サイバーセキュリティ基本法は、国・地方公共団体・重要社会基盤事業者・サイバー関連事業者の責務、国民の努力等を定める基本法であり、近年の改正動向では、能動的サイバー防御の制度化、重要社会基盤事業者の対象拡大、サプライチェーンセキュリティの強化が議論されている。中堅製造業(年商20〜500億円、2〜3工場規模)にとっても、自社が完成車メーカー・電力会社・通信事業者などのサプライチェーンに組み込まれている場合、対応負荷の増大は避けられない。本稿では、改正動向と中堅製造業が押さえるべきOTセキュリティ・SBOM管理・インシデント報告の実装ポイントを整理する。最新の改正内容・施行日は、内閣サイバーセキュリティセンター(NISC)および所管官庁の公式情報を確認されたい。
サイバーセキュリティ基本法の構造と中堅製造業の位置づけ
サイバーセキュリティ基本法は、次のような構造で関係主体を規定している。
- 国の責務:基本戦略の策定、サイバーセキュリティ戦略本部の設置。
- 地方公共団体の責務:地域における対策、住民への普及啓発。
- 重要社会基盤事業者の責務:14分野(情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油)の事業者は強化された責務を負う。
- サイバー関連事業者の責務:サイバーセキュリティに関連する事業を行う者の自主的取り組み。
- 教育研究機関の責務:人材育成、研究開発。
中堅製造業は、自社単独では「重要社会基盤事業者」に該当しないことが多いが、化学・電力・自動車・防衛分野のサプライチェーンに組み込まれている場合、納入先からの要求として高度なセキュリティ対応が求められるケースが増えている。
改正動向の主要論点と中堅製造業への影響
サイバーセキュリティ基本法および関連法令の改正動向を、中堅製造業への影響度で整理する。具体的な施行日・適用範囲は公式情報を確認されたい。
| 改正論点 | 想定される変更内容 | 中堅製造業への影響 |
|---|---|---|
| 能動的サイバー防御 | 攻撃の事前察知・無害化措置の制度化 | サプライチェーン経由の調査依頼への対応 |
| 重要社会基盤事業者の対象拡大 | 対象14分野の見直し・追加 | 取引先が追加対象となる場合の連動対応 |
| サプライチェーンセキュリティ | 委託先・サプライヤー管理の強化 | 自社のセキュリティ態勢報告義務の発生 |
| インシデント報告制度 | 報告対象・報告先の拡大 | 攻撃検知時の社内エスカレーション体制整備 |
| SBOM導入推奨 | ソフトウェア部品表の作成・提供 | 製品にソフトウェアを組み込む場合の対応 |
| 経済安全保障推進法との連動 | 特定重要物資・基幹インフラ役務 | 該当製品・役務での厳格なセキュリティ対応 |
ITセキュリティとOTセキュリティの統合
中堅製造業のセキュリティ対応で最大の課題は、情報系(IT)と制御系(OT)の統合的なセキュリティ管理だ。両者の特性を整理する。
| 観点 | IT(情報系) | OT(制御系) |
|---|---|---|
| 主要目的 | 情報の機密性・完全性・可用性 | 物理プロセスの安全性・可用性 |
| 主要システム | ERP、メール、ファイルサーバ | DCS、PLC、SCADA、HMI |
| 機器ライフサイクル | 3〜5年 | 10〜30年 |
| パッチ適用 | 比較的容易(月次・週次) | 困難(停止リスク、ベンダー保証) |
| ネットワーク特性 | TCP/IP標準、パブリック接続 | 産業用プロトコル、閉域 |
| 組織責任 | 情報システム部門 | 製造部・生産技術部 |
OTセキュリティの実装ポイント
中堅製造業のOTセキュリティ実装で、優先順位の高い項目を整理する。
1. ネットワークセグメンテーション
- IT系・OT系・SIS(安全計装系)の論理的・物理的分離。
- パデュー参照モデル(Purdue Model)に基づくレベル分け。
- ファイアウォール、ダイオード(一方向通信装置)、DMZの設置。
2. 資産管理
- 工場内のすべての制御機器・PCの台帳化。
- OS、ファームウェア、ソフトウェアバージョンの可視化。
- 不正接続・未管理機器の検知。
3. アクセス制御
- 物理アクセス(工場入退室、制御室入室)の制御。
- 論理アクセス(ID/パスワード、特権ID管理)の制御。
- リモートメンテナンス時の一時アクセス権限管理。
4. パッチ管理
- パッチ適用可否の事前評価(ベンダー保証、停止影響)。
- 計画停止時のまとめてパッチ適用。
- 適用不可機器に対する代替防護策(IPS、ホワイトリスト等)。
5. ログ管理・監視
- 制御機器・ネットワーク機器のログ収集。
- SIEM(Security Information and Event Management)への集約。
- 異常検知のアラート設計。
6. インシデント対応
- 工場停止リスクを伴うインシデントの判断基準・対応手順。
- IT-OT合同のインシデント対応訓練。
- 復旧計画(バックアップ、代替設備)。
SBOM(ソフトウェア部品表)対応
製品にソフトウェアを組み込む中堅製造業では、SBOM(Software Bill of Materials)対応が今後の重点課題となる。実装の段階的アプローチを示す。
段階1:自社製品のソフトウェア棚卸し
