 学習ガイド
NIST IR 8183 - IACS 向けサイバーセキュリティフレームワークプロファイル