
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
現代のビジネスは、顧客、取引先、調達先、委託先、共同研究先など、さまざまな組織がネットワークで密接に結び付いており、企業間の相互依存は非常に高い状態にあります。この複雑に絡み合うネットワークの中で、いずれかの1社でも業務が停止すると、エコシステム全体に影響が波及します。
PwCあらた有限責任監査法人が実施した「コーポレートガバナンスに関するアンケート調査結果2018年版」によると、M&Aの活発化などにより、調査回答企業(東証1部および2部上場企業941社)の連結子会社(100%子会社、上場子会社、非完全子会社)の半数以上は、国外企業となっています。
日本企業にとって、海外子会社が直面する国内と異なる法規制や商慣習などがセキュリティリスクを増加させる要因となっており、また近年、各国の個人情報保護政策が強化され、多くの企業は同時多発的に施行される法規制対応に追われています。
このように、グローバルでのセキュリティ管理態勢への期待値・要求が高まる中、管理態勢の実効性維持は難易度を増しており、海外子会社におけるセキュリティリスクを増大させる要因となっています。企業はこれらのリスクに対応するために、管理的、技術的、物理的な対策を効率的かつ効果的に導入・運用し、海外子会社を含むグループ会社全体にわたるグローバルセキュリティガバナンス態勢を早急に確立する必要があります。
セキュリティガバナンスの構築および運営にあたって、企業のセキュリティ担当者は、ガバナンスモデルの設計からセキュリティ教育のコンテンツ作成に至るまで、多岐にわたる業務を担うことが求められます。
戦略 |
|
制度・組織 |
|
方法・工程 |
|
人材 |
|
テクノロジー |
|
PwCは、グローバルでの豊富な知見と実績に基づき、企業におけるセキュリティガバナンスの実現を包括的に支援します。
事業戦略などの上位概念の戦略と現時点の実態に鑑みたサイバーセキュリティ戦略の策定を支援します。
サイバーセキュリティ戦略の実現に向けたロードマップ(企業の活動において必要となる具体的目標、方法論、資源など)を策定し、それらに沿った活動の推進を支援します。
セキュリティ戦略の実現およびロードマップの推進において求められる管理態勢を設計し、実装に向けた社内調整などの推進を支援します。なお、管理態勢には、組織・人員だけでなく、組織が担う業務、所管する制度・規定などを含みます。
組織のセキュリティ管理において実現方法の多くを担うプラットフォームに対して、セキュリティ戦略に応じた思想・設計の策定を支援します。
グローバルでのセキュリティおよびプライバシー関連法規制の動向を踏まえ、適宜適切に調査・方針策定・アセスメント・具体的対応などの実施を包括的に支援します。
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。