国際協力で制御システムを守れ――「サイバーセキュリティウィーク」レポート：産業制御システムのセキュリティ（3/3 ページ）

[高橋睦美，MONOist]

欧米で進む「つながる機器」に対する法規制の強化

　サイバーセキュリティウィークでは、幾つかのテーマに沿って、アメリカやEUの政策当事者を招いてのセッションも行われた。その一つである「ポリシー＆ガイドラインセミナー」では、日本企業にとっても無視できないさまざまな政策が紹介された。

　日本では、「サイバーセキュリティ経営ガイドライン」が策定されており、現在バージョン 3.0の改訂に向けた準備が進んでいる段階だ。また、サイバー空間とフィジカルがつながることを前提に、各産業分野のセキュリティ対策を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク」をまとめ、業界別のより具体的なガイドラインの策定を進めている。また、製造業における部品表（BOM）の概念をソフトウェアの世界に適用し、脆弱性対応に要する時間を短縮するための「SBOM（ソフトウェアBOM）」をどう実現するかの検討も進んでいる。

　米国でも相次いでセキュリティ関連の戦略策定や体制、法整備が進んでいる。この中で重要な役割を担っているのがCISAだ。重要インフラの保護もミッションの一つであり、コーディネーターとしてさまざまな業界との調整を担っている。CISA Senior Advisor for Strategyのイアン・ウォーレス（Ian Wallace）氏は「サイバーセキュリティはチームスポーツである」と述べ、サイバースペースにおける防御やレジリエンスの確保には、官民連携をはじめさまざまな関係者のコラボレーションが不可欠だとした。

　もちろん既にさまざまな情報共有の枠組みがあるが、CISAはサイバーリスクの低減に向けさらにこの取り組みを進化させており、「オペレーション上の協力をしていこうという話が進んでいる。情報共有にとどまらず、共同演習やレスポンス計画の策定などオペレーション面でのコラボレーションを進めていく」（ウォーレス氏）という。

　そして、重要インフラの保護において大きなインパクトをもたらす法律に、「Cyber Incident Reporting for Critical Infrastructure Act」（CIRCIA）があり、既に米国議会の上院を通過している。ウォーレス氏は「この法律が発効すると、重要インフラ事業者においてランサムウェア感染などのインシデントが発生した場合、72時間以内に報告することが義務付けられる」と説明する。

　欧州でも、重要インフラの強化に向けた見逃せない動きが進んでいる。それが「サイバーレジリエンス法」で2022年9月に法案が公表されている。

　欧州委員会ではENISA（欧州ネットワーク情報セキュリティ庁）を中心に、さまざまなサイバーセキュリティに関する法律を定めてきた。しかし、「コネクテッドな製品」が増え、ありとあらゆるものが何らかの形でつながる状況はまだカバーできていない。「そこで欧州委員会ではサイバーレジリエンス法を策定し、デジタル製品に対してセキュリティ要件を課す必要があるという結論に至った」と、欧州委員会 DG-CONNECT（コミュニケーションネットワーク・コンテンツと技術総局） チームリーダーのラルカ・ステファナク（Raluca Stefanuc）氏は説明した。

　サイバーレジリエンス法は、欧州市場にアクセスする「デジタル的な要素を持つ全ての製品」が、ソフトウェアかハードウェアかを問わず対象となる。つまり、ルーターなどの組み込み機器や産業用IoT（モノのインターネット）デバイスなどが該当するが、サービスやクラウドサービスは例外だ。また、医療機器のように既に厳しいセキュリティ規制が課せられているものも対象外となる。この法案では、原則として製造事業者に「セキュリティ・バイ・デザイン」と「セキュリティ・バイ・デフォルト」を求め、設計から開発、製造に至る全ての段階において、セキュリティを満たすことが求められる。

　また市場に流通した後も、脆弱性について適切な対応を求めていく。製品のライフサイクル全体、具体的には5年間に渡って遅れなくパッチやセキュリティアップデートを提供することが求められる上に、透明性の確保、具体的にはセキュリティ機能の情報はもちろん、脆弱性に関する情報の公開、そしてEUが求めるものも含めたさまざまな法規制、ガイドラインへの順守状況の公開が必要とされる。加えて、脆弱性を突かれてセキュリティインシデントが発生した場合にはENISAに24時間以内に報告する義務も課される見込みだ。

　この法律が施行されれば、認証機関の評価を受け適合する製品には「CEマーク」表示が付与される。もう1つのポイントは、GDPR（EU一般データ保護規則）と同様、違反した場合には巨額の制裁金が課される可能性がある点だ。どの義務に違反したかによって額は異なるが、最大で1500万ユーロ、あるいは全世界の売り上げの2.5％に相当する罰金が科される可能性があるという。

　まだ検討中であり、かつ法律が成立しても2年間の猶予期間が設けられる見込みだが、欧州市場に何らかの製品を提供するメーカーや輸入事業者にとっては非常に大きな影響があるとみられる。

高まるサプライチェーンリスク、SBOMが鍵に？

　サイバーセキュリティウィークでは「サプライチェーンリスク管理」に関するセミナーも行われた。

　コロナ禍でもあらためて認識されることになったが、今やグローバルにまたがる複雑な調達網が当たり前のように構築されている。コストや効率を求めての動きだが、その網の中に脆弱なコンポーネントやソフトウェアが含まれる恐れもあるのが事実だ。また、OSS（オープンソースソフトウェア）の脆弱性が多数のシステムに影響をもたらすケースも、頻繁にとまではいかないが、何度か発生している。

　自社のことならばある程度統制を効かせ、リスクを管理することができる。IPA/ICSCoE専門委員の佐々木弘志氏は「しかし、サプライチェーンリスクマネジメントが難しいのは、対象が自組織の外であり、その上ステークホルダーが多岐にわたっていることだ」と述べる。

　この難しい課題に対して、日本では例えば経済産業省がOSS管理のための調査を行ったり、先述したSBOMの実証実験に取り組んだりしている。佐々木氏は「SBOMによって脆弱性に対応する時間を短くできる」とし、日本特有の商慣行を織り込んだ形で取り組みを進めていると説明した。

　米CISA Senior Advisor and Strategistのアラン・フリードマン（Allan Friedman）氏もSBOMを推奨した。「何かお菓子を食べるときには、成分表を見てアレルギー成分が含まれていないかどうかを確認することができる。であれば、重要なシステムのソフトウェアにはなぜ成分表がないのだろうか」とフリードマン氏は説明し、SBOMはICSを含むあらゆる業界において重要な役割を果たすとした。

　米国では実証実験を通して、SPDXをはじめとするSBOMの標準フォーマットの検証や業界ごとの展開、ツールの開発、そしてメーカーやベンダーだけでなくユーザー側の意識向上などに取り組んでいる。また、追加情報を提供する「VEX（Vulnerability Exploitability eXchange）」を組み合わせることで、ユーザーがどれだけのリスクがあるかを把握して効率的に対処していくような枠組みも検討している。特にICSの世界では、ITシステムに比べ、脆弱性対応のためのアップデートには慎重を期す必要がある。正確にリスクを理解して適切に対処する上で、こうしたツール群と標準が大きな役割を果たすだろう。

　既に、「サイバーセキュリティに関する米国大統領令（EO 14028）」によってSBOMを推進する動きがある。フリードマン氏は「SBOMは銀の弾丸ではない」としながらも、それなしに透明性は確保できず、今直面する問題も解決できない、非常に要素になると述べている。

⇒その他の「産業制御システムのセキュリティ」の記事はこちら