国内ガイドライン・規制は「重要インフラ領域」が先行
このような危機的状況の中、日本政府では、業界に特化したガイドラインの整備を進めている。
2022年に経済産業省が策定したのが、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」だ(2025年4月にVer.1.1に改訂)。業界団体や個社が、工場のセキュリティ対策を検討・実行する上で、参照すべき考え方やステップを「手引き」としてまとめている。他にも、2025年には、上記ガイドラインをさらに深掘りした「半導体デバイス工場におけるOTセキュリティガイドライン」が策定された。
重要インフラでは、2023年にNISC(現、国家サイバー統括室)が、「重要インフラのサイバーセキュリティに係る安全基準等策定指針」にて共通となるセキュリティ対策を体系的に整理。その上で、重要インフラ15分野に沿ったガイドラインが各省庁から展開されている。
法規制においては重要インフラが先行している状況だ。
2023年には、「サイバー事故調」と呼ばれる法改正が施行された。同改正によって、電力・ガス・高圧ガスの事業者で重大なサイバー事故が発生した際には、経済産業省がIPA(情報処理推進機構)に対して原因究明調査を要請できるようになった。これは、被害の再発防止を目的とした、事故対応にサイバー視点を加えた施策である。
また、重要インフラ業界において、自立的に高度な保安を確保できる認定事業者の要件に、「サイバーセキュリティの確保」が追加され、関連ガイドラインを参考にPDCAサイクルを構築することが求められている。(参考記事:重要インフラの事故対応にサイバー視点を ― OTセキュリティ関連法改正をフォーティネットが解説)。これらの法規制で、インフラ事業者には、サイバー空間も含めた一段高度な保安管理が必要となっている。
エネルギー業界に見るOTセキュリティ関連法の改正(フォーティネットの説明会資料より)
次回は本記事で整理した背景を踏まえて、OTシステムで求められるセキュリティ対策について触れていく。
