Loading
ブログ

OTセキュリティチームがNIS2について知っておくべきこと

NIS2が登場しました。OTセキュリティチームが、重要インフラを保護するためのコンプライアンス、適用範囲の拡大、そして重大な罰則について知っておくべきことをご紹介します。
Female engineer in orange hazard suit wearing white hard hat holding a laptop computer on the plant floor analyzing manufacturing equipment on the plant floor for NIS2 OT security compliance

OTセキュリティチームがNIS2について知っておくべきこと

デジタル化が進む世界では、機会は増える一方で、リスクも増大します。相互接続されたサプライチェーンにおける単一の侵害が、地域全体や業界全体に波及する可能性があるのが現実です。そして今、欧州連合(EU)は、そのリスクをさらに高めようとしています。

改訂版NIS2指令が発効しました。2016年のNIS指令を基盤とするこの指令は、EUがサイバーセキュリティを強化するためのものであり、EU域内でサービス提供または直接運用されている多くのOT/ICS環境に直接的な影響を与えています。

このガイドでは、NIS2における変更点、OT/ICSシステムへの影響、そしてダウンタイムを最小限に抑えながらコンプライアンスを維持するための実践的な手順について詳しく説明します。

NIS2がOT/ICSセキュリティチームにもたらす影響

NIS2の要件は、EUの健全性、安全、または安定にとって不可欠または重要とみなされるサービスに適用されます。これらのサービスには、EUで事業を展開する工業、製造、廃棄物管理、化学関連の組織が含まれます。

NIS2がOT/ICSにもたらす主な運用上の影響

運用上の影響には、説明責任の強化、適用範囲の拡大、最低要件の義務化、厳格なサプライチェーンレビュー、政府による追加支援、金銭的罰則などがあります。

説明責任の強化

コンプライアンス違反を繰り返した場合、経営幹部や取締役の一時的な停職を含む、多額の罰金や罰則が科せられる可能性があります。積極的なOTセキュリティは、組織があらゆる状況を把握する上で重要な役割を果たします。

対象業種の拡大

12以上の主要業種にわたる中規模および大規模組織は、地方自治体による監督と執行の対象となります。これらの組織の多くは、OT/ICSに大きく依存しています。

必須の最低要件

インシデント報告、リスク管理、対応/修復のためのサイバーセキュリティ対策を確立、見直し、積極的に実施してください。EU加盟国は、より厳格な要件を課す柔軟性を有しています。

厳格なサプライチェーンレビュー

NIS2は、マネージド・セキュリティ・サービス・プロバイダ(MSSP)を含む、主要な接続サードパーティのサービスプロバイダのセキュリティ慣行に関する厳格なリスクレビューを義務付けています。これは、OT/ICSサプライチェーンにとって特に重要です。

政府による支援の強化

十分なセキュリティ人員を配備していない大規模なインシデントに直面している企業は、政府当局に支援を求めることができます。

罰金の引き上げ

罰金は、「重要企業」の場合は世界売上高の1.4%または700万ユーロ以上、「必須企業」の場合は世界売上高の2%または1,000万ユーロのいずれか高い方となります。
 

対象範囲

最新のNIS2アップデートにより、適用範囲の柔軟性が向上しました。これにより、企業はより厳しい要件とより緩い要件の間を自由に切換えられるようになりますが、適用範囲に含まれるかどうかを判断する際の複雑さも増しています。

OT/ICSの主な適用範囲:

  • 規模とセクター: EU域内でサービスを提供または実施し、NIS2附属書IまたはIIのセクターで活動する中規模および大規模の事業体
  • 重要度:
    • 当該セクターまたはサービス、あるいは加盟国内の他の相互依存セクターにとって、国または地域的な重要性があるため重要
    • 加盟国内で唯一のサービスプロバイダであり、そのサービスが重要な社会活動または経済活動の維持に不可欠である場合
    • 信託サービス、公衆通信ネットワークプロバイダ、DNS
  • 重大な影響(規模を問わず): サービスの中断は、公共の安全/セキュリティ/健康に重大な影響を及ぼす可能性があり、特に国境を越えた影響において、重大なシステムリスクをもたらす可能性があります。
  • 研究活動: 加盟国は、重要な研究活動を行なう場合があります。
Diagram depicting entities responsibilities according to updated NIS2 regulations in Europe

