オルタナティブ・ブログ > 経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔 >
RSS
経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔

20年以上断続的にこのブログを書き継いできたインフラコモンズ代表の今泉大輔です。NVIDIAのフィジカルAIの世界が日本の上場企業多数に時価総額増大の事業機会を1つだけではなく複数与えることを確信してこの名前にしました。ネタは無限にあります。何卒よろしくお願い申し上げます。

第4章 サイバーテロ被害を前提としたレジリエンス経営の方法論(NIST × IEC 62443)内容抜本修正済

»

Alternative2025Oct19b.png

われわれ日本人には「英語の壁」があるため、アメリカで作られたChatGPTやGeminiの性能の深さや広さがよく理解されていません。日本のITの世界にいるITに詳しいはずの人達ですら、ChatGPTやGeminiの性能を矮小化して安心する...ということが普通に行われています。シリコンバレーに集っている天才達の知的プロダクトの水準を甘く見過ぎています。(小職は時価総額世界最大になったこともあるシスコシステムズでFortune Global 500社<世界の売上高上位500社>の経営者に対してエンゲージメントを行う特殊なコンサルティングチームにいたことがあるため、シリコンバレークオリティの凄まじさがよくわかります)

この一連の投稿「出荷業務を止めないランサムウェア対策」シリーズは、第一に、現在のChatGPT 5(正確に言えば有料版、かつDeep Researchとの併用)は、うまくコントロールすると一冊分の書籍を論理的に整合性が取れた形で執筆することも可能であるということ。

第二に、アサヒグループが被害に遭っているランサムウェアなど、サイバーセキュリティ事案の歴史、過去事例、侵入手口の技術細部、先進的な対策の技術細部についても、日本人の専門家をはるかに上回るナレッジベースを持っており、かつ、それを文系の経営者にもわかる形で書き下ろすことができるということ。(全体を読み込んで頭に入れている英語技術文献の総量が格段と違います)

この2つをデモンストレーションする目的で公開しています。

第1章 『アサヒ事件が映した"依存構造の崩壊"』アサヒグループHD ランサムウェア被害の概要 - 出荷業務を止めないランサムウェア対策

第2章 アメリカが先に経験した"業務停止の地獄" - 出荷業務を止めないランサムウェア対策

第3章 SPOF(単一障害点)を潰す経営設計 - 出荷業務を止めないランサムウェア対策

第4章 サイバーテロ被害を前提としたレジリエンス経営の方法論(NIST × IEC 62443)

サイバー・レジリエンスは経営課題

サイバー脅威が高度・多様化する現在、サイバーセキュリティ対策はもはやIT部門だけの問題ではなく、企業戦略として経営に組み込むべき重要課題です。各国・業界のガイドラインでも、経営層の関与・ガバナンス強化が繰り返し強調されています。

例えば日本の経済産業省・IPAの「サイバーセキュリティ経営ガイドライン」では、サイバーセキュリティは経営者の責務と明記されています。経営者は自社のビジネス戦略やリスク環境を踏まえ、組織横断でレジリエンス(災害・攻撃・障害への耐性)向上の体制を構築・維持する必要があります。

その際、「どの資産/プロセスを守るべきか」「どの水準まで守るか」を明確にするために、米国NISTのサイバーセキュリティフレームワーク(CSF)と、産業制御システム向けの国際規格であるIEC 62443シリーズが重要な指針となります。

NIST CSF の要点

NIST(米国標準技術研究所)が策定するサイバーセキュリティフレームワーク(CSF)は、組織全体のサイバーリスク管理を体系化するための枠組みです(資料へのリンクは末尾参照)。2014年に初版が公開されて以来、官民問わず広く採用され、世界的にも標準的な指針となっていますauditboard.com

CSFは当初、5つの機能(Functions)「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」でサイバー対策を包括的にカバーしましたnvlpubs.nist.gov

最新のCSF 2.0(2024年公開)では、これら5機能の上位に新たに「統治(Govern)」機能が追加され、サイバー対策を企業のリスクマネジメント戦略に統合する役割が強調されています。Govern機能は、組織の事業戦略や組織体制、サプライチェーンまで含めてサイバーセキュリティを俯瞰し、経営層の意思決定や優先度設定を支援する枠組みです。

NIST CSFは技術対策の細部を指定するのではなく、「何を守るか」「どこまで守るか」という経営レベルの判断を組織全体で明確化し、共通言語として活用できる点が特徴です。経営者にとってCSFの主なメリットは次の通りです。

