次に進む
1つ戻る
- 1.パンタグラフ
- 2.車両の外寸
- 3.鉄道車両の軸重と材質
- 4.車体外側の標示
- 5.ETCS(列車運行システム)
- 6.オーバーラップと信号の変化
- 7.連結装置
- 8.脱出窓
- 9.レールの接地/非接地
- 10.ATCの速度照査パターンの引き方
- 11.電磁吸着ブレーキ
- 12.分岐器の鎖錠
- 13.デジタルモデリング・BIM・UICリーフレット
- 14.軌道構造
- 15.軌道構造・人材育成
- 16.接着・溶接認証
- 17.「速度信号」「予告信号」が必要な理由
- 18.速度超過検出
- 19.異相区分切替セクション
- 20.波動伝搬速度[架線の構造]
- 21.サードレールの活用
- 22.車両材料による火災対策
- 23.鉄道運転免許
- 24.プラットホームの高さ・ドア高さとドアの大きさ
- 25.車両のドア構造
- 26.5G対応無線式信号(FRMCS)(工事中)
- 27.高速鉄道線のトンネルの断面積
- 28.列車の分類
- 29.民営化された国鉄路線(工事中)
- 30.行路表の配布者
- 31.オープンアクセスは強制開放
- 32.客室の座席配置
- 33.列車位置把握(工事中)
- 34.高速鉄道の在来線線路走行
- 35.メンテナンス
- 36.車両の堅牢さ
- .まとめてみました
目次
すみませんが、本ページで紹介しているFRMCSとサイバーセキュリティ関係の一部は私の勤務先の研究所名での関係学会での発表を予定しているため、コンプライアンス上一旦非公開としております。2021.10.1
追加でもう一件COMPRAIL2022の原稿を作成しているため、引き続き工事中です。enisaガイドラインについて追記しました。2022.2.16
もう一件論文を作成中ですので、関係する部分を削除しています。FRMCSについて別のページに集約しました。
鉄道信号のディジタル化
サイバーセキュリティ
CENELEC/TS 50701:2021
2021年6月にCENELECで発行が合意された鉄道サイバーセキュリティ規格については、国際標準化することが予定されています。
国際標準化される部分ではないのですが、後述するガイドラインが発行されており、その中に、「現状、信号システムに必要なセキュリティターゲットレベル(SL-T)は3だが、SL-T2も適用できる。」という目安が示されていますので(Zoning and conduits for raiways (2022年2月発行)の3.3.5.1)、SL-Tありきの議論が起こることが心配されます。
しかしサイバーセキュリティは、RAMS系規格と同じくセキュリティリスクに応じて、ゾーンに必要な目標(SL-T)を立てる構成ですので、想定されるリスクが同じレベルのところをゾーンとしてくくっていく(セグメンテーション)作業が重要です(通信路については目標を立てないことも規定されています)。
TS 50701:2021の構成
CENELEC/TS 50701(以下「セキュリティ規格」といいます。正しくは規格ではなく技術文書(TS)ですが)では、次の略語により手順が説明されていきます。
ここではかなり砕いて紹介していますので、正確にはセキュリティ規格を見てください。
- (1)SuC:System under Consideration :対象とする鉄道のシステム。
- (2)SL: Security Level :セキュリティレベル。
- (3)Zone(ゾーン):SuCを、機能の重要さ、データの流れや通信路との接続によってセキュリティレベル別にセグメントした化グループ。
- (4)Conduit(コンデュイット):ゾーンを接続するデータの通信路で、制御機器を介してゾーンと接続されるもの。
- (5)SL-T:サイバーセキュリティレベル目標。
- (6) SL-C(Capability security level): 対策によって達成されるSL。
- (7)SR: System (Security) Requirement:FR((8)参照)の7要素に対する具体的な要求事項。
- (8)FR:foundational requirements classes:情報セキュリティの7要素。上述の(2)及び(7)を参照。
- (9)ZCR:Zone and Conduit Requirement :IEC 62443-3-2に規定する、ゾーン及びコンデュイットを設計する手順の番号。サイバーセキュリティ規格も同一の番号を使用します。
