OTセキュリティ規制強化の波
~役割別にEU・米・日の最新動向を徹底解説~
2025年11月20日
工場のスマート化(DX)が進む裏側で、OT(制御技術)システムを狙ったサイバー攻撃のリスクは深刻さを増しています。 もはや、OTセキュリティは現場だけの問題ではありません。欧州連合(EU)を筆頭に、違反すれば巨額の罰金が科される法規制が次々と導入されており、企業の事業継続を左右する経営課題となっています。
こうした世界の規制動向を理解する上で、すべての土台となるのがOTセキュリティの国際標準「IEC 62443」です。
今回は、このIEC 62443を羅針盤として、自社の役割(資産所有者、製品供給者、サービス事業者)に応じて、今何をすべきか、どの規制・制度を注視すべきかを重点的に解説します。
1. 羅針盤となる国際標準「IEC 62443」とは?
まず、基本となるIEC 62443についてです。これは、工場の制御システム(IACS)をサイバー攻撃から守るための国際標準規格群です。 技術的な対策だけでなく、組織の体制や運用ルールまでを包括的に網羅しているのが特徴で 、OTセキュリティに関わる全ての関係者の共同責任であると定義されています。
この規格は、それぞれの役割に応じて参照すべきパートが分かれており、大きく4つの階層で構成されています。
| パート | 概要 |
|---|---|
| IEC 62443-1(一般) | 共通の用語やコンセプトを定義 |
| IEC 62443-2(ポリシーと手順) | 資産所有者(工場)やサービス事業者の組織的なセキュリティ体制の要件 |
| IEC 62443-3(システム) | 制御システム全体の技術的な要件 |
| IEC 62443-4(コンポーネント) | PLCなど個別製品の技術的な要件 |
本記事で解説する各国の法規制は、このIEC 62443が示す考え方をベースにしているものが多く、この規格への準拠が、事実上、規制対応の鍵となります。
《 参考 》
ISA/IEC 62443 Cybersecurity Certificate Program | International Society of Automation / ISA
https://www.isa.org/certification/certificate-programs/isa-iec-62443-cybersecurity-certificate-program
2. 【役割別】いま、注視すべき規制・制度
規制の主な対象となっているのは、社会・経済の基盤となる重要事業を担う「資産所有者」と「製品供給者」です。この章では、「資産所有者」「製品供給者」に加えて「サービス事業者」それぞれの立場で押さえるべきポイントを解説します。
押さえるべき主要な法規制
- EU NIS2指令 (Network and Information Security Directive 2)
- 経済安全保障推進法
自社工場やプラントのセキュリティに責任を持つ立場です。EUのNIS2指令や日本の経済安全保障推進法など、事業継続に直結する規制への対応が急務となります。
① EU NIS2指令 (Network and Information Security Directive 2)
EU全体のサイバーセキュリティ水準を引き上げるための、極めて強力な法的拘束力を持つ指令です。 エネルギー、運輸、医療といった社会に不可欠な「基礎的事業体」や、特定の製造業を含む「重要事業体」が対象となります。
- 要求事項
サプライチェーンを含むリスク管理措置の義務化、重大インシデントの厳格な報告義務(24時間以内の早期警告など)が求められます。 - 最大の特徴
経営層の責任を明確化しており、違反した場合は経営幹部個人が処分を受ける可能性があります。 違反時の罰金も極めて高額なため、EUで事業を行う企業にとっては最優先で対応すべき法的要件です。 - 法制化の遅れと「断片化」
NIS2指令は、各加盟国が2024年10月までに国内法を整備する必要がありました。しかし、その進捗には遅れが見られ、さらに各国で要求事項の解釈が異なる「断片化」が懸念されています。EU域内で事業展開する場合、国ごとに異なる要件への対応が必要になるという重大なコンプライアンスリスクがあり、各国の法制化動向を注視する必要があります。
《 参考 》
NIS2指令 公式テキスト | EUR-Lex
https://eur-lex.europa.eu/eli/dir/2022/2555/oj/
対応準備はお済みですか?
