OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと(1/2 ページ)
サプライチェーン攻撃の高まりを受けて、製造業や重要インフラ企業にとってOTセキュリティは今や無視できない問題だ。本稿はOTセキュリティ関連法の改正によって何が変わるのか、これに伴い企業がどのような対策を講じればいいのかを解説する。
フォーティネットジャパンは2024年4月10日、記者説明会「重要インフラ防衛に向けた最新のサイバーセキュリティ関連法令改正の概説ならびに日本のOTセキュリティ進捗状況」を開催した。主にエネルギー業界におけるOTセキュリティ関連法改正が2023年12月に施行されたことを受け、重要インフラや製造業におけるサイバーセキュリティ課題をどう解決していくかを解説するものだ。
説明会では、プラントエンジニアのスペシャリストとしてIT/OT両方の知見を持つ、名古屋工業大学の越島一郎氏(名誉教授 ものづくりDX研究所 客員教授)、フォーティネットジャパンの佐々木 弘志氏(OTビジネス開発部 部長)が登壇し、各業界向けの法令改正ポイントのまとめと市場動向を解説した。
OTセキュリティ関連法の改正によって何が変わるのか?
今回ポイントとなっている2つの法改正は、2023年12月21日に施行された「高圧ガス保安法等の一部を改正する法律案」および「認定高度保安実施事業者制度」の運用開始だ。
これらは主にエネルギー業界におけるインシデントでサイバーセキュリティに関連する重大な事案が生じた際に、事故対応としての原因究明と予防としてのガイドライン準拠を求めるものだ。この法改正にはどのような背景があり、具体的には何が変わるのかを解説する。
「高圧ガス保安法等の一部を改正する法律案」については、サイバーセキュリティに関する事故調査を実施する際、国が情報処理推進機構(IPA)に原因究明の調査を要請できるように法改正された。事故が発生した際に、それがサイバーに関連するものであれば、その内容を調査し、国に報告し、再発を防止することおよび同業他社への情報交換を促す。
IPAは調査分析部サイバーインシデント調査室のWebサイトで、その実施フローを掲載している。インシデントが発生した場合、国の要請を受けたIPAが、事業者に対してまず調査報告要請を出す。事業者はこれを受けて、調査報告書をIPAに報告しなければならない。また、書面調査によって十分に原因が究明できなかった場合、IPAによるログの収集や解析などの現地調査を開始する。
事業者はIPAに「インシデント調査報告書」を提出するが、その項目案としては下記の5点が挙げられている。
- システム構成
- 情報セキュリティ管理体制
- サイバー事故の概要、被害及び経緯
- サイバー事故の技術的・組織的要因
- 再発防止策
ではもう一つの「認定高度保安実施事業者制度」については法改正によってどう変わったのだろうか。これまでの法律では、認定高度保安実施者制度の認定を受けることで最長8年間、プラントの停止を伴う点検を省略できていた(認定がない場合は毎年の停止と点検が義務付けられる)。今回の改正ではその認定に新たにサイバーセキュリティが加わり、スマートファクトリー化で発生するリスクへの対処をより強化した。
越島氏は「この認定を受けることはプラントにとって、オペレーションコストが削減できるために大きなメリットで、いわば“アメ”が提示されている形だ」と述べる。
法改正以降は、「高圧ガス保安法」では「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」などが、ガス事業法では業界の関連するガイドラインが、電気事業法では「電力制御システムセキュリティガイドライン」、「自家用電気工作物に係るサイバーセキュリティの確保に関するガイドライン」などを参考にPDCA構築が求められるようになる。
Copyright © ITmedia, Inc. All Rights Reserved.