OTセキュリティソリューションOTセキュリティ対策ガイド
社会を支えるインフラに求められるOTセキュリティ対策
2025年5月に、いわゆる「能動的サイバー防御」の導入に関する法律(サイバー対処能力強化法)が成立し、公布されました。この法律により、社会の基盤となるインフラを担う事業者(基幹インフラ事業者)には、資産情報の届出やインシデント報告の義務が課されることになります。
本記事では、この能動的サイバー防御関連を中心に、社会インフラのOTセキュリティに関する法制度について解説し、対応のために推奨される対策をご紹介します。
目次
1.社会インフラのOTセキュリティリスクを取り巻く状況
サイバー攻撃の脅威が増加する中で、近年では社会を支えるインフラがサイバー攻撃の被害に遭い、国民生活や経済活動に影響を及ぼすケースが増えてきています。OT環境の機器や制御システムのセキュリティが侵害されることも発生しており、過去の事例としては以下のようなものが挙げられます。
表1 社会インフラのOT機器・制御システムへのサイバー攻撃事例
| 発生年 | 発生した国・地域 | 概要 |
|---|---|---|
| 2022年 | ウクライナ、ドイツ、 ギリシャ、ハンガリー、 ポーランド等 |
|
| 2023年 | 日本 |
|
| 2023年 | アメリカ |
|
| 2024年 | ロシア |
|
| 2024年 | ウクライナ |
|
こういった状況を受けて、社会の重要なインフラを支える事業者に対してサイバー攻撃への対策・対応を求める動きが国際的に強まっています。下記の表2はこうした国際的な要請を背景として、各国・地域で整備・施行されている代表的な法制度です。どの制度も違反時の罰則が規定されており、特にNIS2指令については全世界売上高の2%または1,000万ユーロ等、高額な罰金が科される可能性があります。
表2 海外における重要インフラ事業者向けの法制度の例
| 国・地域 | 名称 | 概要 |
|---|---|---|
| EU | 改正ネットワークおよび情報セキュリティ指令(NIS2指令) |
インフラ、製造等の重要なサービスを提供する事業者に、セキュリティ対策の強化やインシデント報告を義務付け |
| アメリカ | 重要インフラ向けサイバーインシデント報告法(CIRCIA法) |
重要インフラ事業者に、重大なインシデントやランサムウェアの身代金支払いの報告を義務付け |
| オーストラリア | 重要インフラ安全保障法 (SOCI法) |
重要インフラ事業者に、資産情報の登録、リスク管理計画の策定、インシデント報告を義務付け |
2.日本における社会インフラ向け法制度
我が国でもインフラ事業者にセキュリティ対応を求める法制度が整備されてきています。日本では「重要インフラ」と「基幹インフラ」という2つの類似した概念があり、対象範囲や実施事項が若干異なっています。表3はその2つを整理したものです。それぞれについて順番に説明します。
表3 重要インフラ・基幹インフラの整理
| 重要インフラ | 基幹インフラ | ||
|---|---|---|---|
| 関連する 法律・文書 |
|
関連する 法律 |
|
| 対象分野(重要インフラ分野) |
|
対象分野(基幹インフラ分野) |
※今後医療が追加予定 |
| 事業者が 行うべきこと |
|
事業者が 行うべきこと |
|
2.1 重要インフラ
「重要インフラ事業者」とは、サイバーセキュリティ基本法で定められる「重要社会基盤事業者」を指します。対象となる事業者は「重要インフラのサイバーセキュリティに係る行動計画」に記載されていますが、「主要な○○事業者」のような記載となっており、バイネームで指定されているわけではありません。対象分野は表3に記載している15分野で、その内OT環境が含まれる分野として電力、ガス、鉄道、化学、石油などがあります。
重要インフラ事業者は、「サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努める」こととされており、障害対応、情報共有、リスクマネジメント、セキュリティ対策など、セキュリティに関する幅広い事項に取り組むことが期待されています。これらの取り組みにあたっては、表4に挙げているような分野別の安全基準等を参考とすることが想定されています。
