最新の米国サイバーセキュリティ規制「CIRCIA」とその影響を徹底解説

米国の新たなサイバーセキュリティ法「CIRCIA」に迫る

近年、国際的なサイバー攻撃が増加している中、米国では新たな規制「CIRCIA」が施行されました。
CIRCIA（重要インフラサイバーインシデント報告法）は、米国の重要インフラ事業者に対し、サイバー攻撃への迅速な報告を義務付けるもので、社会全体のセキュリティ強化を図るものです。

CIRCIAの概要と背景

CIRCIAは2022年に施行され、米国での重要インフラを守るための新たな取り組みとして注目されています。具体的には、サイバー攻撃を受けた際、72時間以内に報告することが求められ、違反した場合は厳しいペナルティが課される可能性があります。この法律の制定の背景には、SolarWinds社へのサプライチェーン攻撃やColonial Pipeline社へのランサムウェア攻撃などがあり、これらの深刻な事態を受けて、国家全体のサイバーセキュリティ体制の見直しが求められるようになりました。

この規制は、単なる法律にとどまらず、米国の産業界において「事後対応」の枠組みを求めるものとなり、企業はサイバーインシデントに迅速かつ効果的に対応しなければなりません。

報告義務化とその他のセキュリティ対策

CIRCIAの施行にともない、米国政府はさらに、EO14028という大統領令を発出し、「セキュリティ・バイ・デザイン」の実装を推進しています。これにより、政府調達を通じたサイバーセキュリティの向上が図られています。また、NIST（米国国立標準技術研究所）のCybersecurity FrameworkやSP800シリーズが、企業に必要な技術指針を提供し、CMMC（Cybersecurity Maturity Model Certification）がその準拠を認証する仕組みが整備されています。

日本の製造業への影響

CIRCIAが対象とする「重要インフラ」は、米国大統領政策指令PDD-21に定義されている16分野にわたり、半導体製造装置や工作機械、船舶機器など、日本が得意とする産業も含まれています。これらの製品が米国の重要インフラ事業者に供給されている場合、間接的にCIRCIAの影響を受ける可能性があります。

つまり、顧客が72時間以内に報告を行うためには、サプライヤー側も迅速に検知し連携する体制を構築する必要があり、グローバルな製造業界全体に新たな責任が生じています。これにより、日本の製造業もCIRCIAの影響を無視することはできず、新たなリスク管理が求められています。

IEC 62443と共通言語の重要性

ICS研究所では、CIRCIAやEUのCRA（Cyber Resilience Act）など、各地域の規制を国際規格IEC 62443という共通の枠組みで理解することを提案しています。このアプローチにより、各国の異なる要求に対して効率的に対応でき、製造業は一つのプロセスでマルチマーケットに対応することが可能です。

特に、ICS研究所のシニアコンサルタントである高橋氏は、「IEC 62443を中心に考えれば、米国のNISTや欧州のCRA、アジア市場も統合的に扱える」と述べています。

未来のセキュリティへの転換

国際的なサイバーセキュリティ規制は、製造現場や設計の最前線にも直接的な影響を及ぼしています。ICS研究所は専門的な情報を分かりやすく整理し、現場の人が自ら判断し行動できるよう教育を行っています。「守られる立場」から「自ら守る立場」への意識の転換こそが、持続可能な産業セキュリティの基盤であると考えています。これにより、日本の製造業が国際競争力を維持し、さらなる発展を遂げることが期待されています。

連載「CIRCIA解説」の今後

今後、ICS研究所では「CIRCIA解説」という新たな連載を展開予定です。
全8回にわたって、米国市場のニューノーマルやNIST SP800シリーズなど、製造業が準拠すべき技術標準について詳しく解説します。連載は公式サイト内「CIRCIA解説」特設ページで順次公開される予定です。

ICS研究所公式サイト

この取り組みにより、双方向の情報交換と理解を促進し、製造業界全体が国際規制に対応できるよう支援し続けます。