NIS2指令への対応を
Secomeaが支援する
EU NIS2指令が製造業・重要インフラに求めるサイバーセキュリティ要件。主要事業体・重要事業体の区分、第21条の10対策、10ステップロードマップ、Secomeaの機能マッピングまで解説します。
なぜ日本の製造業に関係するのか
EUの法律が、 日本では「取引条件」になる。
NIS2 が直接課されるのは EU 域内の事業者。だが規制の圧力はサプライチェーンを伝い、日本のメーカーには「取引の前提条件」として到達する。
論点は「EU法が及ぶか」ではない。
「取引を続けられるか」だ。
日本市場の実態
在欧日系企業の 54.7% が EU のサイバーセキュリティ法規制に注目
「取引条件として届く」は抽象論ではない。EU と取引する日系製造業は、すでにこの規制圏を注視している。
出典:JETRO「2024年度 海外進出日系企業実態調査(欧州編)」(561社・複数回答)。「EUのサイバーセキュリティ法規制」全般(NIS2・CRA 等を含む)への注目度であり、母集団は在欧日系企業。
規制の概要
NIS2指令とは
NIS2(Network and Information Security Directive 2)は、EUのサイバーセキュリティに関する指令です。エネルギー・交通・製造業・デジタルインフラ等の重要分野を対象に、セキュリティリスク管理・インシデント報告・サプライチェーンセキュリティ等の要件を定めています。
2024年10月にEU加盟国での国内法化が義務付けられ、違反した場合は売上高の一定割合に相当する制裁金が科される可能性があります。
NIS2の主な対象分野
適用対象の判定
自社はNIS2の対象か──主要事業体と重要事業体の区分
NIS2指令の適用対象となるのは、附属書I(高度に重要なセクター)または附属書II(その他の重要なセクター)に属し、かつ規模要件(従業員50人以上、または年間売上高1,000万ユーロ超)を満たす企業です。
製造業(医療機器・電子機器・電気機器・機械・自動車・その他輸送機器、NACE C26-30)は附属書II=重要事業体に分類されます。ただし医療機器・医薬品の製造は附属書I(健康分野)側で主要事業体となる場合があり、また所管当局がサプライチェーン上の重要性を根拠に重要事業体を主要事業体へ昇格させることもあります。
Secomeaは、世界8,000社以上の製造業・機械メーカーで採用されているOT専用のセキュアリモートアクセスソリューションです。
重要事業体に分類される製造業企業が、リモートアクセスに関わるNIS2要件を体系的に満たすための基盤を提供します。
要件の全体像
NIS2が企業に課す3つの重点分野
NIS2指令が企業に求める要件は、大きく3つの重点分野に整理できます。
経営陣の関与・責任・教育
サイバーセキュリティリスク管理対策の承認は、経営陣の法的責任とされています。経営陣はこれらの対策の実施を監督する責任を負い、コンプライアンス違反があった場合には個人として法的責任を問われる可能性があります。所管当局は、違反が認められた場合、CEOやその他の法的代表者に対して経営上の職務遂行を一時的に禁止することができます。
加えて、経営陣にはサイバーセキュリティ研修の受講が義務付けられ、従業員にも同様の研修を定期的に提供することが推奨されています。
サイバーインシデント予防のための技術・運用・組織的対策
第21条に基づき、企業はリスクを管理し、サービス利用者への影響を防止または最小限に抑えるための適切かつ均衡の取れた対策を講じる必要があります。
- ・技術的対策:ファイアウォール、暗号技術、多要素認証、セキュアリモートアクセス等
- ・運用的対策:リスク管理・分析・軽減、危機管理、インシデント対応プロセス
- ・組織的対策:従業員研修、サイバーハイジーンの実践、セキュリティ文化の醸成
これらは「オールハザード・アプローチ」に基づき、自社のNISセキュリティに影響を及ぼし得るあらゆる想定可能な脅威を考慮して決定する必要があります。
インシデント発生時の報告義務
重大インシデントが発生した場合、企業は自国のCSIRT(コンピュータセキュリティインシデント対応チーム)または所管当局に対し、以下の報告義務を負います。
3つの重点分野すべてにおいて、Secomeaは具体的な貢献を提供します:
- 経営陣の責任 — 監査ログ・コンプライアンスレポートにより、経営陣が自社のセキュリティ状況を把握・報告できる基盤を提供
