工場などのデジタル化が進展しOTサイバーセキュリティは構築から運用の時代に

重要インフラなどを対象にしたガイドラインの制定が続く

　OTセキュリティを考える際は、「法制度の考慮は不可欠だ」として保坂氏は、国内外の関連する法制度と対処法を紹介する。

　例えば電力業界を対象にしたガイドラインとしては、2016年に電気事業者に向けた『電力制御システムセキュリティガイドライン』が、2017年には新規参入の特定卸供給事業者に向けた『エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン』が、2022年には一定量発電する事業者を対象に『自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン』が、それぞれ発行されている。

　いずれも「技術的な要件だけでなく、組織や管理、設備のセキュリティ・運用、事故後の対応まで網羅されている」と保坂氏は説明する。

　さらに2022年10月には、電力ほか半導体など含めた14業種に対し、サプライチェーンを脅威から守るための「経済安全保障推進法」が成立。サイバーセキュリティ対策の要である「基幹インフラの信頼性確保」をうたい、罰則を設けるなど厳しく実施が求められている。取り組むべき項目として、サプライヤーの調査とスクリーニング、サプライヤーに対するリスク管理と対策、セキュリティ対策状況のモニタリング体制構築を挙げている。

　日本よりも法制度化が進むEU（欧州連合）では2022年に「欧州サイバーレジリエンス法（EU Cyber Resilience Act）」が提案され、デジタル製品の規制が始まろうとしている。ソフトウェア／ハードウェアともに、EUに出荷するリモート利用が可能な製品すべてが対象だ。5年間のセキュリティアップデートや、脆弱性について「欧州連合サイバーセキュリティ機関（ENISA）」へ24時間以内に報告する義務、ユーザーへの使用説明書の提供など、製品の開発ライフサイクル全体を通したリスク対策を求める。

　電力産業でのガイドラインと同様、セキュリティポリシーの策定から、組織体制、教育、文書管理、調達品リスク管理、関係者への報告までのプロセスルールも不可欠である。同法に違反すれば、1500万ユーロまたは全世界の売り上げの2.5%という制裁金が課される。

　EUには、重要インフラのセキュリティに関する法律「NIS2（Network & Information Security Directive）」も存在する。デジタル製品のセキュリティ同様、重要インフラのセキュリティを厳しく統制するためのもので、2016年に制定され、2022年に更新されている。加えて保坂氏は、「日本企業に直接影響するケースは少ないが、厳格なセキュリティ対策を求めるEU指令『NIS2』に習って対策を検討すべきだ」と話す。

　ただ現時点では、「NIS2は詳細な要件が出ていないため、KPMGコンサルティングはOTのサイバーセキュリティ規格『IEC 62443』を参考にした対策を推奨している。個別対応は労力とコストがかかるため、『Test once and comply to many（一度だけテストして多数に準拠する）』方法で効率的に対応する方法がお薦めだ」（保坂氏）とする。