「72時間との戦い」: CIRCIAインシデント報告の実務プロセス 第4回 作成日
要約 第4回 CIRCIA解説の狙いCIRCIAは重大なサイバーインシデント発生から72時間以内、ランサムウェア身代金支払いは24時間以内の報告を義務付けています。本稿では報告パッケージの必須項目、EDR・SIEM・SOCによる検知体制、IEC 62443-4-2に基づく製品設計要件(監査ログ・ログ保護・時刻同期)、米国CIRCIAと欧州CRAの比較、第2245条による報告企業保護規定を解説します。
目次 はじめにその「共通言語」は有事に機能するか 前回(第3回)では、国際規格であるIEC 62443を軸として、日米欧のサイバーセキュリティ規制を統合的に攻略する考え方について解説しました。第4回となる本稿では、米国市場において2026年からの運用開始が見込まれる「CIRCIA(重要インフラサイバーインシデント報告法)」の核心部分である「インシデント報告の実務」に焦点を当てます。
CIRCIAは、対象となる重要インフラ事業者が「重大なサイバーインシデントが発生したと合理的に判断してから72時間以内」にCISA(サイバーセキュリティ・インフラセキュリティ庁)へ報告することを義務付けています。また、ランサムウェアの身代金を支払った場合には「24時間以内」という、さらに短期間の報告が求められます。
この報告義務は、直接的には米国の重要インフラ事業者が負うものですが、そのサプライヤーである日本の装置・機械メーカーにとっても無関係ではありません。顧客が72時間以内に正確な報告を行うためには、装置側で「何が起きたのか」を迅速に特定し、技術的なエビデンスを提供する体制が不可欠となるためです。
本稿では、この時間的制約の中でどのような情報を揃えるべきか、そのために必要な組織体制と、製品側に求められる技術要件を整理します。
1. 72時間報告パッケージに含めるべき必須項目 CISAへの報告(CIRCIA第2242条)において求められる情報は、単なる被害報告にとどまりません。事後解析や他組織への注意喚起に活用できる具体的な情報が要求されます。
表1: CIRCIAにおける主要な報告項目 項目カテゴリ 具体的な内容 備考 対象システムの識別 影響を受けたデバイス、ネットワーク、および機能の説明 装置の型番、シリアル、接続環境など 不正アクセスの内容 可用性や制御機能の中断、データの侵害状況の詳細 物理的な動作への影響範囲を含む 発生時期と継続性 インシデントの推定開始時期と、現在の状況 継続中か収束済みか 攻撃手法(TTPs) 悪用された脆弱性、セキュリティ対策の回避手法 戦術・技術・手順の特定 攻撃者の情報 判明している範囲での攻撃主体に関する情報 IPアドレス、ドメイン、攻撃グループの特徴等 被害の影響度 不正取得された情報の種類、組織運営への具体的な影響 製造ラインの停止期間など
特に装置メーカーが顧客から求められるのは、「攻撃手法(どの脆弱性を突かれたか)」と「影響範囲の特定」です。これらを短時間で回答するためには、平時からの準備が重要になります。
2. インシデント検知を支える技術基盤EDR、SIEM、SOC 72時間という期限は、インシデントを「検知」した時点から始まります。しかし、実際には攻撃を受けてから数週間、数ヶ月間も気づかないケースが少なくありません。検知の遅れは報告期限の超過に直結します。
EDR(Endpoint Detection and Response)の役割 装置を構成する制御PCやサーバーにおいて、個々の端末(エンドポイント)の挙動を詳細に監視するのがEDRです。従来のウイルス対策ソフト(EPP)が「既知のマルウェアを止める」ことを目的とするのに対し、EDRは「不審な挙動を検知して記録する」ことに特化しています。これにより、未知の脆弱性を突いた攻撃であっても、その予兆を早期に掴むことが可能になります。
SIEM(Security Information and Event Management)による相関分析 大規模な工場やプラントでは、多数のデバイスから膨大なログが生成されます。SIEMは、これら複数のデバイスやネットワーク機器のログを統合し、相関分析を行う仕組みです。単一のログでは見逃してしまうような断片的な攻撃の兆候を、全体像として捉えるために不可欠なツールとなります。