表4 重要インフラ分野の安全基準等の例
| 分野 | 安全基準等の名称 | 制定主体 |
|---|---|---|
| 電力 | 電力制御システムセキュリティガイドライン | 日本電気協会 |
| ガス | 都市ガス製造・供給に係る監視・制御系システムのセキュリティ対策要領(参考例)及び同解説 | 日本ガス協会 |
| 鉄道 | 鉄道分野における情報セキュリティ確保に係る安全ガイドライン | 国土交通省 |
| 水道 | 水道分野における情報セキュリティ確保に係る安全ガイドライン | 国土交通省 |
| 医療 | 医療情報システムの安全管理に関するガイドライン | 厚生労働省 |
分野に共通して求められる内容を記載した「重要インフラのサイバーセキュリティに係る安全基準等策定指針」では、制御システムについてもリスクアセスメントを実施すべきことが明記されています。アセスメントでリスクを抽出した後は、セキュリティ対策導入等のリスク対応の実施、対策の運用・維持管理、改善といった活動を継続的に実施することが想定されています。したがって、重要インフラ事業者は、OT環境のセキュリティ対策全般の実施が求められていると言えます。
2.2 基幹インフラ
「基幹インフラ事業者」とは、経済安全保障推進法で定められる「特定社会基盤事業者」のことを指します。表3に記載している15の分野ごとに、省令で定められた基準に該当する事業者がバイネームで指定され、公表されています。
基幹インフラ事業者に対応義務を課す法律は2つあります。一つは経済安全保障推進法で、事業者は「特定重要設備」の導入や維持管理等を委託する際、事前に届出を行い、審査を受けることが義務付けられています。この届出・審査の対象となる「特定重要設備」についても、事業ごとに省令で定められています。制度の詳細な解説は、内閣府及び各分野の所管官庁(経済産業省、国土交通省、総務省、金融庁、農林水産省)が公開していますので、そちらを参照してください。
もう一つがサイバー対処能力強化法です。詳しくは次項で解説します。
3.能動的サイバー防御(サイバー対処能力強化法)の基幹インフラ事業者への影響
基幹インフラ事業者は「サイバー対処能力強化法」によって新たに導入される制度等のうち、直近では「資産届出」・「インシデント報告」・「協議会」の3つを押さえておく必要があります。違反時には罰則が規定されており、法的拘束力が強い制度となっています。
どの制度についても、詳細は2025年度中に整備される予定の政省令等で明らかになると想定されますが、ここでは法律および2025年12月現在の公開情報からわかる範囲で解説します。なお、サイバー対処能力強化法では施行後3年を目途に見直しを行うと規定されています。将来的な制度変更の可能性、制度に追随するためのセキュリティ対策強化が必要になる可能性があることに留意が必要です。
3.1 資産届出
基幹インフラ事業者に対し、「特定重要電子計算機」の導入時に、製品名や製造者名等の届出を義務付ける制度です。届出義務に違反した場合は是正命令が行われ、それでもなお対応しない場合は罰金が科せられます。
この「特定重要電子計算機」は、「そのサイバーセキュリティが害された場合に、特定重要設備の機能が停止または低下するおそれがある電子計算機」と定義されています。つまり、特定重要設備へのサイバー攻撃に悪用されうる機器、特定重要設備へのサイバー攻撃の経路上にある機器と考えられます。
具体的には、ファイアウォール、VPN装置、認証サーバー、内部のアクセス制御機器・DMZ等が案として示されており、インターネットとの接点からIT環境、OT環境、特定重要設備までの比較的広い範囲の機器が対象になる可能性があります。ネットワークがインターネットと物理的に分離している場合でも、媒体等で定期的なデータのやり取りがある領域の機器については特定重要電子計算機になる可能性があります。
なお、この制度は公布から1年6カ月以内(2027年秋ごろまで)に施行されますが、導入済みの特定重要電子計算機の届出については施行からさらに6カ月以内に届出を行うという経過措置があります。
3.2 インシデント報告
