ブログ

ライフサイエンス分野におけるNIS2準拠のメリット

サイバーセキュリティの基本を徹底すれば、コンプライアンス対応や業務改善は格段に容易になります。

サイバーセキュリティの専門家の多くが口にするように、ハッキング被害は「起こるかどうか(if)」ではなく「いつ起こるか(when)」の問題です。この基本的な認識こそが、EU委員会によるNIS指令(ネットワーク･情報システム指令)の改定版、通称「NIS2」の根拠の多くを支えています。

参考までに、EUの統計機関であるEurostat (ユーロスタット、欧州連合統計局)の調査によると、2023年にはEU企業の5社に1社以上(21.54%)が、ICT関連のセキュリティインシデントを経験しました。その結果、ICTサービスの利用不能、データの破壊や破損、機密データの漏洩といった事態が生じています。

NIS2とは何か?

NIS2指令は、サイバーレジリエンス(サイバー攻撃に対する回復力/耐性)の強化を目的とし、欧州連合(EU)域内で事業を行うすべての組織に影響を及ぼす法規制です。加盟国は、2024年10月までにこれを国内法として整備することが求められています。

本指令は、2016年に策定されたNIS指令にかわるものです。近年の重要インフラに対するサイバー攻撃の頻度や影響が増大していることを受け、適用範囲の拡大や要件の追加が行なわれた点が主な変更点です。

NISからNIS2への移行

	スコープ	コンプライアンス	インシデントレポート	制裁措置
NIS	エネルギー、運輸、銀行、金融市場インフラ、医療、排水管理という、ごく一部のセクターにおける「重要サービス事業者(OES)」を対象としている。	基本的なセキュリティ対策の概要は示されていたが、具体的な内容に欠けていた。	報告要件は、「サービスの提供に重大な影響を及ぼすあらゆるインシデント」という曖昧なものでした。	法執行は主にEU加盟国個々の判断に委ねられた(その結果、不整合が生じた)。
NIS2	従来のセクターにおけるOES (重要サービス事業者)を依然として対象としつつ、まったく新しいカテゴリが追加されている。必須エンティティ: エネルギー、輸送、医療、水･排水などの重要セクターにおける事業者重要エンティティ: 製造業、食品の生産･流通、化学品製造、およびデジタルサービス事業者サプライチェーンセキュリティ: 組織に対し、サプライヤがもたらすリスクを考慮することを求めるもの	すべての事業者が実施しなければならない一連の最低限のサイバーセキュリティ要件を義務付けている。これには、リスク管理、インシデント対応計画、サプライチェーンセキュリティ、および脆弱性報告が含まれる。.	すべての事業体が実施しなければならない一連の最低限のサイバーセキュリティ要件を義務付けている。組織は、当局に対して適切に報告を行なうための確立されたプロセスを整備しておく必要がある。 24時間以内に早期警告を発信する。 72時間以内に初期評価を完了する。初期評価から1カ月以内に、最終的な詳細報告書を作成する。	全加盟国で統一された規則に基づき、より強力な執行の仕組みを定めている。これには、規則を遵守しない場合のより厳しい罰則も含まれる。必須エンティティ: 1,000万ユーロまたは全世界年間売上高の2% 重要エンティティ: 700万ユーロまたは全世界年間売上高の1.4% サイバーインシデントに関連して重大な過失が立証された場合、加盟国が組織の経営陣の個人責任を追及することを可能にする。

スコープ

コンプライアンス

インシデントレポート

制裁措置

NIS

エネルギー、運輸、銀行、金融市場インフラ、医療、排水管理という、ごく一部のセクターにおける「重要サービス事業者(OES)」を対象としている。

基本的なセキュリティ対策の概要は示されていたが、具体的な内容に欠けていた。

報告要件は、「サービスの提供に重大な影響を及ぼすあらゆるインシデント」という曖昧なものでした。

法執行は主にEU加盟国個々の判断に委ねられた(その結果、不整合が生じた)。

NIS2

従来のセクターにおけるOES (重要サービス事業者)を依然として対象としつつ、まったく新しいカテゴリが追加されている。

必須エンティティ:
エネルギー、輸送、医療、水･排水などの重要セクターにおける事業者
重要エンティティ:
製造業、食品の生産･流通、化学品製造、およびデジタルサービス事業者

サプライチェーンセキュリティ: 組織に対し、サプライヤがもたらすリスクを考慮することを求めるもの

すべての事業者が実施しなければならない一連の最低限のサイバーセキュリティ要件を義務付けている。これには、リスク管理、インシデント対応計画、サプライチェーンセキュリティ、および脆弱性報告が含まれる。.