② 経済安全保障推進法
国民生活に不可欠な基幹インフラの安定供給を目的とした法律です。
電気、ガス、金融など15分野の「特定社会基盤事業者」が対象で、重要設備の導入や保守委託の際には、国への事前届出と審査が義務付けられています。 審査では、サプライチェーンの信頼性に加え、設備自体のサイバーセキュリティ対策が厳しく問われます。これは、サイバー攻撃を含む妨害行為から国民生活を守るため、サプライチェーン全体でのセキュリティ確保を目的としたもの。資産所有者として、委託先の選定基準にセキュリティ要件を明確に組み込むことが不可欠です。
どう対応すべきか?
NIS2指令などが求める「適切なリスク管理」を具体的にどう構築するか。その最適な答えが、IEC 62443-2-1で定義される CSMS(サイバーセキュリティマネジメントシステム)の構築・運用です。
CSMS認証を取得することは、規制当局や取引先に対し、自社が適切な管理体制を築いていることを客観的に証明する強力な手段となります。
また、米国のNIST CSFや日本の『経産省ガイドライン』も、これらの法規制に対応するための具体的な方法論を示しており、IEC 62443と考え方が整合しています。
ビジネスモデルを変える規制と制度
- EUサイバーレジリエンス法 (CRA - Cyber Resilience Act)
- セキュリティ要件適合評価及びラベリング制度(JC-STAR)
制御機器やソフトウェアなどを開発・製造する「製品供給者」は、法規制と市場の要求に対応するため、ビジネスモデルの変革を迫られています。
① EUサイバーレジリエンス法 (CRA - Cyber Resilience Act)
EU市場で流通する「デジタル要素を含む製品」に、ライフサイクル全体でのサイバーセキュリティ要件を義務付ける画期的な法律です。
- 要求事項
- セキュア・バイ・デザイン
企画・設計段階からセキュリティを組み込むことが法的義務となります。 - 脆弱性対応義務
サポート期間中(原則として最低5年間)、発見された脆弱性へのセキュリティアップデートを無償で提供する義務を負います。 これは従来の「売り切り」モデルからの根本的な転換を意味します。 - 透明性の確保
ソフトウェア部品表(SBOM)の作成や、重大なセキュリティインシデントの24時間以内の報告が義務付けられます。
- セキュア・バイ・デザイン
- 影響
対応を怠れば、最大で全世界売上高の2.5%という巨額の制裁金に加え、EU市場へのアクセスを失うリスクがあります。 - 段階的な施行スケジュール
CRAは2027年から本格適用されますが、注意すべきは段階的な施行スケジュールです。特に、「有効に悪用されている脆弱性」の欧州サイバーセキュリティ機関(ENISA)への24時間以内の報告義務は、他の要件に先駆けて2026年9月11日から適用されます。これは製品供給者にとって喫緊の課題であり、インシデント対応体制の早期構築が求められます。
《 参考 》
サイバーレジリエンス法(CRA)公式テキスト | EUR-Lex
https://eur-lex.europa.eu/eli/reg/2024/2847/oj/
② セキュリティ要件適合評価及びラベリング制度(JC-STAR)
日本国内では、IPAが運用する「JC-STAR」が開始されています。これらはIoT製品に対するセキュリティ適合性評価制度でIoT機器の「ものさし」とも言えるでしょう。IPA 独立行政法人 情報処理推進機構が運用を行っています。
- 概要
IoT機器が定められたセキュリティ基準を満たしているかを示すラベリング制度です。 セキュリティ要件のレベルに応じて★1から★4までの4段階で表示されます。 - 特徴
★1と★2は事業者の自己適合宣言で、★3と★4は第三者認証機関による評価でラベルを取得します。 CRAのような法的拘束力はありませんが、政府調達や企業間取引において、製品のセキュリティレベルを分かりやすく示す「共通の物差し」としての機能が期待されています。
《 参考 》
セキュリティ要件適合評価及びラベリング制度(JC-STAR)| IPA独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/jc-star/index.html
どう対応すべきか?CRAへの対応策としてのIEC 62443
