昨今、サイバー攻撃の巧妙化は止まるところを知らず、OTセキュリティの重要性はますます高まっています。そ
んな中、経済産業省から高圧ガス保安法に関する重要な発表がありました。2022年に高圧ガス保安法の一部が改
正されたことを受け、「認定高度保安実施者事業制度」が創設されました。
この制度は、高圧ガスを取り扱う事業者の皆様にとって、保安レベルの向上はもちろんのこと、事業運営の効率化
にも繋がる可能性を秘めています。具体的には、テクノロジーを活用しつつ、経営トップのコミットメント、高度
なリスク管理体制、サイバーセキュリティの対応が求められています。本コラムでは新制度の概要や求められる要
件、そして特にサイバーセキュリティ要件に焦点を当て、どのように対応すべきか考えていきます。
認定高度保安実施者制度とは
「認定高度保安実施者事業制度」は、高圧ガス保安法に基づき、高度な保安管理能力を持つ事業者を経済産
業省(以下、経産省)の大臣が認定する制度です。この制度では、製油所や化学工場などの大規模事業者が、国の保安検査を受ける代わりに、自社で安全管理を行えるようになります。従来の制度は「スーパー認定事業者制度」と呼ばれていましたが、法改正を受けて新たに創設されました。
制度創設に伴う追加要件
今回の制度では4つの要件が追加されました。その内容は、経産省から発行されている「高圧ガス保安法における新たな認定制度の詳細設計について②」のP.5を確認すると、理解しやすくなります。
経済産業省「高圧ガス保安法における新たな認定制度の詳細設計について②」資料リンクhttps://www.meti.go.jp/shingikai/sankoshin/hoan_shohi/koatsu_gas/pdf/024_01_00.pdf
追加要件
① 経営トップのコミットメント
② 高度なリスク管理体制
③ テクノロジーの活用
④ サイバーセキュリティなど関連リスクへの対応
上記の図に示されている通り①‐③に関しては従来の制度である「スーパー認定事業者制度」からの延長で対応できると考えられますが、④のサイバーセキュリティ要件は全く新しいものとなるため、今までとは異なるアプローチが必要となります。
サイバーセキュリティ要件の詳細
では、サイバーセキュリティ要件を具体的に確認していきましょう。同じく経産省発行の資料「高圧ガス保安法における新たな認定制度の詳細設計について②」のP.7では、サイバーセキュリティに関するPDCAサイクルを回すことが求められています。今回は、初回の認定となることからPlanが特に着目されており、「対象システムを含むサイバーセキュリティ対策に係る基本方針が明確に定められ、かつ、文書化されていることを確認」するとの記載があります。
経産省「高圧ガス保安法における新たな認定制度の詳細設計について②」 P.7より抜粋https://www.meti.go.jp/shingikai/sankoshin/hoan_shohi/koatsu_gas/pdf/024_01_00.pdf
また、同資料の別ページには「サイバーセキュリティなど関連リスクへの対応の要件は、組織や体制に着目した要件とする。具体的には、PDCAサイクルが構築されていることを要件とし、事業者が、技術の進展等に応じて自主的に、生産管理システム又はプラント制御システムに対するサイバー攻撃等のリスクへ対応する体制を維持・改善する仕組みがあることを確認する」とも書かれています。これらの記載から、サイバーセキュリティに関するPDCAサイクルの構築と、セキュリティリスクに対応する社内体制の構築が求められていると考えられます。
考えられるアプローチ
サイバーセキュリティ要件に対応するには何から始めれば良いでしょうか。進め方としては、まず現状把握を行い、リスクを認識することから始める方法が考えられます。最初にリスクの特定・洗い出し(Plan)を行った後、サイバーセキュリティに係る基本方針を策定し、今後のセキュリティ対策の実施・継続的改善(Do・Check・Act)につなげていくアプローチが考えられます。
進め方
経産省「高圧ガス保安法における新たな認定制度の詳細設計について②」 P.7より抜粋https://www.meti.go.jp/shingikai/sankoshin/hoan_shohi/koatsu_gas/pdf/024_01_00.pdf
Planで求められるもう一つの要件「対象システムを含むサイバーセキュリティ対策に係る基本方針が明確に定められ、かつ、文書化されていること」について、サイバーセキュリティ対策の基本方針には何を記載すればよいでしょうか。経産省より制定された規程の本文 には、業界が定める3つのガイドライン※のうち、「いずれかのガイドラインを参考に、対象システムを含むサイバーセキュリティ対策について、取り組む目的や方向性、経営層によるコミットメント、体制、定期的な評価・見直し等を含む基本方針が定められ、文書化されている」と書かれています。
※3つのガイドライン
石油分野における情報セキュリティ確保に係る安全ガイドライン(石油連盟)
石油化学分野における情報セキュリティ確保に係る安全基準(石油化学工業協会)
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(経産省)
今回の新制度創設に伴う4つの追加要件(経営トップのコミットメント、高度なリスク管理体制、テクノロジーの活用、サイバーセキュリティなど関連リスクへの対応)でも、経営層のコミットメントは求められていましたが、サイバーセキュリティ要件の基本方針においても、トップマネジメントが主導している旨を定める必要があります。このことから、新たな制度の下では、経営層がサイバーセキュリティの重要性を理解し、企業全体としてセキュリティ対策に取り組む体制が求められていると考えられます。実際の規程文を以下に示します。今まで紹介してきた経産省の詳細設計の資料と、内容はほぼ変更はありませんが、確認してみてください。なお、読みやすくするために情報を表形式に再構成しています。原文の趣旨や意味を損なわないよう十分配慮しておりますが、表現の簡略化や言い回しの調整を行っている箇所があります。
経産省「認定高度保安実施者に関する認定の基準の詳細について」P.15-19より引用https://www.meti.go.jp/policy/safety_security/industrial_safety/sangyo/hipregas/files/sinnintei_shousaitsutatatsu.pdf
OTセキュリティアセスメントQuickの紹介
現状把握と課題特定のアセスメント「認定高度保安実施者事業制度」の認定を目指す上で、まず不可欠となるのがリスク特定です。この制度では、単に法令遵守だけでなく、より高度なリスク評価能力やサイバーセキュリティ対策が求められます。しかし、「何から手をつければいいのか分からない」「自社の工場のセキュリティレベルはどこまで足りているのか」と悩む担当者の方も多いのではないでしょうか。そこで役立つのが、専門家によるアセスメントサービスです。
NTTセキュリティ・ジャパンでは、サイバーセキュリティ要件で定められた3つのガイドラインのうち、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に対応したサービスとして、現状把握のためのOTセキュリティアセスメントQuickを提供しております。このサービスにより、工場のセキュリティ対策状況について現状把握を行い、リスクの特定・洗い出しができるようになります。
まとめ
高圧ガス保安法の改正に伴って創設された「認定高度保安実施者制度」を受け、工場のサイバーセキュリティ対策は一段と求められるようになりました。法改正に伴う制度となるため、対応は必須となります。実際、ここ数ヶ月で本件に関するお問い合わせを複数のお客様から頂いています。工場へのサイバー攻撃が増加の一途をたどる中、セキュリティ対策は待ったなしの状況です。これを機に工場のサイバーセキュリティ対策について検討してみてはいかがでしょうか。
注意:正確な情報の確認について本記事では、一般に公開されている資料をもとに内容を構成しています。制度や規制の詳細については、必ず関係機関が発行する公式文書をご確認ください。
