皆さんこんにちは。技術本部のTTです。今回は少し成立から時間が経ってしまったものの、2025年5月に成立したサイバー対処能力強化法について、OTセキュリティへどのような影響があるのかを紹介します。
サイバー対処能力強化法とは
サイバー対処能力強化法とは、巧妙化・深刻化するサイバー攻撃に対しての能動的サイバー防御を日本でも可能とするために成立した法律です。
ニュースでも話題になっていますが、能動的サイバー防御とは、サイバーセキュリティ対策を従来の「攻撃を受けてから認知・復旧・情報共有する」対応から「攻撃前に脅威を検知・分析・無害化する」対応へと転換するための取り組みとなります。話題になっている理由としては、サイバー攻撃を未然に防ぐために政府が通信情報を取得可能という、ともすれば日本国憲法に定められた通信の秘密を侵害する可能性のある設計が行われている点ですが、関連法内では他にも重要なポイントがあります。
サイバー対処能力強化法に存在するポイントは以下の3つとなります。
-
官民連携の強化
-
政府による通信情報の利用が可能に
- 政府による攻撃サーバーへのアクセス無害化措置が可能に
何がOTセキュリティと関連するか
OTセキュリティと関連するポイントは、1.官民連携の強化 となります。
具体的には、基幹インフラ事業者に対して彼らが導入するサーバー、システムのうち、サイバー攻撃により事業者の機能が停止・低下する恐れがあるもの(特定重要電子計算機)を導入する際は事前の届け出を義務化しています。
基幹インフラ事業者とは、電気、ガス、水道などの15事業のうち、指定された事業者を指し、社会インフラの維持に必要不可欠な事業者となります。
参考:https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_jigyousya.pdf
また、特定重要電子計算機のインシデント情報やその原因となり得る事象が発生した場合には報告を義務化しています。
よって、基幹インフラ事業者についてはサイバーセキュリティインシデント発生時に速やかに政府に報告できるように、OTセキュリティの整備が求められます。
OTセキュリティ担当者への推奨事項
今回の法改正は基幹インフラ事業者のみが関係しますが、要求されていることはサイバーセキュリティインシデント発生時に速やかに報告することであり、政府を経営者に変換すればOTセキュリティ全てに求められる事項となります。
また、今回は基幹インフラ事業者のみが対象ですが、EUで制定された欧州サイバーレジリエンス法では対象がデジタル要素を含む製品の製造業者となっています。よって、日本でも今後同様により広い事業者を対象として、サイバーセキュリティインシデント発生時の報告義務を求める法案が成立する可能性があり、事前に備えておくことに越したことはありません。
本記事では、サイバー対処能力強化法に関連した、OTセキュリティで求められる対策について紹介します。
1.重要資産の定義と資産の把握
サイバー対処能力強化法では、基幹インフラ事業者に対して特定重要電子計算機を導入する際は事前の届け出を義務化していますが、これを汎用的なOTセキュリティ対策に置き換えると重要資産の把握が求められていることとなります。
重要資産を把握するには、まず重要資産がなんであるかを定義することが必要です。定義するための指標は様々ありますが、NIST SP 800-82r3に基づくと、1.複数サイトでの停止可能性と復旧時間、2.国家インフラとサービスへの影響、3.経済的影響、4.法的影響、5.社会的信用の低下、6.サイト内の人員に対する安全性への影響、7.サイト外の人員に対する安全性への影響、 8.環境への影響、の8つの観点において、影響レベルを高・中・低に分類して全体の重要度を確認する必要があります。
重要資産を定義した後に、重要資産に該当する資産を確認するために、社内に存在する資産の可視化と管理を実施する必要があります。資産管理の手法は様々ありますが、ネットワークを使用しており、規模が大きい場合にはOTに特化した資産可視化製品を利用することが人的コスト削減には最適です。
2.資産の保護(特に重要資産)
資産を可視化し、重要資産がどれであるかを把握した後は、サイバーセキュリティインシデントの発生を未然に防ぐために、実際に資産を保護することが重要です。
資産保護の手法は多岐にわたりますが、一般的な手法だと以下が挙げられます。
- FWによる境界防御:外部からの不審な通信を遮断し、内部のネットワークの安全性を確保します。
- IPSによるネットワーク保護:FWは論理ポートベースでの防御となるため、外部からの通信が一般的なプロトコル(例:HTTP)を用いて攻撃者が攻撃した場合、防御が困難となります。IPSはそうした場合でもデータ部分を分析し、攻撃のためのデータを含む通信を遮断し、ネットワークをより高度に保護します。
- エンドポイントによる端末保護:リソースに余裕があったり、汎用OSを利用したりする場合にはエンドポイント保護製品の利用が有効です。単に実行されるファイルが既知の脅威と一致するかだけではなく、端末の振る舞いそのものを監視し、未知の脅威からも保護可能な製品が多く存在しています。
3.ログ監視
セキュリティ製品を導入し資産を保護したとしても、製品が発報するアラートや出力するログに気が付かなければ知らぬ間に攻撃が進行している場合があります。また、サイバーセキュリティインシデント発生時に速やかに報告することが求められていることからも、どのようなイベントが発生しているかを監視する仕組みが必要です。
各製品には製品ごとのアラートやログにいち早く気がつくための仕組みやツールが搭載されている事が多いですが、複数製品を利用している場合は各製品ごとに管理画面を確認することとなり、運用負荷が増加します。
そうした状況においては、SIEMの導入を推奨しています。SIEMを利用することで、複数製品のアラートやログを一元管理できるとともに、異なる製品のログを関連付けて分析できるため、製品単体では気が付きにくいインシデントの発見や、インシデントの全体像の把握が可能となります。
4.運用組織の整備
セキュリティ製品を導入し、ログを監視する体制を整えたとしても、セキュリティは導入しただけでは機能しません。製品の状態を定期的に確認し、インシデント発生時には状況を分析及び経営層に報告できる組織の整備を行う必要があります。
一般的にはセキュリティ製品の運用を専門に行う組織としてSOCが存在しますが、組織のスコープによっては情報システム部門やCSIRTなどの別組織が担当する場合もあります。
社内に人的リソースがなく、運用組織の整備が難しい場合は、セキュリティ製品の運用やインシデントの一次切り分けをサービスとして提供している企業のサービスを利用する場合もあります。
まとめ
今回の能動的サイバー防御の法制化は、基幹インフラのみならず、日本の製造業・産業界全体のセキュリティ意識を底上げする起爆剤となります。
OTセキュリティ対策に「銀の弾丸」はありません。まずは自社の資産を正しく「知る」ことから始め、検知・報告ができる体制を整える。この地道な積み重ねこそが、サイバー攻撃という目に見えない脅威に対抗する唯一の手段です。
「何から手をつければいいか分からない」という方は、まずは本記事の「重要資産の定義と資産の把握」から見直してみてはいかがでしょうか。
