教科書的な理解でなく“法令順守”の本質を捉えた対策の考え方【第5回】

生産者にとって“法令遵守”は最低限の責務

　そうしたIoT環境を含めたOT（Operational Technology：制御技術）セキュリティ対策において、多くの企業は「ISO／IEC 27001」や「IEC 62443」などの国際標準規格、あるいは「NIST SP800」といった米国規格を参考にしている。

　しかし、これらの規格は、さまざまなシステムや製品に利用できるように記載されており、特定業界のシステムや特定製品のリスクやニーズには合致しない部分が存在する。そのため各種規格からは、「何をゴールに、どの程度コストをかけてセキュリティ対策を実施すれば良いのか」といった目標値が読み取れない。

　結果、多くの企業が、仕方なく目標を明確に定めることなく、規格に記載されている内容をそのまま実施してOTセキュリティ対策を推進している。だが、そうした規格対応では法令遵守が意識されず、法令上強化すべきセキュリティ対策が甘くなったり、逆に過剰な対策になり利益を損なったりする可能性がある。

　従ってOTセキュリティ対策では、規格に準拠する前に、遵守すべき法令を洗い出し、法令遵守のための目標値を設定することが重要になる。

　生産者にとって第1の責務は「法令遵守」と「顧客へのお役立ち」だ。最低でも法令は遵守しなければならない。法令遵守を目標にせず、規格に記載されている内容をそのまま実施することは、生産者として大切な責務を放棄していると見なされても仕方がない。生産者は常に、規格に記載された内容から法令が求める意味をくみ取る必要がある。

　例えば、ある工場の生産ラインでセキュリティ対策を検討している際に、関連規格に「セキュリティ対策においては通信の暗号化が必要」といった一文が記載されていたとする。この記述を鵜呑みにすると、現場担当者の多くが生産ラインに関連して発生する通信の全てに暗号を導入しようとするだろう。

　ここで考えていただきたいのが「なぜ通信の暗号化が必要なのか」ということだ。その理由が「生産データや機密情報の保護」なら、それはデータ通信の暗号化ではなく、コンテンツ自体の暗号化であっても良いはずだ。

　これは簡単な例だが、規格がなぜ作られているのかの本質に立ち返り、法令に従いながらも、その規格を手段として活用するようにできれば自ずと、到達すべきゴールが見えてくるはずだ。

法令を読み解き“本質”に応える対策が有用

　具体的には、どういった法令の順守を意識し、規格を手段として活用すれば良いのだろうか。その答えの1例が「製造物責任法（PL法）」である。PL法は、モノづくりにおいて全ての工場に適用される最も重要な法規制である。「製品の安全性を保証する」という原則は、OTセキュリティ対策においても重要だ。もちろんPL法は1例であり工場に関わる法令は、さまざまである（図2）。

図2：工場に関連する法令の例

　ただし、法令を適切に解釈し、最適な解を導くのは一筋縄ではいかない。各国の過去の判例の理解などの“経験”と、安全性の立証責任を負える対策の立て方などの“ノウハウ”をもって法令を解釈し、その規格が求めている本質を理解できるかどうかがOTセキュリティの成功要因になる。

　今回は、規格が求めている本質的な対策を、関連する法令の解釈から導くことが法令違反を起こさないOTセキュリティ対策になることを解説した。次回は、工場において最適な対策解を導くために重要な、生産継続性を考慮したOTセキュリティ対策について解説する。