法改正による負担増大を軽減する「事故調査支援ソリューション」を開発中

重要インフラの事故対応にサイバー視点を ― OTセキュリティ関連法改正をフォーティネットが解説

文●福澤陽介/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 フォーティネットジャパンは、2024年4月10日、重要インフラ領域のセキュリティ関連法に関する説明会を開催。2023年12月に施行された、エネルギー業界における2つのOTセキュリティ関連法の改正について解説した。

 フォーティネットジャパンのOTビジネス開発部 部長である佐々木弘志氏は、「サイバーセキュリティの位置付けがどんどん変わってきている」と指摘する。

 サイバーセキュリティは当初、情報資産に対する機密保持のことを指していたが、テクノロジーの進展によりリスクが多様化、そのリスクはフィジカル空間にまで影響を及ぼし、重要インフラにまで紐づき始めた。今回の法改正も、こうした流れの延長上にあるという。

フォーティネットジャパン OTビジネス開発部 部長 佐々木弘志氏

 そして現在、サイバーセキュリティは、能動的なサイバー防御といわれる“サイバー安全保障”という概念にまで目的が変化している。佐々木氏は、「安全保障という国の課題における1丁目1番地に“サイバー”がついに紐づけられ、重要インフラだけではなく、今後さまざまな法規制などにサイバーセキュリティが深く関わっていく」と予想する。

サイバーセキュリティの位置付けの変化

“事故対応にサイバー視点を加えた”法改正、事業者側の負担増も

 このような状況の中で、エネルギー業界における2つのOTセキュリティ関連法が改正された。2023年12月に施行された「高圧ガス保安法等の一部を改正する法律」に伴う改正で、高圧ガスや都市ガス、電力などの産業保安分野の規則を見直すために講じられた。

 ひとつは「サイバー事故調」と呼ばれるもので、正確には情報処理の促進に関する法律の改正である。高圧ガス保安法、ガス事業法および電気事業法に関わる認定事業者においてサイバーセキュリティの重大事案が生じた際に、経済産業省がIPA(情報処理推進機構)に対して、原因究明の調査を要請することができるという内容だ。

 同法は、業界内で同じインシデントが起こらないように調査を行う“再発防止”が主な目的だ。これまでは事故を起こさないよう“予防”に注力する法律が多かったが、事故対応にサイバー視点を加えたことがポイントだという。

 もうひとつは「認定高度保安実施事業者制度」の要件に“サイバーセキュリティの確保”を追加する改正である。同制度は、自律的に高度な保安を確保できる事業者を認定するもので、ランクに応じて検査の周期が長くなるなどのインセンティブが得られる。認定事業者には新たに、各保安法で定められたサイバーセキュリティのガイドラインを参考に、PDCAを構築することが求められるようになった。

エネルギー業界に見るOTセキュリティ関連法改正

 サイバー事故調における調査の流れは、まず事業者が経済産業省にインシデント発生を報告し、同省がIPAに調査を要請する。この過程において調査要請の判断は国が行う。続いて、IPAがインシデントの原因究明を実施するが、それを受けて事業者は調査結果をIPAに報告する必要がある。

 IPAの調査方法は、書面調査と現地調査の2段階に分かれている。事業者は、書面調査の段階で、システム構成からセキュリティ管理体制、インシデントの詳細や要因、再発防止策までをまとめた“インシデント調査報告書”を提出しなければならない。この書面調査で充分に究明されなかった場合には、IPAが現場でログ収集や解析などを行う。最終的に、IPAが国に報告し、国から事業者に対して改めて再発防止策の検討を要請する。

 佐々木氏は、「深刻なインシデントの際には、事故調査委員会が設けられ、半年ぐらいかけて調査をするのが一般的。だが(今回の法改正によって)、これに加えてIPAにサイバーに絞った報告をすることになり、事業者にかかる負担は大きい」と語る。

IPAによるサイバー事故原因究明の実施フロー

事故調査をワンストップで支援する「サイバー事故調ソリューション」を開発中

 フォーティネットは、事業者におけるインシデント発生時の負担を減らすべく、事故調査に必要になるプロセスをワンストップで支援する「サイバー事故調ソリューション」の開発を進めている。インシデントの要因になり得る情報を集約するダッシュボードを用意し、報告書として出力したり、証跡として文章や生ログを保存したりすることができる仕組みを想定しているという。

 設備稼働情報やサイバーセキュリティ情報、入館や不正侵入などの物理セキュリティ情報までを網羅的に収集することで、「時系列に並べて、インシデントの要因を推測できるようにしたい」と佐々木氏。

サイバー事故調ソリューションの全体像

ソリューションのモック画面

 佐々木氏は、「展示会でコンセプトモデルを出したところ、ほとんどの方が法改正のことを知らなかった。ガイドラインではなく法律の話であり、サイバー安全保全、ひいては国の根幹につながる法律のため、積極的に啓発していきたい」と意気込む。

 また、説明会にゲスト登壇した名古屋工業大学 名誉教授、ものづくりDX研究所 客員教授である越島一郎氏は、サイバーセキュリティが要件に加わった認定事業者制度について、「これまでの安全対応だけではなく、セキュリティ対策も求められる。対応するためのセキュリティ人材、特にOTにも詳しい人材を確保することが重要で、どういうツールでサポートしていくかも初期から考える必要がある」と語った。

名古屋工業大学 名誉教授、ものづくりDX研究所 客員教授 越島一郎氏

■関連サイト