
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
グローバル化の進展により、日本企業も海外企業との直接取引や国際的なサプライチェーンの一端を担うケースが増えています。これに伴い、国際的に認知されたセキュリティ規格への準拠が、事実上の取引条件となる場合も珍しくありません。特に、自動車業界においてはTISAX(Trusted Information Security Assessment Exchange)の利用が欧州自動車メーカーを中心に広がり、サプライヤー企業にも高水準の情報セキュリティ対策が求められています。さらに、ISO/IEC 27001といった国際規格の認証取得を条件とする取引先も増えています。
これらのセキュリティ国際規格や海外事業者に対するセキュリティ監査プロセスでは、サイバーセキュリティの側面だけでなく、物理的なセキュリティ対策にも焦点が当てられています。
これらが「ルールが定められており、適切に運用されているか」が、書類審査や現地訪問で確認される項目に含まれています。
経済産業省や内閣サイバーセキュリティセンター(NISC)が公表するガイドライン(例:サイバー・フィジカル・セキュリティ対策フレームワーク、重要インフラ向け指針等)においても、物理的なセキュリティ対策強化を促しています。しかし、実際には「電子錠にてドアを施錠しているから大丈夫」や「セキュリティカードは貸与式としているが、退職時の回収確認が行われていない」といった運用に留まっている企業が少なくありません。
一方、海外の企業では、サイバーセキュリティ領域と同等のレベルで物理セキュリティ対策を評価し、監視カメラやセンサーのログ管理、警備会社との連携、従業員教育などを総合的に組み合わせ、サイバー空間と物理空間の両面からのセキュリティ対策モデルを構築しています。
製造業は、自社のコア技術や新製品の図面などの機密情報を多数取り扱っています。これらの情報は、一度外部に流出すれば競合企業との技術競争に大きな影響を与える可能性があります。
警察庁が公表している統計(※1)によると、建造物侵入や窃盗といった刑法犯は年々減少傾向にあるものの、企業が被害届を出さず内々で処理するケースも多いと報告されています。実際のところ、次のようなリスクが水面下で発生している可能性があります。
これらのセキュリティインシデントは、企業の経済的損失や競争力の低下を招くだけでなく、場合によっては国家レベルの安全保障にまで波及する懸念があります。そのため、物理面での侵入・内部犯行を考慮したサイバーセキュリティ対策、つまりサイバー・物理を統合した包括的なセキュリティの強化が不可欠です。
サイバー攻撃が巧妙化している現代において、ITシステムへのウイルス対策ソフトの導入やログ監視などの多層防御技術を用いて、外部からの攻撃に対する防御策は一般的に普及しつつあります。
一方、内部に侵入してからの攻撃によるインシデント対策は不十分です。
日常業務の利便性を確保しつつ、内部犯行やなりすましに対処するのは容易ではありません。従業員教育や啓発だけでは十分でないケースが多く、フィジカル空間のセキュリティ対策を拡充することで、ハイブリッドな脅威に対する包括的な防御が可能となります。
サイバーセキュリティの世界では、脆弱性診断やレッドチーム演習(攻撃者視点からの侵入シミュレーション)が一般化しつつあります。しかし、物理セキュリティに関しては「机上でチェックリストを点検する」だけに留まりがちです。このギャップを埋めるために、海外で注目を集めているのが「サイバーフィジカルセキュリティペネトレーションテスト(物理ペンテスト)」です。
具体的には、専門家チームが企業施設への侵入を実際に試み、以下のようなポイントを検証します。
これらのテスト結果を踏まえて、ハード面(設備・装置)とソフト面(内部犯行を意識した技術対策・運用ルール・従業員教育)の両方で改善策を提案し、実行につなげる、これらが物理セキュリティを含めた包括的なセキュリティ水準強化のカギです。
海外の企業では、「サイバーとフィジカルを統合した脆弱性評価を実施しているか」を、取引や投資の判断基準に含める動きも加速しており、サイバーフィジカルセキュリティ対策の重要性が国内にも普及していく可能性は十分に考えられます。
企業においては、物理・サイバーの両面でセキュリティをとらえ、侵入テストによるリスクの特定から、特定したリスクを低減するための運用が必要となります。主要な対応策を例示して解説します。
物理セキュリティペネトレーションテストとサイバー脆弱性診断を組み合わせた、統合的なレッドチーム演習が有効です。具体的には下記のステップを通じて、組織の防御体制を総合的に検証・強化します。
図表1:フィジカル&サイバー統合の侵入テストの流れ
侵入テストや診断結果を踏まえたあとの運用フェーズにおいては、セキュリティレベルの維持や監査・企画への継続的な準拠活動が重要となります。
図表2:防御体制の構築および認証取得に向けたエビデンス整備
サイバーセキュリティ領域では高度な脆弱性診断やSOC(セキュリティオペレーションセンター)体制を構築していても、物理的な脆弱性を放置していては片翼だけの防衛に過ぎません。
グローバル基準への準拠の必要性が急激に高まっている今こそ、物理セキュリティを再点検し、物理空間、サイバー空間の両方を考慮したペネトレーションテスト等の実践的なアプローチを導入し、ハイブリッドな脅威に対する包括的なセキュリティ対策を実装する絶好のタイミングではないでしょうか。
社員の意識改革や監査・取引先への説明といった副次的なメリットも含め、企業全体として「物理・サイバー両面の包括的セキュリティ(サイバーフィジカルセキュリティの高度化)」を実現することが、これからのグローバル競争力を支える要石となりえます。
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。