• Column
  • 問われるサイバーレジリエンス

工場などのデジタル化が進展しOTサイバーセキュリティは構築から運用の時代に

「重要インフラ&産業サイバーセキュリティコンファレンス」より、KPMGコンサルティング テクノロジーリスクサービス/ディレクターの保坂 範和 氏

伊藤 真美
2024年4月17日

重要インフラなどを対象にしたガイドラインの制定が続く

 OTセキュリティを考える際は、「法制度の考慮は不可欠だ」として保坂氏は、国内外の関連する法制度と対処法を紹介する。

 例えば電力業界を対象にしたガイドラインとしては、2016年に電気事業者に向けた『電力制御システムセキュリティガイドライン』が、2017年には新規参入の特定卸供給事業者に向けた『エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン』が、2022年には一定量発電する事業者を対象に『自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン』が、それぞれ発行されている。

 いずれも「技術的な要件だけでなく、組織や管理、設備のセキュリティ・運用、事故後の対応まで網羅されている」と保坂氏は説明する。

 さらに2022年10月には、電力ほか半導体など含めた14業種に対し、サプライチェーンを脅威から守るための「経済安全保障推進法」が成立。サイバーセキュリティ対策の要である「基幹インフラの信頼性確保」をうたい、罰則を設けるなど厳しく実施が求められている。取り組むべき項目として、サプライヤーの調査とスクリーニング、サプライヤーに対するリスク管理と対策、セキュリティ対策状況のモニタリング体制構築を挙げている。

 日本よりも法制度化が進むEU(欧州連合)では2022年に「欧州サイバーレジリエンス法(EU Cyber Resilience Act)」が提案され、デジタル製品の規制が始まろうとしている。ソフトウェア/ハードウェアともに、EUに出荷するリモート利用が可能な製品すべてが対象だ。5年間のセキュリティアップデートや、脆弱性について「欧州連合サイバーセキュリティ機関(ENISA)」へ24時間以内に報告する義務、ユーザーへの使用説明書の提供など、製品の開発ライフサイクル全体を通したリスク対策を求める。

 電力産業でのガイドラインと同様、セキュリティポリシーの策定から、組織体制、教育、文書管理、調達品リスク管理、関係者への報告までのプロセスルールも不可欠である。同法に違反すれば、1500万ユーロまたは全世界の売り上げの2.5%という制裁金が課される。

 EUには、重要インフラのセキュリティに関する法律「NIS2(Network & Information Security Directive)」も存在する。デジタル製品のセキュリティ同様、重要インフラのセキュリティを厳しく統制するためのもので、2016年に制定され、2022年に更新されている。加えて保坂氏は、「日本企業に直接影響するケースは少ないが、厳格なセキュリティ対策を求めるEU指令『NIS2』に習って対策を検討すべきだ」と話す。

 ただ現時点では、「NIS2は詳細な要件が出ていないため、KPMGコンサルティングはOTのサイバーセキュリティ規格『IEC 62443』を参考にした対策を推奨している。個別対応は労力とコストがかかるため、『Test once and comply to many(一度だけテストして多数に準拠する)』方法で効率的に対応する方法がお薦めだ」(保坂氏)とする。