- (10)ZC-L : Zone Criticality Landside: セキュリティ規格附属書Fに例示する、地上−車上通信、車上−車上通信でのリスクを評価する上での目安となる「脅威」の尺度。インターネットはZC-L0、SCADAはZC-L5、閉そくシステムはZC-L5s(※sはSafety関連の意味)、等が例示されている。
初めはIEC62443と同じく7次元(=FR)のセキュリティベクトルでSL-T(後述)を把握しますが、最終的にはSL 0(対応しない)から、SL 4(高いレベルのリスクに対応)に分類します。
セキュリティ規格は、このゾーンを、リスクに応じていかに合理的にセグメンテーションし、そのリスクを監視するか、という手順や手法、考え方を提供する構成になっているます( ゾーニングモデル、と呼ばれています)。
有線、無線など物理的形態は問いません。対象システムは、ゾーンとコンデュイットに分けていきます(※ゲートウェイのように両者に重複するものもあります)。この中には、PLCのSCSIケーブルのような結線単位のものも、ゾーニング方法によっては個々のコンデュイットとして把握する必要があります。
ゾーンごとに割り当てられるSLの目標です。これを達成するように各ゾーンのSLをゾーンごとに検討していきます(※コンデュイットのSL-Tは検討しないことになります)。
IEC 62443-3-3に一般産業向けのSRが詳しく説明されているのですが、セキュリティ規格ではその中から鉄道向けにピックアップし、コメントとSLごとに必要な対策を表7にまとめています。
手順
この手順は、あくまで新製品の開発の場合のものです。※zoningガイドラインに規定されています。
なお、自動車分野等では、機能安全規格とセキュリティ規格の適用順序や競合排除のためのIEC/TR 63069 機能安全と制御セキュリティの審議中です。鉄道分野にも波及してくるか、鉄道用規格化が進むと考えられますので下記の手順は現時点(※2022年6月30日に執筆しています)のものです。
- 【ZCR 1】[TS 6.2.2、6.2.5] 対象とするシステム(SuC)を特定する
- a) 対象システムの基本機能や基本構成を具体化する
- b) 対象システムのゾーンモデルの案を作成する
- 【ZCR 2】[TS 6.3.1] 初期リスクアセスメントによりシステム全般の、安全性や稼働率についてのリスクを特定する。
- a)ZCレベルの見積り及び接続構成図を作成する
- b)対象システムの個々の機能や装置ごとに、最高レベルのリスクを抽出する
- 【ZCR 3】[TS6.4 ]ゾーン分け、コンデュイット区分分けを行う
- a)ゾーンやコンデュイット(通信路)の基本的構築環境を規定する(IPアドレスや、機能接続図など)。
- b)ゾーンやコンデュイットに、ZCレベルを規定し、妥当性確認を行う。この際、他分野の関係規格等参照できるものは参照する。
- c)それぞれのゾーン、コンデュイットに、目標値(SL-T)を決めていく。この際、現在までの経験や相場観(※TSの附属書F2.3、F2.4にも示されている)を利用する。
※7次元ベクトルによる方法は過剰とされている。 - 【ZCR 4】[TS 6.4]詳細なリスクアセスメント
- 「TS 6.2.5] a)いくつかの要素から、半定量的又は定量的に、リスクの尤度(likelihood)分析を行う。
- 【ZCR 5】[TS 8]サイバーセキュリティ脅威に対する対策をIEC62443-3-3から特定し、リスク分析を行い、必要により修正し、完成させる。
- a)考えられる脅威、脆弱性、インパクト、残存するセキュリティリスクをアセスメントする。
- b)詳細な評価をもとに、セキュリティ目標(SL-T)を定める。
- c)セキュリティ脅威への対策を検討し、必要な場合には追加対策を検討する。
- d)アセスメントにより得られたセキュリティ脅威、目標やその対策を記録する
- 【ZCR 6】[TS 6.4]ドキュメントを完成する
- 【ZCR 7】[TS 6.4]関係者すべて(特に設備管理者)の承認を得る
- a)最終的なゾーニングモデルを特定、完成させる。
- b)コスト等を算出、関係者の承認を得る
ETCSの陳腐化
話はこのセキュリティ規格についての由来に変わります。
欧州共通信号システム・ETCSについてはここで紹介しました。ETCSは開発から20年が経ち、列車と地上設備との間の無線通信網が陳腐化しています。ETCSで用いる通信は、2GであるGSM(の鉄道版)で、通信できる間隔はかなり離散的です。
