この記事は、TXOne NetworksのCEO、Terence Liuが執筆し、2024年2月29日にManufacturing.netに掲載されたものです。
現在のOT/ICS規制の不均衡は業界全体のリスクを高めています。
セキュリティ対策は、さまざまな分野で統一された義務的な規制がないため、著しい格差が生じています。この格差は、特に重要なインフラストラクチャに関連する業界で顕著であり、一部の企業が運用制御技術(OT)および産業用制御システム(ICS)のセキュリティ対策に秀でている一方で、遅れている企業も生まれています。そして、この不均衡が、業界全体にリスクをもたらします。
こうした一貫性のなさに対処するため、最低限のサイバーセキュリティ要件を拡大する必要性について、各国政府や規制当局の間で意見が一致しつつあります。現在は、世界的にOT/ICSセキュリティが飛躍的に発展している時期にあたります。主要なサイバーセキュリティフレームワークが更新され、北米や世界中の市場で基準が制定され、国家の重要なインフラの保護対策が強化されています。
変更の義務づけと促進
米国では、重要なインフラを保護するためにサイバーセキュリティに関する重要な規制イニシアチブが制定されています。たとえば、ホワイトハウスが発表した国家サイバーセキュリティ戦略は、「ゼロトラスト」アーキテクチャと最新化を通じて、情報技術(IT)とOTシステムの両方の防御力と回復力の強化に重点を置いています。
その中に次のような記述があります。「連邦政府は、自らのシステムの防御力と回復力をより高めることで、重要インフラの防御をより効果的に支援できます。現政権では、ゼロトラストアーキテクチャ戦略を実践し、ITおよびOTインフラを最新化するための長期的な取り組みを通じて、連邦政府のサイバーセキュリティを改善することにコミットしています。そうすることで、連邦政府のサイバーセキュリティは、セキュアでレジリエントなシステムの構築と運用を成功させる方法において、全米の重要インフラのモデルとなることができます。」
また、特定産業を所管する米国政府の各機関においても、大きな動きがありました。
- 連邦エネルギー規制委員会(FERC)は、エネルギー業界におけるサプライチェーンリスクをより適切に把握できるように、信頼性基準 CIP-003-9(サイバーセキュリティ – セキュリティマネジメントの制御)を承認しました。この新たな基準では、悪意のある通信が発生した場合にベンダーのリモートアクセスを特定して無効にする方法が示されており、電気系統のサイバーシステムとベンダーの間の相互作用をさらに可視化できるよう制御手法を拡大するものです。
- 運輸保安庁は昨年、サイバーセキュリティ指令を更新しました。特に、サイバーレジリエンスを強化するためのパフォーマンスベースの対策を中心に更新されました。
- 環境保護局(EPA)の新しいサイバーセキュリティファクトシートは、飲料水と廃水システムに関するサイバーセキュリティの強化に焦点を当て、ツールと資金調達の機会の両方を網羅しています。
さらに、米国政府は義務化にとどまらず、主要なインフラ事業者に新たなサイバーセキュリティ規制や基準を導入する際にインセンティブを与えています。FERCは、公共事業会社が先進的なサイバーセキュリティ技術に投資することを奨励しており、国土安全保障省((DHS)の州および地方サイバーセキュリティ助成金プログラム(SLCGP)もそのアプローチの一例です。「このプログラムは、資金が最も必要とされる場所、つまり地方公共団体に配分されるように設計されています。州と準州は、連邦政府からSLCGPの資金を受け取るためにその州行政機関(SAA)を使用し、その州の法および手続きに従って地方自治体に資金を配分します。」
透明性の向上とコンプライアンスの強化
インシデント、その影響、および管理策に関する詳細な情報を提供することは、より安全でレジリエントなデジタル環境を促進するために不可欠です。米国は、ここ最近、サイバー脅威に対する透明性、説明責任、および準備態勢を強化するために重要な措置を講じています。
たとえば、米国の重要インフラに関するサイバーインシデント報告法(CIRCIA)は、国家のサイバーセキュリティのレジリエンスを強化することを目的としています。この法律により、サイバーセキュリティ社会基盤安全保障庁(CISA)は、インシデント報告やランサムウェアの支払いに関する規制の実施、より迅速にリソースを配備した被害者の支援、業種横断的な傾向の分析、さらなる攻撃を回避するために重要な情報を共有する権限の付与、などが行えるようになっています。
CISAは、この法律について次のように話しています。「サイバーインシデントに関する情報が迅速に共有されれば、CISAはこれらの情報を活用して支援を行い、他の企業が同様のインシデントの被害に遭わないように警告を発することができます。この情報はまた、国土防衛の取り組みを支援できる傾向をつかむためにも重要です。」
同様に、新たに導入された米国証券取引委員会(SEC)の規制では、投資家がより良い情報に基づいた意思決定を行えるようにすることを目的として、上場企業に対し、自社が直面しているサイバーセキュリティリスクに関する包括的な情報を開示することを義務付けています。そこで定められた新たな要件には、企業はインシデントの発見から4営業日以内に、インシデントの特性と影響、さらに企業の対応策、サイバーセキュリティ管理ポリシーについて詳細に説明しなければならない、とあります。また、サイバーセキュリティに関するリスクの監督における企業の取締役会の役割についても、開示内容に含める必要があります。
進化する脅威への備え
北米以外の市場でも活発な動きが見られます。2024年10月までに施行予定の欧州連合(EU)全体のネットワークおよび情報システム(NIS)2指令は、化学、エネルギー、食品、製造、宇宙、廃水など幅広い分野の事業体にサイバーセキュリティの指針を拡大しています。
日本の経済産業省(METI)が発行した日本の経営者向け「サイバーセキュリティ経営ガイドライン Ver.3.0」では、企業の規模を問わず、「経営者は担当役員(CISOなど)に対し、サイバーセキュリティ対策を実施するよう指示すべきである」と示されています。また、アラブ首長国連邦では、ドバイサイバーセキュリティ戦略が更新され、リスクに対する積極的な保護対策を統合し、ドバイのデジタルエコシステムやスマートシティ構想に対応するように、技術インフラへの投資を促進しています。
世界各国の重要インフラを支える企業は、2024年以降、保護目標と運用継続性を維持する必要性のバランスを取りながら、OT/ICSサイバーセキュリティを強化すべく、新たに追加される要件や規制への対応が迫られます。幸いなことに、多国籍企業のコンプライアンスの負担を軽減するため、規制の簡素化に関心が集まっており、各国が国際基準に沿って連携しようとしています。
実際、企業は単なる規制遵守にとどまらず、ガバナンス構造やチーム能力の強化、高度なサイバーフィジカルシステムの脅威の検知と対応(CPSDR)の展開、サプライチェーンのリスク管理の強化などを同時に進める必要があります。DXが加速し、脅威の状況が進化する中、企業と政府は緊密に連携して重要インフラの可用性、信頼性、セキュリティを守る必要があります。
TXOne Networksの最新レポート『「IT/OTの統合化がもたらす危機:2023年のOT/ICSサイバーセキュリティ」のダウンロードはこちら
