グローバル企業に求められる各国・業界の情報セキュリティ規制とは?

CIO Lounge正会員・栗田 英正

 日増しに拡大するサイバーセキュリティの脅威は、さまざまな業界・企業における大きなリスクであり、経営課題ともなっています。特に製造業ではサプライチェーンにまたがる多くの関連企業がネットワーク化されており、自社の対策を講じただけでは十分ではありません。万一、どこかの企業のセキュリティが侵害されると甚大な影響を及ぼす可能性があります。

 このような脅威に対応するため、各国や各業界においてサイバーセキュリティに関するさまざまな規制や標準が策定され、アップデートされています。製造プロセスの複雑さと国際的なサプライチェーンの広がりにより、サプライチェーン全体の対策を強化するためです。当然、グローバルに展開する日本の製造業は各国の規制や業界のガイドラインを理解し、適切にサイバーセキュリティ対策を強化する必要があります。

 では具体的にどんな規制や標準があるのでしょうか? ここでは、国レベルの規制例として欧州サイバーレジリエンス法(European Cyber Resilience Act)と、業界におけるガイドライン例として半導体業界のサイバーセキュリティ対策ガイドラインであるSEMI E187およびSEMI E188を取り上げ、企業がどのような対策を講じるべきかについて考えてみます。

EUの欧州サイバーレジリエンス法

 欧州サイバーレジリエンス法は、欧州連合(EU)が提案した法案で、欧州におけるデジタル製品・サービスのサイバーセキュリティを強化することを目的としています。この法案は、急速に進化するサイバー脅威に対抗して、欧州の消費者と企業のデジタル環境をより安全にするための包括的な枠組みを提供します。

 適用の対象となるのは、ハードウェア、ソフトウェア、デジタルサービスを含む広範な製品・サービスで、そこにはIoTデバイスやネットワーク機器、クラウドサービス、ソフトウェア、アプリケーションなどが含まれます。

 この法案は、製品やサービスの設計・開発・製造・運用・保守・廃棄に至るまでの全ライフサイクルにわたるセキュリティ要件を規定しています。具体的な要件としては、以下の4項目があります。

脆弱性管理:製品の脆弱性の定期的評価、必要な修正の迅速な実施
セキュリティ更新:製品ライフサイクル全体にわたるセキュリティ更新の提供と、既知脆弱性の修正
リスク評価:製品のリスク評価と適切なセキュリティ対策の実施
データ保護:ユーザーデータ保護の確保と不正アクセスやデータ漏洩を防ぐための対策の実施

 脆弱性と対象コンポーネントを特定するためには、ソフトウェア部品表(SBOM:Software Bill Of Materials)の作成と管理が重要ですので、SBOM管理ツールプロセスの導入も考慮する必要があるでしょう。

 欧州に製品を輸出する企業には、製品が法案のセキュリティ要件を満たしていることを証明する文書の提供や、重大なセキュリティインシデントが発生した場合の迅速な報告、製品のセキュリティリスクや対策についての消費者への適切な情報提供など、厳格な義務が課されます。

 違反すると500万~1500万ユーロ(約8億5000万~25億7000万円)、または前会計年度の売上高の1~2.5%の高いほうに相当する罰金が科される可能性があります。2025年には適用が開始される予定ですので、企業はPSIRT(Product Security Incident Response Team、注1)を設置するとともに、全社プロジェクトとして部門横断で対応する必要があります。

注1:PSIRT(Product Security Incident Response Team)とは、自社で製造・販売した製品やサービスのセキュリティレベルの向上、セキュリティインシデント発生時の有事対応などを行う組織

半導体業界のセキュリティ規格SEMI E187/E188

 サイバー攻撃の脅威は半導体業界にも影響を及ぼしており、実際に大手ファウンドリーや半導体製造装置メーカーも攻撃を受け、一時操業停止となるなど大きな課題となってきています。このような状況に対応するため、国際半導体製造装置材料協会(SEMI)が情報セキュリティ要件として定めた規格が、SEMI E187およびE188です。

 SEMI E187は、半導体製造装置や設備の基本的なセキュリティ要件を定義したもので、設備サプライヤーやシステムインテグレーターなど、半導体製造工場に設備やサービスを提供する企業に適用されます。要件として、OSセキュリティ、ネットワークセキュリティ、エンドポイント保護、セキュリティ監視の4つの基本要素が含まれ、WindowsおよびLinuxのOSがインストールされたデバイスが対象です。

 もう1つのSEMI E188は、装置・設備の初期導入時や修理・パッチ適用、メンテナンスなどの継続的な活動において、マルウェアなどの感染を防御することを目的としており、ハードウェアおよびソフトウェアのサプライヤーや設備企業に適用されます。

 要件として、ネットワークやリムーバブルメディアなどを介した設備へのアクセス制御、設備の設置やアップグレードおよびサポート作業、ハードディスクドライブ(HDD)やコンピュータ部品の交換などの製造設備の復元が含まれます。半導体製造装置や設備を担う事業者はSEMI E187/E188を順守し、半導体業界全体としてサイバーセキュリティの強化に努めることが求められます。

 以上、欧州サイバーレジリエンス法とSEMI E187/E188について説明しました。情報セキュリティの脅威が高まる中、各国や各業界において制定される規制やガイドラインはこれらにとどまりませんし、既存の規制やガイドラインは継続的に更新されます。グローバルに展開する製造業はこういった動きへの情報収集力を強化し、各国・各業界の規制動向を把理し、適切な対応を継続することが欠かせません。

 そのためには企業内の組織・部署を超えた連携も重要です。サイバーセキュリティ強化の対象は、工場を始めとするOT環境や顧客に提供する製品を網羅することになるため、事業部門と生産技術部門、情報セキュリティ部門とが連携する必要があります。

 それ以前にサイバーセキュリティ対策は今日、企業全体で取り組むべき重要な経営課題です。インシデント発生時の甚大な影響を考慮すれば、経営層、IT部門と情報セキュリティ部門、各事業部門が連携し、各国・業界の情報セキュリティ要件に対して適切に対応していくことが求められます。

筆者プロフィール

栗田 英正 (くりた ひでまさ)

1993年、堀場製作所に入社。インフラ担当からドイツ子会社赴任を経て、グローバルでのERP展開プロジェクトを担当。2020年に情報システム部門長に就任、現在に至る。2023年1月にCIO Loungeに参加、同社を含む製造業の発展に、情報システム面から貢献するべく活動している。