• Column
  • 実行性が問われる産業サイバーセキュリティ

欧州法規「NIS2」が求めるOTセキュリティのために日本企業が取るべき具体策

「重要インフラ&産業サイバーセキュリティコンファレンス」より、KPMGコンサルティング テクノロジーリスクサービス 保坂 範和 氏

伊藤 真美
2025年4月17日

NIS2対応に向けたセキュリティ対策の3分野11領域

 こうした状況下にある日本企業がNIS2に対応するためのセキュリティ対策として保坂氏は、次の3分野11領域を挙げる。

【ガバナンス・プロセス】
(1)リスク分析とセキュリティポリシーの策定 :調査結果にみるように進んでいないことが明らかで、早々に取り組む必要がある
(2)サイバーリスクマネジメントの有効性の評価 :実施しているだけでなく、その有効性の評価が大切
(3)事業継続性の確保 :OTでは実施できていることが多いがNIS2でも改めて必要になる

【組織・人材】
(4)経営層のリスクマネジメントアプローチの承認・監督 :セキュリティ責任者の明確化が必要であり、報告が上がる体制を取る
(5)ウイルス対策やサイバーセキュリティ訓練の実施 :訓練はかなり進んでいるが、脆弱性を含めしっかりと対策する
(6)サプライチェーン管理 :国内だけでなく海外拠点のOTについても実施していく必要がある

【テクノロジー・セキュリティ機能】
(7)インシデント対応と報告体制の整備 :NIS2には厳しい報告義務があるためCSIRT/FSIRTと連携して実施する
(8)データの暗号化手法と暗号化 :OTについては限定的になるが、どの場合に暗号化するかを決めておく
(9)脆弱性への対処プロセスの確立 :製品セキュリティの法規「CRA」にも対応する。脆弱性を報告・開示できるプロセスを作り対処方法を決めておく
(10)アクセス制御と資産管理の実施 :共通ID(Identification:個人の識別情報)の廃止などのアカウント制御と、工場ベースでの資産管理をしっかりと整備する
(11)多要素認証と安全な通信の確保 :リモートアクセスにおける多要素認証、ベンダーによる保守作業時のポリシー作成、安全な通信経路の確保などを実施する

 これらの対策を打つ際には、「国ごとに法規やガイドが出てくるため、会社として統合的なコントロールを自ら定めることが重要になる。統合的なコントロールによって、いずれの法規にも対応するというのが理想だ」と保坂氏は話す。

 加えて保坂氏は「海外の拠点や統括会社と、国内本社の役割分担を明確化する必要がある」という。海外と日本では要件が異なる部分があるため、「共通で運用する部分と、それぞれが担う部分を整備し、IT/OTの両方を見てガバナンス体制を作ることが大切だ」と強調する(図2)。

図2:NIS2対応では、本社を含めたセキュリティ・ガバナンス体制が必要になる

経営層にも最優先事項としての理解を求める

 以上を踏まえ、NIS2対応のOTセキュリティでは、次のような4つの取り組みが重要になるとする(図3)。

図3:NIS2指令への対応に向けた4つの取り組み

取り組み1=経営層の意識向上を図る :実際に罰則があるなど、NIS2に未対応な状態はビジネスへのインパクトが大きい。そこで、COO(Chief Operating Officer:最高執行責任者)ら経営層にも優先事項であると理解してもらう必要がある。さらにCISO(Chief Information Security Officer:最高情報セキュリティ責任者)を任命し、サイバーセキュリティと、IT/OTの責任者を明確にし、当局に報告できる状況にする。

取り組み2=ベースラインと計画の策定 :要件をベースラインとして、どこまで実施するのかを、本社や統括会社、拠点などで決定し、個々のリスクごとに対応策を決める。短期的・長期的なロードマップも必要になる。

取り組み3=加速的な修正の実行 :工場においては、インシデントが発生した際のサイバーレジリエンスを実現するために、対応・報告を担うFSIRTを設置する。CSIRTと連携できる体制を整える。

取り組み4=オーナーシップの確保と責任感の促進 :ベースラインを定めてFSIRTを設置しても、現場や拠点ごとにリスクを判断する必要が生じる。そこでOTセキュリティにおける事業リスクを判断できる人を置き、リスクに応じた対応ができるようにする。

成熟度が高い海外企業の44%は年間100万ドル超の予算を確保

 保坂氏は、OTセキュリティの年間予算について「海外の成熟度が高い企業では、44%以上が100万ドル(1億5000万円、1ドル150円換算)を超えており、OTセキュリティへの積極的な対応姿勢がうかがえる。日本企業も海外企業の予算を参考に予算化が必要になってくる」と予想する。

 その際は、アセスメントと改善計画が重要になる。具体的な手法としては「ポリシーの見直し、アーキテクチャーの見直し、資産の棚卸などがある。これらのリスクアセスメントから取り組むことが望ましい」(保坂氏)とする。

 投資効果においては、「トレーニングや監視、ネットワークのセグメンテーションが投資効果の高い分野だとされ、これらへの投資が有効と思われる」(保坂氏)。一方で、まだ成熟度が低い企業は、資産管理や脆弱性管理、ネットワークのセグメントから投資を検討している。

 保坂氏は「コンプライアンス準拠という意味でも、OTセキュリティはグローバルに求められており、グローバルガバナンスの構築が不可欠になる」と強調する。

お問い合わせ先

KPMGコンサルティング株式会社

Webサイト:https://kpmg.com/jp/kc