CRAが要求する「セキュアな製品」を開発するための具体的な「設計図」となるのが、IEC 62443-4-1(セキュアな開発プロセス) と IEC 62443-4-2(製品の技術要件) です。 EU当局は、こうした整合規格への準拠を法規制への適合性の根拠とする方針を示しており、これらの認証取得は、CRA対応を証明する最も効率的な手段となります。
信頼の証明となる「IEC 62443-2-4」
- 国際規格: IEC 62443-2-4
資産所有者に対し、システムの設計、構築、保守といったサービスを提供する立場です。直接的な規制対象ではありませんが、信頼できるパートナーとして選ばれるための「能力証明」が重要になります。
① 国際規格: IEC 62443-2-4
IEC62443-2-4は、IACSの設計、インテグレーション、保守といったサービスを提供する事業者のために策定された、唯一の国際規格です。
- 何を証明するのか
この規格は、セキュアなソリューションを顧客に提供するための「能力」を証明するプロセス認証です。 - 要求事項
セキュアなエンジニアリング手法、効果的なパッチ管理、安全なリモートアクセス手順の確立、担当者のトレーニングプログラムといった、組織的なプロセスと体制に関する要求事項が含まれます。 - ビジネス価値
認証を取得することは、自社のサービス品質とセキュリティ提供能力を客観的に証明する強力な手段となり、資産所有者からの信頼を獲得するための鍵となります。
3. まとめ
OTセキュリティは、もはや現場の技術担当者だけの課題ではありません。自主的な取り組みを促すガイドラインの時代から、違反すれば企業の存続を揺るがしかねない罰則を伴う「規制」の時代へと、ガバナンスのあり方が根本的に変わろうとしています。
そして現状、その規制の主な対象となっているのは、社会・経済の基盤となる重要事業者の「資産所有者」と「製品供給者」です。
EUのNIS2指令やCRAといった規制は、企業の経営層にサイバーセキュリティへの説明責任を求め、製品メーカーにはビジネスモデルの変革を、そしてサービス事業者には高いレベルの提供能力を要求します。
この複雑で厳しい規制の波を乗り越えるための羅針盤となるのが、国際標準「IEC 62443」です。資産所有者、製品供給者、サービス事業者といったサプライチェーンに関わる全てのステークホルダーが、自社の役割に応じた規格を正しく理解し、準拠していくこと。それが、これからのグローバル市場で事業を継続するための必須要件と言えるでしょう。
本ブログの内容をもう少し詳しく記載したホワイトペーパーをご用意していますので、気になる方はぜひダウンロードしてみてください。
また、サイバーセキュリティに関するご相談事項がございましたら、お気軽にSanko IBまでご連絡いただけたらと思います。
いま注視すべき役割別セキュリティ対策
4. 関連リンク
《 IEC 62443関連 》
ISA/IEC 62443 Cybersecurity Certificate Program | International Society of Automation / ISA
https://www.isa.org/certification/certificate-programs/isa-iec-62443-cybersecurity-certificate-program
《 欧州(EU)の法規制関連 》
NIS2指令 公式テキスト | EUR-Lex
https://eur-lex.europa.eu/eli/dir/2022/2555/oj/
サイバーレジリエンス法(CRA)公式テキスト | EUR-Lex
https://eur-lex.europa.eu/eli/reg/2024/2847/oj/
《 日本のガイドライン関連 》
サイバー・フィジカル・セキュリティ対策フレームワーク | 経済産業省
https://www.meti.go.jp/policy/netsecurity/wg1/CPSF_ver1.0.pdf
重要インフラのサイバーセキュリティに係る行動計画 | 内閣サイバーセキュリティセンター / NISC
https://www.nisc.go.jp/pdf/policy/infra/cip_policy_2024.pdf
制御システムのセキュリティリスク分析ガイド | 情報処理推進機構 / IPA
https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
