- Column
- 事業を守るOTセキュリティ〜なぜ(Why)・どう(How)守るべきか
Why(なぜ)の3:OTセキュリティの必要性を迫られる背景と課題【第3回】
重要インフラ関連事業に見るOTセキュリティ法改正
OTセキュリティ対策においては、重要インフラ関連事業の規制や認定基準が先行していると説明しました。同分野において特に注目すべきなのが、(1)サイバー事故と(2)認定高度保安事業者への基準改定に関する内容です(図2)。
サイバー事故調
「サイバー事故調」に関する法規制は2023年12月21日より施行されています。「高圧ガス保安法」「ガス事業法」「電気事業法」の三法が改正され、サイバーセキュリティに関する要件が新たに追加されました。
中でも、サイバーインシデントが原因となる事故事案が発生した場合、経済産業省がIPA(情報処理推進機構)に対し原因究明のための調査を依頼できる仕組みが整備されています。前述の日本政府が近年言及している「サイバー安全保障」と同様に、重要インフラの保護を強化する目的があると考えられます。
原因究明の調査は相当の労力を要することが予想されます。対象設備を保有するユーザー側の意思にかかわらず実施される可能性があり、一度査察が入ると事象の背景調査やログの提出、場合によっては是正処置の実施が求められるためです。ただし課題として、対象になる各社の準備が十分に整っていないことや、そもそも法改正自体が認知されていない状況が挙げられます。
まずはサイバーインシデントの発生を防ぐためにリスク低減に努めることが最優先ですが、万が一事故調査の対象になる事態が発生した際に適切に対応するために、制御システムベンダーとの連携を含め準備を進めておくことが重要です。
認定高度保安事業者への基準改定
認定高度保安事業者に対する基準が改定され、関連法の中に「サイバーセキュリティの確保」が新たに設けられました。各認定事業者は経産省が公開している『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』などを参照し、PDCAの枠組みの構築が求められるようになりました。
直近では認定更新を迎える事業者が多く存在すると予想されます。認定更新のプロセスにおいては本項目の重要性が増していくと考えられます。エネルギー業界全体のセキュリティ強化が一層進むことが期待されます。同時に、セキュリティ対策が現場レベルを含め、重要インフラ全体へと波及していくと予測されます。
法規制は方向性を、ガイドラインは同一基準を示している
各種サイバーセキュリティに関する法規制対応は、安全保障の観点から重要インフラ事業者をはじめ、国内各業界のセキュリティ水準を向上させるための重要な取り組みの1つです。法規制である以上、対応を怠ることはできませんが、説明責任の履行に過度に偏ることは、実行力を伴わない原因にもなり得ます。
事業者にとって法規制は、直接的に個社を守るものではなく、各事業者が自社のリスク低減を目的とした対策を講じることを求め、そのための全体的な枠組みや方向性を示すものです。具体的な対策の実施は各事業者の責任に委ねられています。
一方でガイドラインやチェックリストは、同一の基準(物差し)を用いて各拠点の状況を把握する上で非常に有効なツールです。これらを活用することで、拠点ごとのリスク状況を的確に把握し、必要な対策方針の立案が可能になります。
藤原 健太(ふじはら・けんた)
フォーティネットジャパン OTビジネス開発部 担当部長。現場機器から制御システム、OT領域のデジタル化支援まで幅広く従事し、これまでに訪問したプラント・工場は80拠点を超える。システムエンジニア、営業技術、ビジネス開発、プロジェクトエグゼキューション、アフターセールスなどを経験し、これらの幅広いスキルを活かし、OTセキュリティに関する執筆やメディア出演、イベント講演、社外関連団体での活動など精力的に取り組み業界をリードしている。2022年9月からGUTP+Edgecross合同 工場セキュリティWGメンバー、2024年8月からはJNSA 調査研究部会 OTセキュリティWGメンバー。FS Engineer(TUV Rheinland, #18131/19, Safety Instrumented System)。