この後継として開発が進む5G通信を使うFRMCSについては、サイバーセキュリティ性を開発当初から意識して開発されることとし、鉄道用のサイバーセキュリティ規格まで開発されるほどの力が入っています(CLC/TS 50701 という、規格より一段下の技術仕様書(TS)として制定されています)。
これまで欧州の高速鉄道線については理由をつけてETCSの導入が遅れていましたが、2030年代には次々と欧州統一信号システムが導入される計画となっています。
FRMCSについては2023年8月10日布告の信号TSI(CCS TSI)の改正により、機能要件やインターフェースについて示されたところです。いよいよETCSからFRMCSへの移行が始まりそうです(現状ではベースライン0のみ公開)。信号制御TSI(CCS TSI) ((EU) 2023/1695)については詳しくは欧州法令集を参照願います。
「欧州統一信号システムETCSは、欧州と銘打っているのに、アジアのほうが導入が進んでいる現状でした。欧州では投資を避けて様子見しているのでは」とささやかれていましたが、スケジュールからみると欧州ではFRMCSが導入されていくのかなと思います。
5G通信による汎用性が高い無線式信号の開発は日本でも独自仕様で開発をしていましたが、現状では開発は進んでいません。他方、FRMCSは2030年代に世界的に普及が進みそうです。日本国内では、一世代前のCBTCの独自改良版の置き換えをこれから進めようとしており、だいぶ様相が違います。そんな日欧の無線式信号についてご紹介したいと思います。
ユースケース
日本での5G製品開発
CLC/TS 50701サイバーセキュリティ規格文書
CLC/TS 50701はCENELECが2019年から2021年にかけて検討して制定した、鉄道製品のサイバーセキュリティに関する技術仕様書(Technical Specification)※です。
2023年8月にこの更新版であるCLC/TS 50701:2023も発行されており、RAMSによる業務と、サイバーセキュリティリスクに対する業務の関係も説明されるようになっています。
※EN(European Norm)、TS(Technical Specification)、TR(Technical Report)の3段階があります。
技術仕様書は欧州規格(EN)ではないため、EU加盟各国は国内規格として受け入れる義務はありません。
この規格文書では、鉄道製品についてRAMS規格(EN 50126シリーズ)に定める製品ライフサイクルの各段階ごとに、サイバーセキュリティ性に対して行うべき活動を定める構成になっています。
概要について
手順については上述のとおりですので、そちらを参照ください。
欧州ネットワーク・情報セキュリティ機関(enisa)では、関係メーカーの参画を得てガイドラインを2つ発行しています(後述)。 ゾーニングガイドラインは上述の、この規格文書を受けて作成されたものですので、IEC 62443と規格文書との関係性や、規格文書の解釈についても説明されており重宝します。
ゾーニングガイドラインでは、ゾーン(〇〇駅装置、中央装置、等とゾーンに区切るイメージです)に求められるサイバーセキュリティ性(CL)は、ゾーン内の個々の各製品がそのCLを持つ必要はなく、ゾーンとして保持していればよい、という記述があります。そのため、「大切な機器がある部屋に施錠する」というようなアクセス性を下げることによる対策でも十分な場合があることが明確になっています。
つまりこの規格では、ゾーンとして必要なサイバーレベル(SL-T)を定めて達成すること、中でもゾーンとコンデュイット(通信路)の境界の対策を行うことに力点が置かれています。
しかしながら、ゾーンのサイバーセキュリティリスク耐性がとの程度あるかを、どのような尺度で、どのように客観的に評価すべきかは決まったものはありません。ガイドラインではいくつか例示がありますが、現在のレベルがどのくらいかを客観的に評価する決め手がない現状です。
「脆弱性」については米国のNISTの公開情報脆弱性情報が尺度となりえますが、オープンネットワークであるインターネットを利用しない鉄道製品の場合、サイバーセキュリティリスクの想定が違うため過剰な対策となってしまいます。
例えばですが、製品内の各モジュール間の通信路を暗号化したとしても、わざわざこの部分をサイバー攻撃することは考えにくいですからほぼ意味がない(むしろ動作が遅くなり悪影響がある)・・ということを想像していただければよいのではないかと思います。