  • 共通言語の提供: サイバーセキュリティ対策の成熟度を評価・報告するための共通言語を提供し、経営層と現場のコミュニケーションを円滑にしますnist.gov

  • リスクベースアプローチ: ビジネスに重要な資産・プロセスを特定し、優先順位を付けて対策を講じることで、限られたリソースを効果的に配分できます。インシデント発生時にも、識別→防御→検知→対応→復旧のフローで迅速に対処できます。

  • 柔軟性・適用範囲の広さ: 業種や企業規模を問わず適用可能で、ISO/IEC 27001など既存規格との整合性も取れます。自社に合った目標プロファイルを設定し、現状との差分を把握して継続的改善のロードマップを描くことができます。

  • 経営視点(ガバナンス): 特に新設の「統治(Govern)」機能では、単に技術対策を実装するだけでなく、組織体制・事業戦略・サプライチェーン管理まで含む統合的なガバナンス体制が鍵となりますauditboard.com

NIST CSFは米国政府機関のみならず民間企業でも標準的なフレームワークとして機能しており、経営層はこれを活用して自社のサイバーリスクを俯瞰し、投資すべき領域を判断します。特に「識別(Identify)」と「統治(Govern)」のプロセスでは、ミッションや顧客、サプライチェーンなどビジネス文脈を踏まえた優先度付けが求められます。

IEC 62443 シリーズの概要と IEC 62443-2-1

IEC 62443(ISA/IEC 62443とも呼ばれる)は、産業用オートメーションおよび制御システム(IACS:Industrial Automation and Control Systems)、つまりOT(Operational Technology)環境を対象としたサイバーセキュリティ規格群ですen.wikipedia.org。工場やプラント、発電所、送電・鉄道などのインフラにおける制御ネットワーク・装置に対して、ITとは異なる運用・寿命・安全性・可用性の要件下でセキュリティ要件を体系化しています

IEC 62443シリーズでは、資産オーナー(Asset Owner)、製品サプライヤー(Product Supplier)、サービスプロバイダーなど、制御システムに関わる主要なステークホルダーそれぞれに求められる役割・責任・要件を定義していますisa.org。規格は大まかに以下の分野をカバーします。:

  • 用語・概念(Part 1-1): 共通用語やセキュリティモデルを定義。

  • ポリシー・手順(Part 2シリーズ): セキュリティ管理プログラムや組織体制、プロセス要件を規定(Part 2-1は資産オーナー向け)。

  • システム要件(Part 3シリーズ): リスクアセスメント手法やシステム設計のガイダンス、ゾーン&導管によるシステム分割、セキュリティレベル(SL)設計など。

  • 製品/コンポーネント要件(Part 4シリーズ): ハードウェア・ソフトウェアなど部品ごとのセキュリティ要件。

また防御層構造(ゾーン&導管)やセキュリティレベルといった概念が盛り込まれ、多層防御(Defense-in-Depth)の考え方を反映していますen.wikipedia.org。IEC 62443はIACSセキュリティを横断的に扱う「横断規格」として、UNや20以上の産業分野で採用されており、汎用横断規格(Horizontal Standard)として認知されていますisa.org

IEC 62443-2-1(資産オーナー向けセキュリティプログラム要求)

シリーズ中の「IEC 62443-2-1」は、制御システムを運用・所有する資産オーナー(例:電力・鉄道・プラント事業者)向けに、稼働中のIACSに対するセキュリティプログラムを策定・実施・維持・改善するための方針および手順要求(Policies & Procedures)を規定した規格ですindustrialcyber.co。初版は2010年発行(ISA版、IEC版)、2024年8月にはEdition 2.0が発行されました

2024年版では、以下の改訂ポイントが特に強調されています:

  • 要求のモジュール化(セキュリティプログラム要素:SPEs): 要求項目を細分化し、資産オーナーが自社に必要な要素だけを選択・実装できる構造に再構成

  • OT固有要求の強化: 従来ISMSと重複しがちだった部分は整理・削除し、制御システム特有の要件に焦点を当てています

  • レガシー対応と補償策の明示: 20年以上稼働する長寿命機器やサポート終了・パッチ不能なソフトウェアが前提とされ、必要に応じて補償的対策(技術的対策が適用できない場合の代替策)をプログラムに組み込むことが明示されています

  • 実装非依存要求形式: 資産オーナーが具体的な技術に依存せず要件を満たせるよう、要求形式が実装非依存的に記述されました。

  • 下流流用(Flow-down)規定: 資産オーナーが製品サプライヤーやサービスプロバイダーに対してセキュリティ要件を委譲(流し込み)できるよう、役割分担や要求の流用方法を定めています