- 技術的対策 — OT環境特化のアクセス制御・暗号化通信・多要素認証・セッション監視を統合提供
- 報告義務 — 完全なセッション録画・操作ログにより、インシデント発生時の「誰が・いつ・何をしたか」を即座に把握可能
NIS2 第21条
第21条が求める10のセキュリティ対策
NIS2指令の中核となるのが第21条です。同条はサイバーセキュリティ対策として、少なくとも以下の10要素を含めることを企業に求めています。
これらの対策は「適切かつ均衡の取れた」ものでなければなりません。自社が直面するリスクの程度、企業規模、インシデントの発生可能性・深刻度を考慮して決定する必要があります。
所管当局による監査では、ファイアウォールの有無や特定ツールの導入状況が問われるのではなく、「なぜその対策を選んだか」「対策の有効性を継続的に評価しているか」を示す証拠が重視されます。
Secomeaは、第21条が求める10要素のうち、リモートアクセスとアクセス制御に関わる領域で具体的な技術的対策を提供します。
特に貢献度が高い領域:
- 要素④ サプライチェーン対策 — ベンダーアクセスの承認制・時間制限・装置単位の制御
- 要素⑨ アクセス制御・資産管理 — ロールベース権限管理・アクセス申請の承認フロー
- 要素⑩ MFA・安全な通信 — 2FA/MFA・SMS認証・SSO(Microsoft Entra ID/Okta)
実践ロードマップ
NIS2対応を進める10のステップ
NIS2コンプライアンスを段階的に達成するための実践的なステップです。詳細な実装手順とテンプレートはホワイトペーパー「NIS2コンプライアンスの完全対応ガイド」で詳述しています。
経営陣の承認・関与は、各ステップを通じて必須要件となります。リスク評価の承認、サイバーセキュリティ予算の確保、対策の最終決定は、経営陣の責任のもとに行われる必要があります。
Secomeaは特にステップ4(予防的対策)、ステップ5(インシデント対応)、ステップ10(文書化)において、OT環境に特化した機能群を提供します。
- ステップ4:予防的対策 — アクセス制御・MFA・暗号化通信を統合した基盤
- ステップ5:インシデント対応 — 機器のネットワーク遮断機能でマルウェア拡散を即座に阻止
- ステップ10:文書化 — 監査ログ・セッション録画が「何を実施したか」の証拠として機能
Secomeaの支援
NIS2要件 ── どこまでが Secomea、どこからがお客様か
NIS2 対応は、システム全体の設計・運用・組織的取り組みを含む包括的な義務です。Secomea が担うのはリモートアクセスに関わる技術的措置であり、要件ごとに「製品が担う領域」と「お客様が担う組織的・運用領域」に分かれます。
下表は NIS2 要件レベルの分界です。経営層責任・報告判断・サプライチェーン全体のガバナンスは、製品では委譲できないお客様(資産所有者)の領域に固定されます。
→ より詳細な線引き(IEC 62443 に基づく FR別 責任分担モデル)を見るマッピング表に示した機能はすべて、Secomea Primeプラットフォームで標準提供されています。
自社のNIS2対応状況を診断し、不足要件をSecomeaで補完する具体的な検討を進めるには、お問い合わせください。
Secomea自身の取り組み
信頼の構築──Secomea自身のセキュリティへのコミットメント
NIS2指令はサプライチェーンを構成する事業者の信頼性も評価対象とします。Secomeaは、製品開発の各段階で厳格なサイバーセキュリティ基準を順守し、以下の第三者認証・監査・取り組みでこれを裏付けています。
IEC 62443-4-1 認証取得(TÜV)
セキュアな製品開発ライフサイクル(産業オートメーション・制御システム向け国際標準)について第三者認証を取得
IEC 62443-4-2 準拠を実証
コンポーネント(製品)の技術セキュリティ要件について第三者監査により準拠を実証
ISAE 3402認証
内部統制の有効性に関する独立した監査人による証明
CVE番号割り当て機関(CNA)認定
デンマーク初・現在も同国唯一のCNA認定OTサプライヤー。自社製品の脆弱性管理プロセスの透明性を裏付け
これらの認証・取り組みは、Secomeaを採用する企業のNIS2対応におけるサプライチェーンセキュリティ要件(第21条④)の充足にも貢献します。
Secomeaを採用することは、自社のNIS2対応だけでなく、サプライチェーン全体のセキュリティ評価における信頼性向上にもつながります。