NIS2は主要エンティティと重要エンティティを区別しており、主要エンティティにはセキュリティ要件の強化、監督の厳格化、そして罰則の強化が求められます。

OT/ICS適用範囲の簡易チェックアップチャート(簡易版):

Diagram depicting what entities are in scope of the updated NIS2 regulation in Europe

主要エンティティまたは重要エンティティに該当するかどうかを判断するには、以下の項目を評価します。

  1. 貴社の業種/サブ業種は、附属書Iまたは附属書IIに記載されていますか? (以下の表を参照)
  2. 貴社の規模は? (企業規模の分類を詳述した画像を参照してください。通常は従業員数と売上高/貸借対照表の合計に基づきます。)
     

附属書Iセクター(必須エンティティ - OT/ICSの高リスク):

セクター サブセクター タイプ
エネルギー 電気 エネルギー供給、選定された配電事業者、選定された送電事業者、選定された電力生産者、指名された電力市場運営者および選定された参加者
地域冷熱房 地域暖房または地域冷房の事業者
石油 輸送パイプライン事業者、石油生産、精製、処理施設、貯蔵、輸送の事業者、選定された中央石油在庫保有事業体
ガス 選定されたサプライヤ、選定された配電事業者、選定された送電事業者、選定された貯蔵事業者、選定されたLNG事業者、選定された天然ガス事業者
水素 水素製造、貯蔵、輸送事業者
交通・運輸 航空 選定された航空会社、選定された空港管理機関、航空管制サービス提供者(ATC)
鉄道 選定されたインフラ管理者、選ばれた鉄道事業体
選定された内陸、海上、沿岸旅客および貨物水上輸送会社、選定された港湾管理機関、選定された船舶交通サービス事業者
道路 選定された道路当局、選定された委任交通管理規制、選定された高度道路交通事業者
ヘルスケア 製薬、製造、研究所、サービス 公衆衛生上の緊急事態において重要とみなされる医療機器を製造する選定された事業体、選定された医療機関、EUの基準研究所、医薬品の研究開発活動を行なう選定された事業体、基礎医薬品および医薬品製剤を製造する選定された事業体
飲料水 飲料水 飲料水を供給する選定された供給業者および販売業者(その他の一般的な活動の大部分を担う事業体を除く)
排水 事業の不可欠な部分である都市、家庭、産業排水の収集、処分、または処理を行なう選定された事業者
宇宙 インフラ、
サービス		 加盟国または宇宙ベースのサービス提供を支援する民間事業者が所有、管理、運営する地上インフラの選定された事業者
B2B ICTサービス マネージド・サービス・プロバイダ(MSP)、マネージド・セキュリティ・サービス・プロバイダ(MSSP)
デジタルインフラ (例: 公衆電子通信ネットワークおよびサービスの特定のプロバイダ、データ・センター・サービス・プロバイダ)、特定の医薬品、特定の化粧品、タバコ、麻薬
銀行、金融市場、行政 この文書で扱われていない

附属書IIセクター(重要エンティティ - OT/ICSの重大なリスク):

セクター サブセクター タイプ
郵便・宅配サービス   特定の郵便事業者
廃棄物管理   廃棄物管理を行なっている特定の事業体(ただし、廃棄物管理が主要な経済活動ではない事業体は除く)
食品の製造・加工・流通   食品および飲料の卸売、工業生産、加工に従事する事業体。食品事業ではない(例: 飼料、食用以外の生きた動物、収穫前の植物)
製造 化学 物質および物品の製造、生産、販売を行なう選定された事業体
医療機器 医療機器を製造する事業体
コンピュータ、電子製品、および光学製品 コンピュータ、電子および光学製品、電子部品および基板、電子基板、コンピュータおよび周辺機器、通信機器、消費者向け電子機器、測定、試験および航行用の機器および装置、時計、放射線、電気医療および電気治療機器、光学機器および写真機器、磁気および光媒体を製造する事業体
電気機器

