Loading
ブログ | サイバーセキュリティ

わずか6つの簡単なステップで、既存のフレームワークを使ってNIS2準拠を達成

ISO/IEC 27001やIEC 62443などの既存のサイバーセキュリティフレームワークを使用して、NIS2準拠戦略を強化できることをご存知ですか? その方法をご覧ください。
Two engineers one male and one female standing in an industrial security operations cetner holding a tablet monitoring cybersecurity network.

EU加盟国は10月17日までに、改正ネットワーク・情報セキュリティ指令(NIS2)を国内法として成立させなければなりません。この指令の適用を受ける組織は、あと数カ月でNIS2への準拠が完了することになります。

朗報は、多くの組織がすでに必要な作業の少なくとも一部を終えているということです。例えばNIST-CSFやIEC 62443のような既存のサイバーセキュリティフレームワークを情報技術(IT)や制御技術(OT)環境に導入している場合、その可能性はすでにコンプライアンスへの道のりの一部となっています。

既存の規格は、迅速なコンプライアンスへの有効な足がかりとなります。NIS2は、事業者が満たすべき要件を定めています。NIST-CSF、NIST SP 800-82、ISO/IEC 27001およびIEC 62443などの規格は、法的要件への準拠を達成するためのガイダンスを提供しています。

しかし、これは専門知識、技術、ツールの適切な組み合わせによってしか機能しません。では、OTネットワークを持つ組織は、NIS2の義務を果たすために既存のサイバーセキュリティフレームワークをどのように利用できるのでしょうか。

以下の6つの段階を踏んでください

  1. 使用しているフレームワークの発見: 自社の業務を監査し、どのようなサイバーセキュリティフレームワークを使用しているか、またその実装がどの程度完了しているかを確認します。
  2. 自社の現状をNIS2に照らし合わせる: 自社の業務を監査し、現在のOTとITのセキュリティ態勢がNIS2の要件と比較してどうなっているかを理解します。
  3. 計画を策定する: 既存の規格を足がかりに、ITとOTのすべての分野をNIS2に対応させる計画を迅速に策定します。
  4. 適切なテクノロジミックスを構築する: コンプライアンス計画を策定したら、その計画を実行に移し、セキュリティギャップを埋めるために必要な適切なテクノロジミックスを構築します。
  5. コンプライアンス戦略を実施する: 新しいテクノロジ、権限、セキュリティプロトコルを迅速に導入します。
  6. モニタ、分析、最適化: 業務と関連するコンプライアンス体制の両方をモニタし、最大限のパフォーマンスと最小限のリスクを実現するために継続的に最適化します。

ITおよびOTセキュリティがすでに現行のベストプラクティスや規制に準拠している場合でも、ゼロから始める場合でも、米国国立標準技術研究所(NIST)、国際標準化機構(ISO)、国際電気標準会議(IEC)などが開発した既存のサイバーセキュリティフレームワークを使用することで、低コストと低リスクでコンプライアンスを迅速に達成することができます。

これは、特にOTネットワークのオペレータにとって有用です。これらのネットワークは、ITネットワークよりも異機種混在であることが多く、セキュリティを考慮して設計されていない古いコンポーネントも多い存在します。既存のフレームワークを使用することで、迅速に行動し、インフラを保護し、NIS2準拠を実証するために必要な知的および方法論的フレームワークを提供します。

また、既存のフレームワークでOTネットワークを保護することは、EUサイバーレジリエンス法や機械規則(EU) 2023/1230といった将来の規制へのコンプライアンスにも早道となります。これらの中にはまだ具体化されていないものもありますが、セキュリティがより厳格で包括的であればあるほど、これらの規制が施行されたときのコンプライアンスへの課題は少なくなります。

複雑なサイバーセキュリティの領域を乗り切るには、フレームワークとコンプライアンス要件を理解することが最も重要です。このシリーズの前回の記事では、NIS2準拠への重要なステップを概説し、欧州連合の新しいサイバーセキュリティ規制に対応するために組織が取るべき具体的な対策について取り上げました。

しかし、このようなメリットを実現するには、フレームワーク自体、NIS2、および関連技術に関する特定の専門知識を迅速に利用する必要があります。この専門知識がなければ、サイバーセキュリティフレームワークを実装しても、保護とコンプライアンスにギャップが生じ、組織がリスクにさらされる危険性があります。

ロックウェル・オートメーションは、製造業およびインフラプロバイダ向けのサイバーセキュリティ市場をリードしています。ロックウェル・オートメーションのスペシャリストが、お客様の現在のサイバーセキュリティ態勢、お客様が事業を展開する法律で実施されているNIS2、および既存のサイバーセキュリティフレームワークを使用してNIS2に準拠する方法を理解し、迅速かつ混乱を最小限に抑えるお手伝いをします。

ロックウェル・オートメーションと協力することで、お客様の施設をNIS2指令に適合させるために必要な技術、専門知識、経験をすぐに利用することができます。

NIS2準拠への足がかりとして、これらのフレームワークをご活用ください

すでにOTサイバーセキュリティのベストプラクティスを導入している場合でも、ゼロから始める場合でも、以下のフレームワークを使用することで、NIS2への迅速な準拠が可能になります。

  • NIST-CSF: ITネットワーク向けに設計されているが、この規格はOTオペレータにセキュリティへの構造化された包括的なアプローチを提供する。
  • NIST SP 800-82: 産業制御システム(ICS)、監視制御およびデータ収集(SCADA)システムおよび分散制御システム(DCS)をカバー
  • IEC 62443 3-2 & 3-3: 産業用制御システムのリスクアセスメントとフルライフサイクルセキュリティをカバー
  • ISO/IEC 27001: ITおよびOTネットワークのリスク管理、サイバーレジリエンス、オペレーショナルエクセレンスをカバー

適切な規格(または規格の組み合わせ)と適切なパートナと協力することで、NIS2準拠を簡単に実証できる方法で、工場やインフラのOTおよびITネットワークを迅速かつコスト効率よく保護することができます。

公開 2024年6月27日

トピック: Build Resilience
David Main-Reade
David Main-Reade
EU Regulatory Affairs Program Manager at Rockwell Automation
David participates in national and international standards committees relating to functional safety, product design and sustainability. With over 25 years’ experience in machinery safety applications and solutions, David is both a TÜV Rheinland functional safety expert, and a TÜV Rheinland Cyber Security Specialist for product development.
 
Manju Venugopal
Manju Venugopal
Sr. Engineering Manager, Product Security and Functional Excellence, Rockwell Automation
With a career spanning over two decades, she has honed her expertise in embedded systems and operational technology (OT) cybersecurity, establishing herself as a leader in the field. Manju's passion lies in advancing practical cybersecurity measures within OT systems, leveraging her extensive global experience to drive innovation and security in the industry. Her work is pivotal in shaping the future of secure product development and operational excellence.
お客様へのご提案
Loading