すべての事業体が実施しなければならない一連の最低限のサイバーセキュリティ要件を義務付けている。

組織は、当局に対して適切に報告を行なうための確立されたプロセスを整備しておく必要がある。

24時間以内に早期警告を発信する。
72時間以内に初期評価を完了する。
初期評価から1カ月以内に、最終的な詳細報告書を作成する。

全加盟国で統一された規則に基づき、より強力な執行の仕組みを定めている。これには、規則を遵守しない場合のより厳しい罰則も含まれる。

必須エンティティ:
1,000万ユーロまたは全世界年間売上高の2%
重要エンティティ:
700万ユーロまたは全世界年間売上高の1.4%

サイバーインシデントに関連して重大な過失が立証された場合、加盟国が組織の経営陣の個人責任を追及することを可能にする。

NIS2のコンプライアンス要件とは何か?

NIS2は、リスク管理ポリシーから、多要素認証やサプライチェーンの監視といった技術的統制に至るまで、包括的なセキュリティ義務の枠組みを定めています。

NIS2のコンプライアンス要件
NIS2におけるセキュリティ義務とは何ですか?

ポリシーおよび手順	リスク分析および情報セキュリティに関するポリシー
インシデントハンドリング	インシデントハンドリング(インシデントの予防、検知、および対応)
危機管理(クライシスマネジメント)	危機管理および事業継続(バックアップや復旧管理など)
サプライチェーンセキュリティ	各組織とサプライヤまたはサービスプロバイダとの関係におけるサプライチェーンセキュリティ
ネットワークセキュリティ	情報システムの調達･開発(脆弱性への対応･開示を含む)
リスク管理(ポリシー&手順)	サイバーセキュリティリスク管理の有効性を評価するためのポリシーおよび手順
基本的なサイバーハイジーン	基本的なサイバーハイジーンの実践およびサイバーセキュリティトレーニング
暗号技術･暗号化(ポリシー&手順)	暗号技術および(適切な場合の)暗号化の利用に関するポリシーおよび手順
人的セキュリティ	人的セキュリティ、アクセス制御ポリシー、およびアセットマネジメント
多要素認証	多要素認証または継続的認証ソリューションの利用

NIS2と製薬業界

NIS2の影響を最も大きく受ける業界の1つが製薬業界です。すでに多岐にわたる法規制の対象となっている製薬業界ですが、NIS2において「必須(エッセンシャル)」セクターと位置付けられたことで、さらなる業務上の負荷が生じることになります。その意図や期待される成果は称賛に値するものの、コンプライアンス担当者にとっては多大な業務負担を強いるものでもあります。

しかし、製薬企業はNIS2指令への対応を、単なる形式的な要件確認作業(チェックボックスを埋めるだけの作業)と捉えるべきではありません。むしろ、最新のデジタル技術(プロセスハードウェアやMESソリューションなど)の導入やコンプライアンス達成への道のりを、より広範な業務改善に向けた「旅」として捉えるべきです。それは、法規制で定められた措置やその成果の枠をはるかに超える取り組みとなるはずです。

サイバーハイジーンの技術的･手順的な基本事項に最初から取り組むことは、強固な基盤を築く上で間違いなく有益です。また、それは事業の強化につながるだけでなく、実証済みの技術、業界のベストプラクティス、そして効果的なガバナンスに基づいた、管理しやすく段階的な発展のロードマップを策定する助けにもなります。

製薬業界にとってNIS2が重要な理由

サイバー脅威を取り巻く状況は驚異的な速さで変化しており、侵入に対処･対応するための「従来の手法」ではもはや太刀打ちできなくなっています。こうした状況を受け、各国政府や国際機関が対策に乗り出しました。OT (制御技術)に関連する脅威への関心が高まる中、国家の関与する攻撃者、ハクティビスト、犯罪集団などのハッカーが、データ窃取、業務妨害、金銭的利益を目的に産業用システムを標的にしています。

NIS2は全体として有益な意図に基づいているものの、業界ごとの特性や要件までは考慮されていません。ライフサイエンス企業の経営者やCTO (最高技術責任者)は、サプライチェーンの混乱という潜在的なリスクへの対処に加え、収益性、顧客からの信頼、ブランドの評判、そして製品や消費者の安全への影響といった、より広範なビジネス上の課題にも目を向ける必要があります。