資産オーナー企業にとってのポイント

IEC 62443-2-1の本質は「技術的対策(PLCのパッチ管理やファイアウォール設定など)ではなく、組織として何を満たすべきか」にあります。具体的には、情報セキュリティ方針の策定、資産インベントリ管理、変更管理、事故対応手順、継続的改善体制の整備などが含まれます。主な留意点は次の通りです:

  • 組織的要件重視: 本規格は組織の方針や手順を中心に規定するため、経営・管理レベルの準備が不可欠です。実際の設備操作や技術対応は、あくまでこれらの方針に従って行われます

  • サプライチェーン管理: 取引先企業や外注先、サービスプロバイダーもセキュリティプログラムの範囲に含まれます。規格は資産オーナーがベンダー等に具体的な要件を示し、セキュリティ責任を共有できるようガイドしています

  • 継続的改善(PDCA): 単発の対策ではなく、継続的に運用・レビュー・改善を行う体制が求められます。改訂版では「成熟度モデル(Maturity Model)」も導入されており、段階的な改善計画の策定が推奨されています

  • レガシー対応の理解: OT環境では「停止できない制御系」「サポート終了製品」など制約が多いため、すべてを最新技術でカバーするのは困難です。経営層も、このような現実を踏まえ、技術的に実施困難な部分には代替策(補償策)を織り込む現実的設計が必要であることを理解すべきです

経営者・管理者は、自社が資産オーナーとしてIEC 62443-2-1の対象であるか認識し、以下を実行する必要があります:

規格で示されるセキュリティプログラムの要素(方針/手順/実施/維持/改善)を自社に適用し、技術対策だけでなく組織・手続き・サプライヤ管理を含めたセキュリティ体制を構築すること。そして、レガシー環境を前提にした補償策の活用や、継続的な見直し・改善を組み込んだ運用設計を行うことです

NIST CSF と IEC 62443 の統合的活用

NIST CSFとIEC 62443は、それぞれ異なる視点から企業のサイバーセキュリティを支援するフレームワークです。NIST CSFは企業全体のリスク管理とガバナンスを提供するハイレベルな枠組みである一方、IEC 62443は産業制御システム(IACS/OT)向けに詳細なセキュリティ要件を提供しますinsanecyber.com

米国CISA(シサ)は、クロスセクターのサイバーセキュリティ目標(CPGs)でNIST CSFと併せてISA/IEC 62443-2-1、-3-3をほぼ全カテゴリで参照するなど、両者を組み合わせた適用を推奨していますwiseplant.com

このように「組織レベルの統治+制御システムレベルの実装」というハイブリッドなアプローチは理にかなっており、多くの組織でも両者の要素を組み合わせて活用する事例が報告されています

具体的には、NIST CSFを全社的ガバナンスやリスクマネジメントに用い、ISA/IEC 62443を工場・プラント等のOTセキュリティ対策に適用することで、広範かつ多層的な防御体制を構築できます

ただし、ITとOTには運用文化・要件が大きく異なる面もあり、「両者併用で完全に一貫してカバーできる」わけではありません。その点は留意が必要で、あくまで理想的な統合方向として認識しつつ、自社環境に即した工夫を図ることが望まれます。

海外企業の事例

理論だけでなく、実際にこれらのフレームワークを活用した企業の事例を見てみましょう。

米国ではNIST CSFの導入が官民問わず進んでおり、IEC 62443も工場・インフラで参照されています。

例えば、ある全米規模の発電会社では、OT環境のセキュリティ強化の指標としてNIST CSFを採用しました。この企業では以前からIT分野の対策を進めていましたが、OT側は可視化や成熟度評価が課題でした。CEOやCFOが「サイバー投資の効果を数値で示したい」と考え、全プラントでNIST CSFに基づく成熟度評価を実施しましたrockwellautomation.com

調査の結果、資産管理や予防的防御、脅威検知・復旧などの分野に大きなギャップが判明し、経営陣はこれを根拠に対策強化に投資しました。

その結果、導入から18カ月後には全カテゴリでNIST CSFの成熟度スコアがほぼ倍増し、OT資産のリアルタイム可視化や脆弱性情報の一元管理を実現しました定量的な指標で進捗を示せたことで、取締役会もサイバー投資の必要性を理解しやすくなりました。これにより、経営主導でフレームワークを導入しPDCAを回した取り組みが、インシデント時の被害最小化と事業継続性の向上に直結する好例となりました