国際標準化
この規格文書は、国際規格化される可能性はあるのでしょうか。
制定の同期の一つが、FRMCSはサイバーリスクに対して十分な耐性を持つことを証明するため、ということがあり、この目的は達成しつつあります。
ところで、欧州メーカーは、コスト面から極力新しい認証が増えないように標準化戦略を立てています。
もし本規格文書によって、すべての鉄道製品に新たに詳細なサイバーリスクへの対処を求める手順が出来てしまうと、製品開発コストや開発期間が増大してしまいます。少なくとも全ての鉄道製品に対して欧州各国で義務付けることは考えにくいと思います。そのため、国際規格IECのTS(同じく技術仕様書)として制定する程度の国際標準化が行われるのではないかと思います。これなら法的な義務は生じませんので。
IEC/TS化するのは、新たな認証ビジネスのため、というよりはFRMCSをアジア諸国向けに販売していくための箔付けのためでしょう。
※リンク先のenisaさんのホームページからダウンロードできます。
- 輸送機関への脅威の現況(ENISA Transport Threat Landscape)[2023年3月21日発行]
- ゾーニング(Zoning and Conduits for Railways)[2022年2月28日発行]
- サイバーリスクマネジメント(Railway Cybersecurity - Good Practices in Cyber Risk Management)[2021年11月25日発行]
一般産業向けIoT製品の標準化
- IEC 61784-3 Ed.4.0 :2021 工業用コミュニケーションネットワーク-プロファイル
- IEC 62439(Industrial communication networks - High availability automation networks)
- IEC 61158(Industrial communication networks - Fieldbus)
- IEC 62591:2016 (Industrial communication networks - WirelessHART)
他分野のサイバーセキュリティ関連規格/プログラム
以下も鉄道分野のものではありませんが、サイバー規格の解釈は他分野から来ているものが多いと感じています。鉄道分野の規格を読んで、独自の解釈を編み出したりしていると乖離が大きくなってしまい、後々苦労することになりますので、先行する規格は参照しましょう。
規格 | タイトル |
CSA認証 |
コンポーネントのセキュリティ保証 (ISA Secure 認定プログラム) EDSA認証の発展形 |
SSA認証
|
システム セキュリティ保証 (ISA Secure 認定プログラム) |
SDLA認証
|
システム開発ライフサイクル保証 (ISA Secure 認定プログラム) |
IEC 62443シリーズ |
産業オートメーション及び制御システムのセキュリティ |
IEC 62645:2019 |
原子力発電所 〜計装・制御システム〜 コンピュータベースのセキュリティプログラムの要件 |
IEC 62859:2019 |
原子力発電所 〜計装・制御システム〜 安全性とサイバーセキュリティを調整するための要件 |
ISO 8102-20:2021 |
エレベーター、エスカレーター、動く歩道の電気要件 パート 20 サイバーセキュリティ |
ISO SAE 21434:2021 |
道路車両 — サイバーセキュリティエンジニアリング |
IEC 62351 |
電力システムの管理と関連情報 交換 - データ及び通信のセキュリティ |
IEC 60335-1:2020 |
家庭用および同様の電気製品 – 安全 – パート 1: 一般的な要件 |
ETSI EN 303 645 |
消費者のモノのインターネットのためのサイバーセキュリティ: ベースライン要件 |
ETSI TS 103 701 |
消費者のモノのインターネットのためのサイバーセキュリティ: ベースライン要件の適合性評価 |
ISO IEC 29147:2018 |
情報技術 — セキュリティ技術 — 脆弱性 開示 |
ISO IEC 30111:2019 |
情報技術 — セキュリティ技術 — 脆弱性 処理プロセス |
ISA Secure 認定は、IEC 62443シリーズに基づく認証プログラムです。ISO/IEC 17065に基づいている認証といえば、大体これを指します。