現在、多くの企業が適切なサイバーセキュリティ体制を確保することに苦慮しています。その背景には、既存のセキュリティ対策が、保険会社が現在求める水準に達していないという現状があります。セキュリティの成熟度が低いとリスクが高いとみなされ、保険料が高額になったり、そもそも保険への加入が困難になったりするためです。こうした状況も、取締役会がサイバーセキュリティを組織の最優先事項の1つに位置づけるようになった理由の1つです。

規定を遵守しない場合、最大1,000万ユーロ、または全世界での年間総売上高の少なくとも2%に相当する罰金が科される可能性があります。ここで重要なのは、対象が欧州での事業だけでなく「全世界」の売上高であるという点です。また、新規則の遵守を怠った場合、経営幹部が個人的に責任を問われる可能性もあります。

NIS2への道のりは、基本的なサイバーハイジーンから始まる

基本的なサイバーハイジーンの確立は、極めて重要な第一歩であり、今後不可欠となる実践事項です。AIやビッグデータが持つ可能性は魅力的ですが、セキュリティの基盤が不十分なままだと、知的財産や運用データが悪用されるリスクにさらされることになります。

作業を進める前に、組織のコンプライアンスへの取り組みを見直してください。既存の資産に基づいてセキュリティリスクを評価し、リスク管理やインシデントの検知･対応に関する能力を検証するとともに、地域や拠点ごとの責任の所在を明確にすることが重要です。

OT (制御技術)セキュリティに特化したポリシーや手順を策定することも、極めて重要なステップです。これらはコンプライアンスの遵守を証明し、セキュリティ体制の成熟度を全体的に高めるのに役立ちます。実効性のあるポリシーでは、以下の事項を定義します。

ビジネスの優先事項に沿った明確な目標
OTセキュリティに対して責任を負う、またはその管理を担う役割
自組織における資産の可視化のあり方
認証およびリモートアクセスに関するルール

基本的なサイバーハイジーンを導入するためのヒント

産業環境のセキュリティ確保を支援してきたロックウェル･オートメーションの豊富な経験に基づき、以下の導入をご検討ください。

ネットワークの分離とセグメンテーション: ICSネットワーク内で信頼できるゾーンと信頼できないゾーンを分離することで、脅威アクターによるラテラルムーブメント(ネットワーク内での横方向の移動)を困難にします。
ソフトウェアのパッチ適用とプログラムの更新: OT (制御技術)に関するポリシーや手順に従って、すべてのソフトウェア、ファームウェア、OSを更新してください。また、資産を更新できない場合には、緩和策(代替のセキュリティ対策)を適用してください。
デバイスの堅牢化(ハーデニング): デバイスの機能を無効にし、「最小権限の原則」を適用することで、脅威アクターの侵入経路を最小限に抑えます。
従業員教育: ICSのサイバーセキュリティに関する具体的な教育を実施し、従業員が「セキュリティを最優先する」という意識を持って業務を遂行･運用できるようにします。
継続的な監視とインシデント対応: ネットワークトラフィックを監視して異常な挙動を検知するとともに、侵害が発生した際に備えてインシデント対応計画を策定･整備しておきます。

NIS2に向けたビジネスケースの策定

コンプライアンスへの対応を、より広範な業務改善プロジェクトの一環として捉え、まずは基本事項への取り組みから着手しましょう。包括的かつ多角的なアプローチを採用することで、長期的な視点でサイバーセキュリティの成熟度を向上させるための戦略的ロードマップを策定できます。こうしたアプローチを具体化する際には、関係者の合意形成と投資の確保を図るために、ビジネスケースを策定することを検討してください。

NIS2 Pharma Blog Impact Statement — 図1: 「問題と影響」に関する記述の例

ビジネスケースを策定する際に留意すべき4つのポイントは以下の通りです。

前提の整理: 課題を特定し、インパクト(影響)を定義し、組織として目指す成果を確認します。
根拠の収集: 課題を裏付ける事実やデータを収集します。
解決策の策定: リスク許容度、ロードマップ、規制要件、ダウンタイム、コスト、導入にかかる期間などを考慮して解決策を検討します。
実証結果の概要策定: 投資対効果(ROI)の具体像、その測定方法、およびKPI (重要業績評価指標)を明確にします。

