産業サイバーセキュリティ: ビット単位の改ざんから業務上の事故まで

Andreas Willert（ピルツオーストリア 産業サイバーセキュリティ責任者）

(実際と異なる場合あり)

新しいEU機械規則(MR)の発行、施行予定の指令NIS 2およびサイバーレジリエンス法(CRA)に伴い、設備や機械のメーカ、インテグレータ、オペレータにとってセキュリティが法的要件であることは明白です。 2027年1月20日より、自社機械へのCEマーク表示を希望するすべての企業は、機械の制御部が偶発的または意図的な破壊に対して十分に保護されており、発生する可能性があるいかなる危険状況も回避されることを保証しなければなりません。

セキュリティへの着手が難しい理由
法的要件や規格要件は非常に複雑、詳細であり、相互に密接に関係しています。機械のメーカやオペレータは、自社の安全とセキュリティの既存プロセスを見直す必要があります。セキュリティなくして安全は成立しません。
さらに、ITセキュリティとOTセキュリティは、目的と技術の双方の観点から異なるものです。オフィスIT環境では通常、機密性が最大の資産ですが、OTにおける最優先事項は可用性です。これに加え、産業サイバーセキュリティに関する知識と成熟度のレベルは企業によって異なります。したがって、ネットワークにはさまざまなアタックサーフェスが存在します。また、安全の場合とは異なり、セキュリティのリスクとその影響は目に見えるものではありません。それでは、セキュリティ確保にどのように着手したらよいのでしょうか。

安全とセキュリティのワンストップショップ
機械安全エキスパートのピルツでは、お客様が独力で苦労しないように、今後のセキュリティ要件に備えて対策を用意しました。それが、評価、分析、コンセプトを自社設備・機械の安全に関してだけでなく、機械の産業サイバーセキュリティに関しても提供できるワンストップショップです。そのため、複数の異なるアプローチや互換性のないソリューションを回避できます。ピルツでは、機械安全サービスで実績ある手法、各国、欧州、国際規格、そしてベストプラクティスも基盤として、産業サイバーセキュリティ向けのサービスを開発しました。ピルツのサポートがあれば、現行および将来的な法的要件への適合の道のりに、万全の準備のもと安全に踏み出すことができます。

最初に必ず行うのは、保護要件分析という形のスナップショット（評価）作成です。ここでは、適用される法律、担当者の有無、オフィス環境に関してすでに証済みかどうか、などを調査します。次の段階では、安全、機密性、完全性、可用性が失われた場合の人と機械に対する危険の度合いを判定します。それから、安全アセスメント手順の場合と同様に、リスク分析、セキュリティコンセプトの作成、導入、そして最後に検証を行います。

カスタマイズされたサポート
ピルツでは、安全と産業サイバーセキュリティに関して広範・多岐にわたるサービスを提供しています。そのため、人と機械の保護に関するあらゆる側面を包括的にカバーするサービスをすぐに活用していただけます。その内容は、基本的な情報とガイダンス、「CESA – Certified Expert for Security in Automation」資格のようなトレーニングコースから、機械規則の新要件の実装に関する実践的なサポートを提供する「ISCS – 産業サイバーセキュリティ・コンサルティングサービス」にいたるまで広範にわたります。

これまでの経験から、例えば要求されるセキュリティリスク分析には数週間、あるいは数か月もかかる可能性があります。
だからこそ、今すぐ産業サイバーセキュリティに取り組むべきなのです。