規制エコシステムの全体像
"指針1本"では終わらない
指針そのものは法律ではありません。しかし指針が定める対策は、
下にある2つの法律の審査と報告義務に組み込まれ、実際の強制力を持ちます。
サイバーセキュリティ戦略 / サイバーセキュリティ2025
国家戦略。重要インフラ防護の方向づけ。
重要インフラのサイバーセキュリティに係る行動計画
官民共通計画。15分野・任務保証・サプライチェーンを規定(2025年改定)。
安全基準等策定指針(2025年6月)— 法律ではない
政府が重要インフラ事業者向けに示す、セキュリティ対策の指針(=本ページでいう「指針」)。技術的対策5.4・遠隔制御・供給者管理がSecomeaのレーンとなるOTの核。
指針の対策は ここで"法的な義務"になる
経済安全保障推進法(基幹インフラ制度)
特定社会基盤事業者は、重要設備の導入時に委託先のセキュリティ等を含む事前審査を受けます。審査を通らなければ、設備を導入できません。
サイバー対処能力強化法
基幹インフラ事業者には、インシデント報告が法的に義務づけられ、違反には罰則があります。供給者・委託先も影響圏に入ります。
指針が"眠った文書"でない理由はここにある。技術的対策が、この審査と報告義務の土台として効きます。
まず、立ち位置を確かめる
あなたは、どちら側ですか
指定15分野の事業者
電力・ガス・化学・石油・水道・物流・港湾など。制度が「外部接続・遠隔保守の統制」を直接求める側。緊急度が高く、設備導入の審査・報告に直結します。
→ 訴求:制度が求める統制を、止められない現場のまま実装で満たす。
製造業・機械メーカー
15分野には含まれません。しかし指定分野へ装置を納め遠隔保守するなら、顧客の供給者管理を通じて「リモートアクセスをどう守っているか見せてほしい」と契約条項で求められる側になります。
→ 訴求:あなたの顧客が制度対象。求められたとき、証跡で即答できる状態をつくる。
※「製造業=重要インフラ事業者」ではありません。あなたの顧客が規制対象となり、その要求が契約を通じてあなたに及びます。
規制が、最も頭を悩ませる一点
外部接続・遠隔保守・
供給者アクセスの統制
指針が侵入口として名指しするクラスタ。複雑な規制群の中で、ここが最も頭の痛い一点です。
この一点こそ、Secomeaが正面から担える領域です。
遠隔制御の統制
誰が・いつ・どの装置へ。承認制・時間制限・装置単位の権限で過剰な接続を排除。
外部接続の可視化
乱立したVPN・各社ツールを一元化し、増え続ける入口を一つの統制下に。
供給者アクセスの管理
外部メーカー・保守業者の接続も承認フロー+証跡で。契約条項に応えられる状態に。
国も、国際規格で読めと言っている
政府の実装ガイドが、制御システムのリスク評価に
IEC 62443 を踏まえよと明記している。
リスクマネジメント等手引書(2025年7月)は、制御システムのリスクアセスメントにあたり IPA「制御システムのセキュリティリスク分析ガイド」・ISO/IEC 62443・NIST SP 800-82 を踏まえるとしています。 フレームワーク自体も NIST CSF・ISO/IEC 27001 をベースに構成されています。
つまり、NIS2・CRA(EU)も日本の重要インフラ規制も、同じ IEC 62443 という背骨で読める。法域が違うだけで、実装言語は一つに束ねられます。
「IEC 62443という共通言語」ガイドを見る正直な線引き
ここまでSecomea、ここから事業者
指針の対策は、組織的・人的・物理的・技術的の4つ。Secomeaが担うのは「技術的対策」の実装。残りは事業者の仕事です。「導入=対応完了」とは言いません。
Secomeaが実装で支える(技術的対策)
- ―最小権限・承認制アクセス(必要な人・装置・時間だけ)
- ―多要素認証(MFA)・SSO による本人確認
- ―完全な接続証跡・セッション録画(誰が・いつ・何を)
- ―分散した無人施設の一元管理・一貫ポリシー適用
- ―受信ポートを開けないアウトバウンド接続(OT特化設計)
事業者が担う(組織・人・運用)
- ―セキュリティ方針・体制の策定と経営の関与
- ―リスクアセスメント・定期レビュー(プロセス運用)
- ―人材育成・教育・訓練
- ―規制当局への報告手続き・審査対応の最終責任
- ―サプライチェーン全体の契約・統制設計
"どの段階か"で語られる
成熟度(ティア)を一段上げる実装基盤
政府の手引書は NIST CSF の成熟度ティア(Tier1〜4)で現状把握を促します。「対策はあるが運用化できていない(Tier2)」から「定期的に見直せる(Tier3〜)」へ。アクセス統制と証跡は、その引き上げの土台です。
Tier 1
場当たり的
Tier 2
整備済・運用化前
Tier 3
定期的に見直せる
Tier 4
文化として定着
8,000社以上
世界の導入実績
100,000+
ユーザ
IEC 62443-4-1
認証取得(TÜV)/4-2 第三者監査で準拠を実証
400,000台超
SiteManager 稼働
よくある質問
Secomeaを導入すれば、経済安保推進法の審査や規制対応は完了しますか?
製造業ですが、重要インフラ事業者ではありません。関係ありますか?
レガシーなSCADA・PLC、通信が不安定な遠隔施設でも使えますか?
出典・参考
本ページの規制・制度に関する記述は、以下の一次資料に基づきます(最終取得日を公開時に明記。指定事業者数・施行時期等は鮮度依存のため公開前に再取得して確定)。
- ▸安全基準等策定指針(2025年6月)・国家サイバー統括室「重要インフラ対策」 — cyber.go.jp/policy/group/infra/policy.html
- ▸重要インフラのサイバーセキュリティに係る行動計画(2025年改定)— cip_policy_2025.pdf
- ▸リスクマネジメント等手引書(2025年7月・制御システムのリスク評価でIEC 62443を踏まえる旨を記載)— rmtebiki202507.pdf
- ▸経済安全保障推進法 特定社会基盤役務(基幹インフラ)制度・内閣府 — cao.go.jp/keizai_anzen_hosho/suishinhou/infra/
- ▸サイバー対処能力強化法(重要電子計算機に対する不正な行為による被害の防止に関する法律・令和7年法律第42号)— 国家サイバー統括室「法令」 cyber.go.jp/law/lawlink.html(法令本文:e-Gov laws.e-gov.go.jp/law/507AC0000000042)