基幹インフラ事業者に対し、特定重要電子計算機のセキュリティインシデントまたはその原因となり得る事象を認知した際の報告を義務付ける制度です。こちらについても、報告義務に違反した場合は是正命令が行われ、それでもなお対応しない場合は罰金が科せられます。
具体的な届出対象の事象としては、マルウェアの実行、不正アクセス行為、業務妨害(DDoS攻撃等)とともに、これらの痕跡を認知した場合が案として挙げられています。さらに、特定重要設備の場合はインシデント発生につながる事象も対象とされており、一般的に想定されるセキュリティインシデントよりも対象範囲が広いと考えられます。報告については期限が設定される想定であり、インシデントを認知してから(1)速やかに速報、(2)30日以内に詳報を提出するという案が示されています。
インシデント報告制度については資産届出制度と異なり経過措置はなく、公布から1年6カ月以内(2027年秋ごろまで)に施行されることとなっています。
3.3 協議会
サイバー攻撃による被害防止のため、「情報共有及び対策に関する協議会」が設置されることとなっており、基幹インフラ事業者のうち同意した事業者はその協議会の構成員となります。構成員は情報共有を受けられる一方で、共有された情報の守秘義務を負う、資料提出の求めに応じなければならないといった制約があります。
協議会での情報提供に関しては、「重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針」において、セキュリティ・クリアランス制度の活用について言及されています。安全保障上重要な情報について共有を受けたい事業者は、クリアランス制度への対応が必要になる可能性があります。
4.重要インフラ・基幹インフラ事業者が特に実施すべきOTセキュリティ対策
ここまでの法制度の説明を踏まえて、重要インフラ事業者・基幹インフラ事業者がOTセキュリティの観点で実施すべき対策として、特に優先度が高いものを2点挙げています。
4.1 資産情報・ネットワーク構成の把握、可視化
基幹インフラ事業者は、まず資産届出の対象となる特定重要電子計算機を特定できる情報が欠かせません。そのためには、少なくとも特定重要設備及びその周辺の資産やネットワーク構成の把握が求められます。特定した機器の情報は届出を行うことになるため、資産自体の情報についても収集・最新化が必要です。
重要インフラ事業者にとっても、リスクアセスメントやセキュリティ対策を行うためには資産やネットワークの可視化が非常に重要です。抜け漏れ防止や構成変更への対応を考えると、ツールによる自動化が望ましいです。
4.2 セキュリティ監視(インシデント検知)の導入と検知時の体制整備
インシデント報告を行うためには、インシデントを検知できること、さらにはインシデントによって発生した事象を正しく把握することが必要です。これは原因究明や復旧をする上でも重要になります。
基幹インフラ事業者にはインシデントの速やかな報告が求められるため、検知から状況の把握までを早期に行えるようにセキュリティ監視を導入すること、検知された際の報告ルートや対応体制を整備することが必要であり、これらをインシデントの前にあらかじめ実施することが求められます。
重要インフラ事業者に対しても、インシデント対応体制・プロセスの整備や、インフラの障害につながる事象を早期検知する仕組みの構築が望ましいとされており、同様の対応が必要です。表1で挙げたとおり、OT環境の機器や制御システムがサイバー攻撃を受け、インフラの停止につながる場合もありますので、それらも監視対象に含める必要があります。
5.まとめ
社会を支えるインフラに求められるOTセキュリティ対策について、法制度の観点から解説しました。重要インフラ事業者に期待されるサイバーセキュリティ確保のため、また基幹インフラ事業者にとっては法律上の義務を遵守するため、適宜詳細な情報を収集するとともに、必要な対策の整備・導入等計画的に対応を進めていくことをおすすめします。
当社では、重要インフラ・基幹インフラの安定的な運用に資するOTセキュリティ対策として、OT環境の資産可視化・監視ツールの実装から、24時間365日体制での監視サービス、検知後のインシデント対応体制の整備まで幅広いサービスを提供しています。お困りの際はお気軽にお問い合わせください。