- 自社製品に組み込まれるソフトウェアコンポーネントの特定。
- 商用ソフトウェア、オープンソースソフトウェア(OSS)、内製ソフトウェアの区分。
- ライセンス情報、バージョン情報の整理。
段階2:SBOM形式の選定と生成
- SPDX、CycloneDX 等の標準形式の選定。
- ソフトウェア構成解析(SCA)ツールによる自動生成。
- 製品リリースサイクルとの連動。
段階3:脆弱性管理プロセスの構築
- 公開脆弱性情報(CVE、JVN)との照合。
- 脆弱性深刻度の評価(CVSS)。
- 顧客への通知・パッチ提供のフロー。
段階4:顧客への提供・サプライヤー要求展開
- 顧客(OEM・Tier 1)へのSBOM提供フォーマット合意。
- 自社サプライヤーへのSBOM要求展開。
- 契約書への明記。
インシデント発生時の報告体制
サイバーインシデント発生時の社内エスカレーションと外部報告のフローを整理する。
社内対応
- 検知(情報システム部、現場、サプライヤーからの通知)。
- 一次切り分け(誤検知判定、影響範囲特定)。
- 経営層への報告基準(事業継続影響、顧客影響、人的安全影響)。
- 対応チームの招集(CSIRT、外部専門家)。
外部報告
- 警察への被害届(不正アクセス禁止法違反等)。
- IPA(情報処理推進機構)への届出。
- JPCERT/CCへの情報共有。
- 個人情報漏洩時の個人情報保護委員会への報告。
- 業界ISACへの情報共有。
- 取引先・顧客への通知(契約上の通知義務)。
中堅製造業の場合、インシデント報告体制は形式的な手順書だけでなく、実際の発生時に動ける訓練が不可欠だ。年1回以上のインシデント対応演習を組み込みたい。
サプライチェーンセキュリティ対応
近年の規制動向で重要性が高まっているサプライチェーンセキュリティへの対応ポイントを整理する。
- サプライヤーセキュリティ評価:契約前のセキュリティ態勢評価、定期的な再評価。
- 契約条項への明記:セキュリティ要求事項、インシデント通知義務、監査権の明記。
- 業界共通フレームワーク活用:自動車業界のJAMA/JAPIA、SAE等の業界基準活用。
- 第三者認証取得:ISO/IEC 27001、ISMAP、CISマトリクス等の認証取得。
- サプライヤー監査:書面監査、現地監査、リモート監査の組合せ。
中堅製造業は、自社が「サプライヤー側」として顧客から評価を受ける立場と、「発注側」として自社サプライヤーを評価する立場の両方を持つ。両方向への対応設計が求められる。
移行・整備のロードマップ
| フェーズ | 期間 | 主な作業 |
|---|---|---|
| 現状診断 | 2〜3ヶ月 | IT・OT資産棚卸し、セキュリティ態勢ギャップ分析 |
| 基盤整備 | 6〜12ヶ月 | ネットワークセグメンテーション、資産管理ツール導入 |
| ガバナンス整備 | 3〜6ヶ月 | CSIRT設置、インシデント対応手順書、教育計画 |
| OTセキュリティ強化 | 12〜18ヶ月 | OT資産管理、アクセス制御、ログ監視整備 |
| SBOM対応 | 6〜12ヶ月 | 自社製品ソフトウェア棚卸し、SBOM生成、脆弱性管理 |
| サプライチェーン対応 | 継続 | サプライヤー評価、契約見直し、定期監査 |
チェックリスト:サイバーセキュリティ対応診断
次の項目に「いいえ」が3つ以上ある場合、改正対応の準備が遅れている可能性が高い。
- [ ] IT系・OT系を含む全資産の台帳が、過去12ヶ月以内に更新されている
- [ ] IT系とOT系のネットワークが論理的に分離されている
- [ ] OT系機器のリモートアクセス時の認証・記録ルールが運用されている
- [ ] サイバーインシデント発生時の社内エスカレーションフローが文書化されている
- [ ] 製品にソフトウェアを組み込む場合、SBOM作成方針が定められている
- [ ] 主要サプライヤーのセキュリティ評価が実施されている
- [ ] 経営層がサイバーセキュリティを経営課題として認識し、CISO相当の責任者が任命されている
よくある質問
Q. 自社が重要社会基盤事業者でない場合も、改正対応は必要ですか。 A. 直接的な法令適用がなくても、取引先(重要社会基盤事業者・大手OEM等)からの要求として、サプライチェーンセキュリティ対応を求められるケースが増えています。
Q. OTセキュリティで最も優先すべき投資は何ですか。 A. 多くの中堅製造業で「資産可視化」が最大のボトルネックとなっています。何が、どこに、どんな状態で接続されているか分からない状態では、適切な対策計画も立てられません。
Q. SBOM対応のコスト感は。 A. ツール導入と初期構築で500〜2,000万円、年間運用費用で500〜1,500万円程度が目安です。製品ラインナップ数とソフトウェア複雑度で大きく変動します。
「サイバーセキュリティ対応の社内体制を整えたいが、どこから手を付ければいいか分からない」
中堅製造業(年商20-500億)の規制対応を100件以上支援した経験から、貴社に合った進め方をご提案します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
GXOでは、中堅製造業向けのサイバーセキュリティ態勢診断、IT-OT統合ガバナンス設計、OTセキュリティ強化、SBOM対応、サプライチェーンセキュリティ整備の無料相談を受け付けております。