
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
サイバーセキュリティへの関心が高まる一方、データトラストに関する取り組みはまだ浸透していないように見受けられます。PwCが行った調査「2022 Global Digital Trust Insights」でも、過去2年間で約4割の企業がサイバーセキュリティにおいて目覚ましい取り組みを実施していると回答している一方で、データトラストに関する正式なプロセスを完全に実装している企業は約3割にとどまっています。
そのため、買収統合時もしくはカーブアウト時にはITデューデリジェンスの実施と合わせて、売り手企業のサイバーセキュリティ態勢からの切り離しによるリスクを評価し、リスク対応に伴うサイバーセキュリティ支出を試算するサイバーセキュリティデューデリジェンス(以下、サイバーセキュリティDD)の実施が推奨されます。特にWebサービスやIoT製品が主力事業の場合、サイバーセキュリティDDの実施は必須と考えます。
サイバーセキュリティDDでは、事業継続を脅かすサイバーセキュリティリスク、外部から狙われやすい弱点、公的機関が定めた法令と規制に違反するリスクを抽出したうえで、対策案を定義し、概算費用を試算します。セキュリティ・リスクマネジメントやプライバシー・データ保護など、下記の9つの領域で分析調査を実施します。
短いDD実行期間の中で、対象会社からの開示資料およびインタビュー結果に基づいて分析調査を実施し、抽出したリスクおよびその対応策案を報告書にまとめます。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。
日本では経済安全保障分野におけるセキュリティ・クリアランス制度の運用開始に向け、具体的な運用に関する政令などの制定に向けた準備が進行中です。諸外国のセキュリティ・クリアランスに関わる組織運営の事例を踏まえ、国内組織で想定される準備策や留意点をまとめました。