電気機器、電動機、発電機、変圧器、配電・制御装置、電池・蓄電池、配線・配線器具、光ファイバーケーブル、その他の電子・電線・ケーブル、配線器具、電気照明機器、家庭用機器、非電気家庭用機器、その他の電気機器を製造する事業体
他に分類されない機械および装置の製造 汎用機械、エンジンおよびタービン(航空機を除く)、車両およびサイクルエンジン、流体動力装置、その他のポンプおよびコンプレッサ、タップおよびバルブ、ベアリング、ギア、伝動装置および駆動要素、その他の汎用機械、オーブン、炉および炉バーナー、吊り上げおよび搬送装置、事務用機械および装置(コンピュータおよび周辺機器を除く)、電動手工具、非家庭用冷房および換気装置、他に分類されないその他の汎用機械、農業および林業機械、金属成形機械および工作機械、その他の特殊機械、冶金用機械、鉱業、採石および建設用機械、食品、飲料およびタバコ加工用機械、繊維、衣服および皮革生産用機械、紙および板紙生産用機械、プラスチックおよびゴム機械、他に分類されないその他の特殊機械を製造する事業体
自動車、トレーラー、セミトレーラー 自動車、トレーラーおよびセミトレーラー、自動車用車体(車体)、自動車用部品および付属品、自動車用電気電子機器、自動車用その他の部品および付属品を製造する事業体
輸送機器 輸送機器、船舶、ボート、船舶および浮体構造物、プレジャーボートおよびスポーツボート、鉄道機関車および車両、航空宇宙船および関連機械、軍用戦闘車両、他に分類されない輸送機器、オートバイ、自転車および障害者用車両、他に分類されないその他の輸送機器を製造する事業体

附属書IまたはIIにセクター(業種)または規模別に明示的に記載されていない場合でも、以下の条件に該当する場合は適用対象となる可能性があります。

  • NIS2適用対象顧客への主要サービスプロバイダであること。直接的な義務義務は負いませんが、脆弱性開示や顧客とのコミュニケーションといったサイバーセキュリティ対策が求められます。マネージド・セキュリティ・サービス・プロバイダ(MSSP)は明示的に適用対象となります。
  • 加盟国は、防衛、国家安全保障、公共の安全、または法執行の分野を指令の要件から除外することができます。

OT/ICSセキュリティ運用への予想される影響

NIS2の施行が進むにつれ、OTおよびICSセキュリティ管理者は、その成果に対するプレッシャーが高まっています。これらの変化する規制が、今後の運用にどのような影響を与えるのか、以下に説明します。

セキュリティ成熟度への期待の高まり:

政府機関は、業界における効果的な対策を深く理解するようになり、期待されるセキュリティ成熟度の共通基準が高まります。これは、OTセキュリティプログラムへの要求の高まりにつながります。

効率的なリスク管理の義務化

積極的なリスク管理はもはやオプションではありません。リスクを検知するだけでなく、継続的に評価し、対応することで、OT運用におけるコストと時間効率を最適化することが求められます。

NIS2は終わらない

NIS2は、EUの戦略的サイバーセキュリティ目標への足がかりとなるものです。今後、更なる取り組み、要件の強化、そして罰金の引き上げが予想されます。

EU加盟国が最近発表した措置によると、NIS2への準拠には、セキュリティ成熟度の大幅な向上(CMMレベル3~4への接近)が不可欠です。そのためには、インシデント検知だけでなく、堅牢な修復措置と測定可能なセキュリティ管理効率を含む、リスクの理解と管理に対する積極的なアプローチが求められます。

OT/ICSセキュリティチームのための即時対応

今こそ、計画段階から実行段階へと進むべき時です。コンプライアンスの推進とレジリエンスの構築に役立つ重要な次のステップをご紹介します。

1. コンプライアンスへの取り組みを見直す

関連するすべての資産に基づいてセキュリティリスクを評価し、セキュリティリスク管理とインシデント検知・対応管理能力を見直し、地域/地域(EU)/グローバルにおける責任を明確にします。ロックウェル・オートメーション傘下のVerve®のようなソリューションは、セキュリティ問題の評価と解決に役立ちます。

