• Column
  • 実行性が問われる産業サイバーセキュリティ

欧州法規「NIS2」が求めるOTセキュリティのために日本企業が取るべき具体策

「重要インフラ&産業サイバーセキュリティコンファレンス」より、KPMGコンサルティング テクノロジーリスクサービス 保坂 範和 氏

伊藤 真美
2025年4月17日

欧州サイバーセキュリティ法規の「NIS2」は、IT(Information Technology:情報技術)セキュリティに加えOT(Operational Technology:制御・運用技術)セキュリティも求められ、その対応が急がれる。KPMGコンサルティング テクノロジーリスクサービス アソシエイトパートナーの保坂 範和 氏が「重要インフラ&産業サイバーセキュリティコンファレンス(主催:インプレス、重要インフラサイバーセキュリティコンファレンス実行委員会、2025年2月19日〜20日)」に登壇し、NIS2が求めるOTセキュリティの要件と国内外の対応状況を解説した。

 「サイバーセキュリティ法規の整備が世界各国で進みつつある。特に欧州では多くのサイバーセキュリティ規制が導入されており、日本でも幅広く影響すると見られている」−−。KPMGコンサルティング テクノロジーリスクサービス アソシエイトパートナーの保坂 範和 氏は、こう指摘する(写真1)。

写真1:KPMGコンサルティング テクノロジーリスクサービス アソシエイトパートナーの保坂 範和 氏

 各国が整備をする法規のうち、製造業に関係する重要な法規として保坂氏は、EU(欧州連合)域内のサイバーレジリエンス向上を目的とした「改正ネットワークおよび情報セキュリティ指令(NIS2指令)」と製品セキュリティに関する「EUサイバーレジリエンス法(CRA)」を挙げる。

 このうちNIS2指令は、サプライチェーンのセキュリティを定義したもの。所定の期間内に遵守できない場合、EUが制定した個人データ保護に関する規則「GDPR(General Data Protection Regulation)」と同様の罰金が科される。

 「NIS1では、罰則が各国に任せられていたことを考えれば、NIS2になって強制力が強まったといえるだろう」と保坂氏はみる。加えて「IT(Information Technology:情報技術)だけでなくOT(Operational Technology:制御・運用技術)も対象になり、エネルギーを中心とした公共インフラから製造業を含む多くのセクターに対象事業が広がっている」(同)

NIS2指令ではOTセキュリティの確保が重要要件に

 製造業については、医療機器などは除かれるものの、コンピューター・電子・光学機器、電気機器、汎用機械に加え、自動車などの製造も対象になる。大企業はもとより、中小企業についても欧州の拠点規模が年間売上高で1000万ユーロ以上かつ従業員50人以上が対象だ。罰金も主要エンティティで最大1000万ユーロまたは年間売上高の2%が科される(図1)。

図1:対象範囲を広げた「NIS2指令」は多くの日本企業に影響する可能性がある

 NIS2は2022年12月に公開され、2024年10月から各国での導入が進められている。2025年2月時点で実際に法規に落とし込んでいるのは、ベルギー、クロアチアなど7カ国程度にとどまる。ドラフト版発行が半数、残りはドラフト版も未発行という状況だ。保坂氏は「自社の製造拠点がある国の法制化の状況を注視しながら、対応を進めていく必要がある」と説明する。

 NIS2指令の要件の概要として、保坂氏はいくつかの条項を紹介する。まず「第20条 ガバナンス」では、リスク管理措置に対する責任者の明確化や研修・教育プログラムを求められる。「第21条 サイバーセキュリティのリスク管理措置」はベースライン対策としてのセキュリティ対策が箇条書きで挙げられている。

 「第23条 報告義務」では、重大なインシデント発生時には24時間以内の初期報告、72時間以内の経過報告、1カ月以内の最終報告という厳格な報告義務が課されている。保坂氏は「自社のCSIRT(Computer Security Incident Response Team:コンピューターに関するセキュリティ事故の対応チーム)やFSIRT(Factory Security Incident Response Team:工場に関するセキュリティ事故の対応チーム)で対応できるかどうかの確認が必要だ」とする。

 NIS2では、OTシステムのセキュリティ確保を重要な要件として直接的に言及し、サイバーセキュリティリスクから物理的環境と人を保護することを強く求めている。

 ただ保坂氏は「要求事項が概要レベルでしか定義されていない」と話す。具体的な実装については「IEC(International Electrotechnical Commission:国際電気標準会議)規格「62443」をベースにした対応が想定されているものの、それがNIS2の要求を満たすのかどうかを見定めたうえで今後の対応を進める必要がある」と注意を喚起する。

海外企業に比べ対応が遅れる日本企業

 そうした中、現在のOTセキュリティインシデントの発生状況はどうだろうか。KPMGのグローバル調査によれば、かつて多かったリムーバブルメディアからの感染が減少している一方で、ネットワークやクラウドを介した攻撃が増加しており、49%の企業が業務中断や停止などの被害を経験している。

 国内でも同様の傾向があり、OTのネットワーク化が進んだことで、ネットワークを介した攻撃が増えてきたと推測される。さらに従業員数が500〜1000人の中小企業および拠点が攻撃のターゲットになっており、サプライチェーンが狙われていることが明らかだ。

 OTセキュリティの成熟度については、海外企業でも約50%が低い状態にあり、成熟度が高い企業は20%程度に過ぎない。しかし日本企業はさらに低く、7割弱が低成熟度で、高成熟度は5%程度にとどまる。とりわけOTセキュリティのアセスメントが進んでいない。海外企業では5割が年1回以上なのに対し、日本では2割強に下がる。