IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
はじめに
2022年に成立した英国の「製品セキュリティおよび通信インフラストラクチャ法規制」(Product Security and Telecommunication Infrastructure Bill:PSTI法)や2023年に発効した欧州のサイバーセキュリティ対策に関する法令「NIS2指令」と「サイバーレジリエンス法」(Cyber Resilience Act:CRA)のように、グローバルでサイバーセキュリティを確保するための法規の策定が進んでいます。
オーストラリアでは、2024年11月29日にサイバーセキュリティ法案2024が国王裁可を受けて成立しました。この法律には、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが含まれています。関連のルールが適用開始されると、セキュリティスタンダードに準拠しない製品はオーストラリアで販売できなくなる可能性があります。オーストラリアで事業を行ううえで、本法への対応は必須です。
以下では、本法の概要と目的を紹介し、製造業者や販売者の義務について解説します。また、グローバルでサイバーセキュリティ関連の法規が導入される傾向が引き続き続くことが想定されることから、対応を効率化するためのアプローチについて提言します。
サイバーセキュリティ法の概要と目的
サイバーセキュリティにかかる環境と脅威に鑑み、オーストラリアではセキュリティを確保するための法的枠組みとして、サイバーセキュリティ法が策定されました。本法は、6パートから構成されており、製品セキュリティにかかるセキュリティスタンダード準拠義務や身代金支払い報告義務などが含まれています。主な概要とその目的は、図表1のとおりです。
図表1:オーストラリアサイバーセキュリティ法の概要と目的
対象製品
原則として、サイバーセキュリティ法の対象製品は、オーストラリア国内で流通するインターネットに接続可能な製品です。これには、直接インターネットに接続できる「インターネット接続可能製品」(Internet-connectable product)とインターネット接続可能製品を経由してインターネットに接続できる「ネットワーク接続可能製品」(Network-connectable product)が含まれます。
対象となる製品は、法律の適用開始日以降に製造または提供される製品とされており、開始日以前の製品や開始日以降の中古品は対象外です。製品セキュリティにかかるセキュリティスタンダード準拠義務の開始日は、2025年11月頃となる見通しです。
セキュリティスタンダード
今回成立したサイバーセキュリティ法の文面に明確なセキュリティ要件などは明記されていません。その具体化については担当国務大臣に委ねられた形となっており、法律を実施するために制定されるルールとして導入されます。既存の国際基準や要件への参照、関連業界などとの協議も含め、さまざまな情報源からセキュリティ要件が策定されます。
製造業者の義務
製造業者には法人に限らず個人やパートナーシップなどの形態の主体が含まれます。サイバーセキュリティ法において、製造業者は、セキュリティスタンダードに準拠した製品を生産する義務と、コンプライアンス声明を提供しそのコピーを保管する義務があります。オーストラリア国内で流通する製品または流通が見込まれる製品の製造業者が対象であるため、オーストラリア国外に所在する製造業者も対象になる場合があります。
販売者の義務
サイバーセキュリティ法おいて、セキュリティスタンダードに準拠していない製品をオーストラリア国内で流通させることが禁止されます。また、販売者も製品に付随してコンプライアンス声明の提供とコピーの保管義務を負います。
違反時の処罰
義務違反時の処罰は段階的に適用されます。対応を怠った場合、製品のリコールや企業名の公開といった処分があり、レピュテーションリスクに繋がる恐れがあります。
図表2:違反時の段階的な処罰
効率的な対応のためのアプローチ
CRAやPSTI法など、サイバーセキュリティや製品セキュリティに関連した法規が各国・地域で策定され、導入されています。グローバルで製品を展開する日本企業には、効率的な対応が求められます。
本稿で紹介したサイバーセキュリティ法に関しては、セキュリティスタンダードの詳細要件などが公開されていないため、今後明確化されていくと思われます。一方で、欧州のCRAはすでにセキュリティ要件を明示しており、包括的かつ明確に製造業者に対し技術的な対応を求めています。そのため、CRAへの対応を推進することで、本法の要件を一定程度カバーできるものと思われます。
ただし、本法独自の対応が必要となる点もあります。先述のとおり、サイバーセキュリティ法における義務違反時の処罰は段階的に適用されますが、罰金によるペナルティではなく、企業の対応を求めるという点において、欧州のCRAや英国のPSTI法と異なります。当局から接触があった際の対応について、社内におけるエスカレーションフローや意思決定プロセスを事前に策定し確認しておくことが望ましいと言えます。
まとめ
上述のとおり、サイバーセキュリティ法におけるセキュリティスタンダードに準拠しない製品は、オーストラリアで販売できなくなるため、企業としての対応が必要です。
本法に限らず、オーストラリアでは、重要インフラ事業者に対し資産の登録と報告を義務付ける「重要インフラ保安法」(Security of Critical Infrastructure Act:SOCI法)にも注視する必要があります。グローバルではサイバーセキュリティに関連する法規が今後も策定、導入されていくと想定され、グローバルベースで製品を展開する日本企業は、CRAへの対応から着手することがより効率的と言えます。
【参考資料】https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r7250
デジタル化する工場のサイバーセキュリティ
20 results
Loading...
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
Loading...
PSIRTが認知すべき海外法規制解説
28 results
Loading...
中国「個人情報保護コンプライアンス監査管理弁法」の概説 個人情報保護コンプライアンス監査で注意すべき点
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
Loading...
インサイト/ニュース
20 results
Loading...
欧州サイバーレジリエンス法概説――法規発効の経緯・目的と全要件適用までの動き
2024年12月に発効した「欧州サイバーレジリエンス法(CRA)」について、制定の背景や要件、スケジュール、罰則などを整理し、経営層も巻き込んだ実効的な対応のポイントを解説します。
中国「個人情報保護コンプライアンス監査管理弁法」の概説 個人情報保護コンプライアンス監査で注意すべき点
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
欧州・日本の個人情報保護法規制の動向から紐解く、日本企業に求められるプライバシーガバナンスとは
西村あさひ法律事務所・外国法共同事業の石川智也氏と個人情報保護委員会の小川久仁子氏をお招きし、グローバルでの規制動向を踏まえ、日本企業が個人情報を適切に取り扱うためのリスク管理のあり方、求められるプライバシーガバナンスについて伺いました。
グローバルで本格化するAI関連法規制整備を受け、AI活用を推進するために日本企業はどうするべきか
慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。
Loading...