2. ギャップを埋める

セキュリティ範囲、作業効率、運用コストに基づいて、OTで認められたセキュリティソリューションを特定します。ベンダーを選定する前に、デモを実施し、パイロット運用を実施してください。OTセキュリティソリューションには成熟度レベルに応じてさまざまなソリューションがあります。規制コンプライアンスと社内要件の両方を満たすソリューションを選択してください。時間の経過とともに成熟度レベルを引き上げていく必要があることを念頭に置き、投資がサステナブル(持続可能)なものであることを確認し、要件の増加によって2年後にソリューションを交換する必要がないようにしてください。ソリューションが統合されているほど、セキュリティ管理の効率(時間、労力、コスト)は向上します。

3. セキュリティ管理策への準備

2025年現在、EU加盟国の一部はNIS2の詳細なセキュリティ要件を公表しており、重要なセクター全体で導入が積極的に進められています。この指令は最低限のベースライン管理策を定めていますが、多くの地方自治体は、セキュリティ成熟度の向上を目指し、セクター固有の解釈や強化されたガイダンスを導入しています。

ENISAは、NIS2の義務をISO/IEC 27001、NIST CSF、IEC 62443などのグローバルなサイバーセキュリティフレームワークにマッピングした最新のリソースを公開し、OT/ICS環境における実際の実装のあり方をより明確に示しています。

4. CISOと取締役の関与

NIS2は、個人の責任が問われることを明確に示しています。EUは厳格なサイバーセキュリティ規則の導入を進めており、組織が準備を整えていない場合、規制当局が介入することになります。今、これらの要件に先手を打って対応することで、将来的に大きな問題を回避できます。

NIS2コンプライアンスのランディングページで、製造業におけるNIS2に関する最新情報をご確認ください。

こちらをご覧ください

NIS2と関連規制: OT/ICSチームのための包括的な視点

重要エンティティレジリエンス(CER)指令:

OT/ICSチームへの関連性

CER指令は、停電、妨害行為、異常気象といった物理インフラへのリスクに焦点を当て、NIS2と連携して機能します。NIS2がデジタル脅威に焦点を当てているのに対し、CERは物理システムと運用プロセスのレジリエンスを確保します。

知っておくべきこと

2024年10月より、各国当局は重要組織の特定とリスク管理プロセスの見直しを開始しました。これは、OT環境の保護、稼働率の維持、緊急対応の調整方法など、物理的およびサイバーレジリエンス計画の見直しが行なわれることを意味します。規制当局との連携強化や、物理的リスクとサイバーリスクの戦略統合の推進が期待されます。

EUサイバーレジリエンス法(ECRA):

OT/ICSチームへの関連性

ECRAは2024年12月に法律として発効し、デジタルコンポーネントを搭載したすべての製品にサイバーセキュリティ要件を義務付けています。これには、OTシステム、産業用デバイス、組み込みソフトウェアが含まれます。

知っておくべきこと

施行は2027年12月から開始されますが、デジタルサプライチェーンの見直しは今から始めるべきです。ECRAは、設計段階からセキュリティを重視した製品開発、脆弱性管理、そしてベンダーからの継続的なサポートを要求しています。これは、デバイスメーカの審査を強化し、重要なICS環境で稼働するコンポーネントのサプライチェーン監視を強化することを意味します。
 

ENISA NIS360 2024レポート: OT/ICS データから明らかになること

ENISA NIS360 2024は、NIS2指令において極めて重要とみなされるセクターの成熟度と重要性を評価します。対象セクターのデータとユーロスタット(EUの統計局)の知見を活用したこの分析は、加盟国および各国当局がギャップを明らかにし、取り組みの優先順位付けを行なう上で役立つことを目的としています。

知見1: サイバーセキュリティの成熟度はまちまち

本レポートでは、サイバーセキュリティに関するネットワークコードなどの規制により、電力セクターが最も成熟度の高いセクターの1つにランクされていることが明らかになっています。他の重要インフラセクターは大きく遅れをとっています。

ガス、石油、地域冷暖房、水素セクターは成熟度が著しく低く、特に旧式のOTシステムの統合とインシデント後の対応能力に苦戦しています。海運も、世界貿易において重要な役割を担っているにもかかわらず、時代遅れのOTシステムによってサイバー攻撃に対して脆弱になっているという同様の課題に直面しています。この格差は、規制枠組みとセクター固有のガイダンスが、OT環境におけるサイバーセキュリティの成熟度を左右する重要な要因であることを浮き彫りにしています。