また別の事例では、早期から厳格なアクセス制御・パッチ適用・リアルタイム監視を実践していた重要インフラ事業者が、標的型攻撃を受けても短時間で脅威を検知・遮断しダウンタイムを最小化したケースが報告されています。一方、構成管理や更新を怠っていた組織では既知の脆弱性を突かれて深刻な被害を受けるケースもあります。これらは、事前の備えとフレームワークに沿った継続的改善の重要性を示しています。

※ 日本企業でも、電力・ガス等のインフラ事業者や大手製造業を中心にNIST CSFやIEC 62443の参照導入が進んでいます。例えばNEC社では、自社と顧客双方を守るガバナンス体制を整備し、経営会議で年2回方針承認を行う仕組みを設けるなど、サイバー対策を経営戦略に組み込む取り組みが行われています※jpn.nec.com。)

設計段階から組み込む耐障害性

レジリエンス経営では、設計段階から耐障害性(フォールトトレランス)を組み込むことが重要です。従来の対策は問題発生後の後付けになりがちでしたが、災害・障害を想定した準備を平常時から組み込むことが求められます。ここでは、製造システム(OT)、ITシステム、物流(サプライチェーン)の3分野について具体例を挙げます。

  • 製造システム(OT): 工場の生産ラインやプラントの制御系では、人命・環境・安全が直結するため「フェイルセーフ設計」が鍵です。制御ソフトに異常時の自動停止ロジックを組み込んだり、センサーや通信異常時に予備系統へ切り替わる冗長化構成を採用したりします。また、多層防御の考え方で、現場ネットワークをゾーン分割して各ゾーン間にファイアウォールを設ける、制御ネットワークと事務ネットワークを分離する、制御機器に堅牢な認証・権限管理を適用するといった対策が検討されますen.wikipedia.org。さらに、定期的な訓練やテストも設計プロセスの一環です。デジタルツインやシミュレータを使って攻撃や故障を模擬し、対処手順を洗い出し改善することで、未知の異常にも安全停止・迅速対応できる体制を作ります。OT領域では「平常時にどれだけ異常時のシナリオを想定・組み込めるか」がレジリエンスの鍵となります。

  • ITシステム: 企業の基幹系システムやクラウドでは、「高可用性アーキテクチャ」を基本に設計します。サーバやネットワーク機器はクラスタリング・二重化し、一方障害で他方へ自動フェイルオーバーする仕組みにします。データセンターも地理的に複数拠点に分散配置し、可用性ゾーンを跨いで稼働可能な冗長構成を採用します。バックアップ計画も平時から明確化し、重要データはオフサイトへ定期バックアップしランサムウェア対策として書き込み不可形式(WORM)で保管します。事業継続計画(BCP)や災害復旧計画(DR計画)も策定し、復旧優先度や代替手段(バックアップサイト起動や手動運用への切替など)をあらかじめ定めて演習しておきます。近年はベンダーや技術への過度依存も避ける設計が重視され、マルチクラウド構成や標準技術の採用で冗長性を確保します。IT設計では「何が止まったら致命的か」を洗い出し、それぞれに代替策を用意することで、一部障害時にも事業影響を局所化します。

  • 物流・サプライチェーン: 企業活動を支える物流網やサプライチェーンでも、単一拠点・単一路線への依存を避ける設計が基本です。在庫を複数地域の倉庫に分散し、輸送経路も複線化して代替ルート・代替手段を確保します。例えば、主要製品の倉庫を一拠点に集中せず分散配置し、どこかで障害が起きても他拠点から供給を維持できるようにします。また重要部品や原材料の調達先は複数を確保するマルチソーシング戦略を採り、一社停止で全生産が止まるリスクを低減します。近年はサプライチェーン可視化も進み、ティア1~3など下流まで含めたサプライヤー構造を把握し、ボトルネックや単一点障害の有無を分析します。必要に応じて予備在庫を確保したり、新規取引先を開拓したり、契約に非常時優先供給条項を盛り込むなど対策を講じます。このように物流・調達でも「平時の設計・契約で非常時の対応力を仕込む」ことがレジリエンス向上のポイントです。

以上のように、OT・IT・物流それぞれで耐障害性を織り込むことで、企業は「予期せぬ事態にも折れない経営」を実現できます。多層防御、冗長化、可視化、事前計画と訓練。これらは分野は違えど共通するキーワードです。経営者は平時から各部門にこの考え方を浸透させ、最悪シナリオを想定した準備を主導する必要があります。

参考文献

今泉 大輔 2025/10/19 17:32:53 Comment(0)