ロックウェル･オートメーションによる支援

最低限の基準	詳細	ロックウェル･オートメーションの支援内容
ポリシーおよび手順	リスク分析および情報セキュリティに関するポリシー	机上演習、インシデント対応計画のレビュー、OTリスクアセスメント、OTサイバーセキュリティポリシーおよび手順
インシデントハンドリング	インシデントハンドリング(インシデントの予防、検知、および対応)	ネットワーク設計、侵入検知、エンドポイント保護、インシデント対応、重要資産評価(クラウン･ジュエル･アセスメント)
危機管理(クライシスマネジメント)	危機管理および事業継続(バックアップや復旧管理など)	バックアップおよび復旧サービス、インシデント対応
サプライチェーンセキュリティ	各組織とサプライヤまたはサービスプロバイダとの関係におけるサプライチェーンセキュリティ	ネットワーク設計および構成図、IDMZ
ネットワークセキュリティ	情報システムの調達･開発(脆弱性への対応･開示を含む)	ネットワーク設計、IDMZ、CIPセキュリティ、侵入検知、OTパッチ管理、セキュアなリモートアクセス、仮想化
リスク管理(ポリシー&手順)	サイバーセキュリティリスク管理の有効性を評価するためのポリシーおよび手順	OTリスクアセスメント、OTペネトレーションテスト、OTサイバーセキュリテポリシーおよび手順の策定とガバナンス
基本的なサイバーハイジーン	基本的なサイバーハイジーンの実践およびサイバーセキュリティトレーニング	資産インベントリ、脆弱性分析、侵入検知
暗号技術･暗号化(ポリシー&手順)	暗号技術および(適切な場合の)暗号化の利用に関するポリシーおよび手順	CIP Security、IPSec FactoryTalk®サービス、Stratix®マネージドスイッチの暗号化、OPC UAセキュリティ(FactoryTalk® Linx Gateway, Logixコントローラ、FactoryTalk® Optix™)
人的セキュリティ	人的セキュリティ、アクセス制御ポリシー、およびアセットマネジメント	PlantPAx®, FactoryTalk® Directory、資産インベントリ、重要資産評価(クラウン･ジュエル･アセスメント)、FactoryTalk® AssetCentre
多要素認証	多要素認証または継続的認証ソリューションの利用	ThinManager®、FactoryTalk Optix & Secure Remote Access、FactoryTalk® Hub™ &アプリケーション、Azure AD認証、FactoryTalk® SecurityのOpenID Connect連携

図2: 指令が定める最低限の要件への適合を支援する、ロックウェル･オートメーションのソリューション

NIS2指令の最低限の要件を遵守するには、強固なポリシーの策定と技術的な実装の両立が不可欠です。ロックウェル･オートメーションは、SecureOT™プラットフォームによる専門的な脆弱性管理機能を組み合わせることで、OT環境のセキュリティ確保に向けた包括的なライフサイクルアプローチを提供します。

SecureOTプラットフォームによるサステナブルなNIS2コンプライアンスの実現

SecureOT™プラットフォームを導入することで、製薬企業はレジリエンス(回復力)を強化し、業務の継続性を確保できます。この多機能プラットフォームは、人員を増員することなく、OTサイバーセキュリティ評価を具体的なリスク低減へとつなげ、リスクおよび脆弱性管理の取り組みを強力に支援します。

SecureOTプラットフォームは、NIS2への準拠を次のように支援します。

監査要件への対応: 標的型かつデータ主導の対応を可能にするエンドポイントアーキテクチャにより、NIS2指令におけるサイバーハイジーンで求められる包括的な可視性と資産インベントリを確保します。
迅速な導入: SPANポートやネットワークタップといったインフラ機器の設置を最小限に抑えることで、コンプライアンス達成までの時間を短縮し、人件費を削減します。
重要インフラの保護: パッチ構成管理やソフトウェアの修正(レメディエーション)を統合的に行なうことで、旧式の資産に対する規制上のセキュリティ強化基準を遵守します。
報告義務の遵守: 年中無休24時間体制の監視体制とマネージド･セキュリティ･サービスにより、インシデント発生から24時間または72時間以内という報告期限の遵守を支援します。

現在の状況について、徹底的かつ実用的、そして客観的な見解をお求めなら、当社のNIS2対応状況評価(NIS2 Readiness Assessment)をご活用ください。サイバーセキュリティ体制の現状をより明確に把握し、早急な対応が必要な事項を優先順位付けできるほか、追加のサポートも受けられます。

NIS2コンサルタントのご依頼

公開 2026年6月16日

Abdul Azam

Cybersecurity Sales Executive, Rockwell Automation

お客様へのご提案