知見2: 2つのOT/ICSセクターがリスクゾーンに

特に重要なセクターとして、海運とガスがリスクゾーンに含まれています。本レポートに基づき、各セクターが注力すべき事項を以下に示します。

海運

  • OT脆弱性評価を優先する。
  • 新規導入またはアップグレードにセキュア・バイ・デザイン原則を適用する。
  • 国境を越えたインシデントへの対応計画を策定し、テストする。

ガス

  • インシデント発生後の対応計画を強化し、定期的にテストする。
  • 電力および製造業と連携する。
  • サプライチェーンのセキュリティ確保に重点を置く。

NIS2コンプライアンス要件: OT/ICS実装ガイド

事業体連絡先情報の提供義務:

  • アクション: ENISAで正確かつ最新の連絡先情報がENISAに登録されていることを確認する。
  • 方策: OT/ICSセキュリティチーム内に、NIS2に関する連絡の主要担当者を指名する。変更内容を3カ月以内に更新するプロセスを確立する。EUでサービスを提供する外国企業は、担当者を指名する必要がある。
     

潜在的重大インシデントに関する報告義務:

NIS2は、迅速かつ効果的なインシデント報告を非常に重視しており、厳格な期限設定と、違反に対する潜在的な制裁措置が定められています。これは、インシデントが連鎖的な物理的および経済的影響を及ぼす可能性のあるOT/ICSにとって極めて重要な領域です。

OT/ICSにおける「重大インシデント」の定義:

  • 運用サービスに重大な影響を与えること
  • 重大な経済的損失(例: 生産停止、機器の損傷)
  • 従業員または組織自体に重大な無形的または物質的影響を与えること

監督、執行、罰金、罰則: OT/ICSのリスク

NIS2は階層化された監督・執行体制を確立し、「必須エンティティ」は「重要エンティティ」よりも厳しい監督体制の対象となります。しかし、どちらの事業体も、遵守違反に対して重大な結果に直面する可能性があります。

監督: OT/ICS運用における期待される内容:

  • すべてのエンティティに対する基本方針:
    • 組織の法定代理人との連携による監督
    • OT/ICSインフラおよびセキュリティ対策のオンサイトおよびオフサイト検査を含む。
    • 当局は、コンプライアンス評価のために、セキュリティポリシーの実施状況に関する情報と証拠の提出を求める場合がある。
  • 必須エンティティに対する追加事項:
    • OTセキュリティ体制の証拠収集を含む、定期的およびアドホックな監査
    • 当局による産業システムへのランダムかつ計画外の点検

違反の執行: OT/ICSに対する是正措置と指示:

監督によりコンプライアンス違反が明らかになった場合、執行措置が開始されます。

  • 対象となるすべてのエンティティに対し、地方自治体は以下の措置を取ることができます。:
    • 警告を発する。
    • 指定された期限内にインシデントを是正するための拘束力のある指示を発する(OTインシデント対応において重要)。
    • 違反行為の停止を命じ、調査結果を公表し、直接的な指導を行なう。
    • セキュリティ監査の推奨事項を期限内に実施するよう命じる。
    • 行政罰金を科す。
  • 必須エンティティに対する追加的な施行事項:
    • CEOまたは法定代理人レベルの管理職の職務遂行を一時的に禁止する(OTセキュリティに関する経営幹部の責任を強調する)。
    • 組織内のコンプライアンスを監視する監視担当者を任命する。
    • インシデント防止のための拘束力のある指示を発出し、実施と報告の期限を厳守する。

執行措置および罰則に影響を与える要因:

執行措置および罰則を決定する際に、当局は以下の事項を考慮します。

  • 違反の重大性(例: 違反の繰り返し、重大なOTインシデントの通知または是正の不履行、監査の妨害、虚偽情報の提供)
  • 違反の期間過
  • 過去の違反歴
  • 発生した物質的/非物質的損害および影響を受けたユーザ(例: 重要なサービスへの影響、公共の安全)
  • 故意または過失
  • 損害を防止または軽減するために講じられた措置
  • 当局への協力度

OT/ICSにおける最初の運用手順のためのクイックチェックリスト:

上記のアクション項目に加えて、OTセキュリティチームがNIS2の導入に使用できるクイックチェックリストを以下に示します。

  • 資産検出とインベントリ: OTにおけるOSベースおよび組み込みシステムを含むすべての関連資産が、適切な時間枠内で非常に高いレベルで検出されていますか?
  • ポリシーと手順: OT環境全体にわたってセキュリティポリシーが文書化され、周知され、その有効性が定期的に評価されていますか?
  • インシデント報告プロセス: OT運用における潜在的な重大インシデント(NIS2の定義による)を報告するための、明確で理解しやすいプロセスが整備されていますか?
  • 脆弱性と脅威の管理: 対象となるすべてのOT資産が特定され、継続的に監視され、脆弱性と脅威が積極的に管理されていますか?
  • 対応能力: OTの脅威を効果的に特定、監視、警告し、対応する能力を備えていますか?
  • チケット発行と文書化: OT/ICSセキュリティワークフローにおけるインシデントの検出、トリアージ、対応を管理および文書化するためのチケット発行システムが実装されていますか?
  • 重要なプロセスのセキュリティ: 重要なOTプロセスとそれに関連する資産は、適切に把握、文書化され、保護されていますか?
  • サプライチェーンリスク管理: OT/ICSコンポーネントおよびサービスに関するサプライチェーンリスクは特定されており、リスク軽減策が積極的に実施されていますか?
  • 信頼できる証拠: 監査および評価において、産業資産に関するOTセキュリティ管理システムからの証拠は信頼できますか?
     

Verveの標準: NIS2の成功に向けたOT/ICSセキュリティ設計

ロックウェル・オートメーション傘下のVerveは、リスクの検出を支援するだけでなく、複雑なOT環境全体にわたってリスクを積極的に管理・修復する能力をチームに提供します。このオペレーショナルインテリジェンスは、NIS2コンプライアンスの達成と維持の鍵となります。

Verveの優れた点は、資産に関連する詳細なセキュリティ情報を収集し、同時に修復も実行できることです。つまり、リスクを特定するだけでなく、情報に基づいた対策を講じることで、セキュリティギャップを解消し、防御を強化することができます。

多くのOTチームにとって、リソースは限られています。Verveは、OT環境全体からリスクデータを収集・分析し、優先順位付けされた推奨事項を提供することで、プロセスを効率化します。少人数の専門家チームが戦略的な対応策を策定し、現地の運用チームが実行をコントロールします。このバランスにより、組織は人員や予算に過大な負担をかけることなく、セキュリティ成熟度を向上させることができます。

コンプライアンスを確保しながら、新たな脅威に対する運用を強化する方法については、当社のビデオシリーズをご覧ください。

ビデオ
産業界におけるサイバーセキュリティの新たな規制環境

セキュリティへの切迫した懸念と人工知能(AI)の導入に伴い、製造メーカに影響を与える規格や法律の状況は大きく変化しています。これらの進化する規制を理解し、遵守することは、産業環境における堅牢なセキュリティプロトコルを確保し、高額な制裁を回避するために不可欠です。

ビデオ
欧州指令NIS2が製造メーカに与える影響への対応

欧州指令NIS2は、特に欧州連合(EU)域内で事業を展開する製造メーカにとって、規制枠組みに大きな変化をもたらします。この指令は、製造業を含む重要なセクターにおけるサイバーセキュリティ対策の強化を目的としています。その結果、業界のセキュリティへのアプローチは変革され、より強固なものとなることが期待されます。

ビデオ
効果的なサイバーセキュリティとNIS2コンプライアンスには、まず組織の信頼が必要

サイバーセキュリティ対策を強化し、NIS2規制の遵守を確保するには、信頼が不可欠です。しかし、多くの企業は依然として自社のサイバーセキュリティ体制を過小評価しています。サイバーセキュリティ対策を強化するには、ITシステムとOTシステム間のギャップを埋め、信頼を構築することが不可欠です。信頼がなければ、リモートモニタ、早期警戒システム、その他のセキュリティ対策を導入するための最善の努力さえも、最終的には失敗に終わるでしょう。

公開 2025年8月19日

お客様へのご提案

Loading
Loading
Loading
Loading