IEC 62443という共通言語 ― OTコンプライアンス実務ガイド

なぜ「束ねる」必要があるのか

同じOT現場に出どころの違う3つの宿題が同時に降ってくる

NIS2・CRA・NIST CSF は、対象も主語も異なります。だからといって別々に対応すると、現場は同じアクセス制御・ログ・暗号化の要件を、三度書き直すことになります。

NIS2

工場運営者＝資産所有者

事業者に課されるセキュリティ運用の義務。アクセス制御・MFA・ログ整備を「組織として」回す責任。

CRA

EU向け OEM ＝製品供給者

接続機能を持つ製品に課される証跡要件。サプライチェーンを通じた「製品としての」説明責任。

NIST CSF 2.0

横断する統制言語

規制ではなく、両者を測る共通の物差し。PR.AA・PR.IR・PR.PS といった統制で現場を記述する。

本ガイドの中核

同じ統制を3つの「規制語」で読み解く

IEC 62443 を共通言語に据えると、ひとつの技術的統制が、NIS2 の条文にも・CRA の証跡にも・NIST CSF の機能にも同時に対応していることが見えてきます。「翻訳表」を持てば、対応は三重化しません。

NIS2Art.21 アクセス制御

CRA安全なアクセス機構

NIST CSFPR.AA

最小権限・MFA付きリモートアクセスIEC 62443-4-2 / CR 1・2 系

NIS2暗号化の要請

CRA通信の機密性

NIST CSFPR.PS / PR.IR

暗号化された経路・セグメント分離IEC 62443-4-2 / CR 3・4 系

NIS2ログ・監査

CRA記録の保全

NIST CSFDE.CM

監査ログ・セッション記録IEC 62443-4-2 / CR 6 系

※ 規格アライメントで得られるのは「重複を減らし、証跡を再利用できる」こと。一度の実装で法令適合が完了するわけではありません。詳細な責任の線引きは下記をご覧ください。

IEC 62443 に基づく責任分担

正直に線を引くことが説明責任を守る

「製品を入れれば終わり」と書かないのは、誠実だからではなく、それが経営層を守るからです。どこまでが Secomea の領分で、どこからがお客様の領分かを、はじめに線引きします。

Secomea が担う（製品サプライヤ／保守事業者）

リモートアクセスの技術的措置

最小権限・MFA を前提としたセキュアリモートアクセス
暗号化された通信経路とセグメント分離
接続のログ・監査証跡（誰が・いつ・何に）
Secomea Cloud / GateManager 運用部分の保守責任

製品について断定できるのは能力としてのセキュリティレベル（SL-C）まで。達成 SL（SL-A）はシステム全体（SuC）で決まります。

お客様が担う（資産所有者）

システム全体の組織的・運用責任

リスクアセスメントと目標 SL（SL-T）の設定
装置・ネットワーク全体（SuC）の設計と統合
規制対応の最終判断・監査人/認証機関への対応
経営層の説明責任（製品に委譲できない領域）

システム全体の説明責任は資産所有者に固定され、製品では肩代わりできません。FR別の詳細な線引きは本ガイドで解説します。

本ガイドの構成／全29ページ

読んだ翌日から稟議と要求仕様に使える

01

3規制の地図NIS2・CRA・NIST CSF の対象と主語の違いを1枚で

02

IEC 62443 という共通言語規格が「翻訳表」として機能する仕組み

03

統制の翻訳マトリクス1つの統制 ↔ 3つの規制語の対応表

04

責任分担モデルFR別に「ベンダー／共同／お客様」を線引き

05

セキュリティレベルの実務SL-C / SL-T / SL-A を取り違えないために

06

稟議・要求仕様テンプレートそのまま社内で使える補足資料