SOC(Security Operations Center)による判断 EDRやSIEMが発するアラートに対し、それが「報告すべき重大なインシデント(Covered Cyber Incident)」か、あるいは「誤検知」かを判断するのがSOCです。自社で24時間365日の監視体制を構築するのが困難な場合は、外部のマネージドSOCサービスを利用することが現実的な選択肢となります。
3. 設計段階で考慮すべき「解析に耐えうる製品」の要件 インシデント報告の質は、製品の設計段階で決まっています。国際規格IEC 62443-4-2(製品へのセキュリティ要件)をベースに、報告義務を果たすために不可欠な技術要件を具体化します。
監査ログの記録(CR 2.8) 誰が、いつ、どの特権命令を実行したかを記録します。特に「設定変更」や「ファームウェアの書き換え」のログは、攻撃手法(TTPs)を特定する際のエビデンスとなります。
この要件(CR 2.8)では、以下の内容が規定されています:
記録すべきイベントの内容: 対象カテゴリ: ログの保護(CR 2.11、CR 2.12、CR 3.4) 攻撃者は、自らの足跡を消すためにログファイルを削除・改ざんしようとします。そのため、ログを「書き換え不能(WORM)」な領域に保存する、あるいはネットワーク経由で外部のセキュアなサーバーへリアルタイムに転送する機能が、証跡保全の鍵となります。
IEC 62443-4-2におけるログ保護の要件を以下の3つの側面で要約しています。
時刻の正確性(CR 2.11): 否認防止(CR 2.12): 完全性の維持(CR 3.4 RE 1): 時刻同期(CR 2.11) 複数の装置やシステムにまたがる攻撃の全容を解明するには、全てのログのタイムスタンプが正確に同期されている必要があります。装置単体で時刻を保持するのではなく、NTP(Network Time Protocol)等による時刻同期機能を実装しておくことは、72時間以内のタイムライン構築において必須の要件です。
IEC 62443-4-2において、「時刻同期(Time synchronization)」を具体的に要求しているのは CR 2.11 の拡張要求(Requirement Extension)である CR 2.11 RE 1 です。
詳細は以下の通りです:
CR 2.11(Timestamps): CR 2.11 RE 1(Time synchronization): この要件は、システム全体でログの前後関係を正確に把握し、インシデント発生時の調査を可能にするために不可欠なものとして定義されています。
4. グローバル規制の統合管理米国CIRCIAと欧州CRAの比較 工作機械や船舶装置をグローバルに展開するメーカーにとって、米国と欧州で別々の報告フローを構築することは極めて非効率です。欧州のサイバーレジリエンス法(CRA)においても、脆弱性の悪用やインシデントについて「24時間以内の早期警告」と「72時間以内の詳細報告」が求められます。
両規制の主な共通点と相違点を整理します。
共通点: 相違点: CIRCIA: CRA: 実務上の解決策は、第3回で解説したように、IEC 62443に基づいた「共通エビデンス管理」を構築することです。単一の解析基盤から、米国用(CIRCIA形式)と欧州用(CRA形式)の報告書を効率的に出力できる体制を整えることが、開発コストの抑制につながります。
CIRCIA(米国)とCRA(欧州)には、報告先や目的以外にも、実務上の戦略を大きく左右する決定的な違い がいくつか存在します。
4.1. 報告対象となる「事象」の定義範囲 CRA(製品軸): 「悪用された脆弱性(Exploited vulnerability)」 に焦点を当てています。つまり、実害が出る前であっても「穴」が悪用された時点で報告義務が生じる「製品セキュリティ」の側面が強い規制です。CIRCIA(事業軸): 「重大なサイバーインシデント(重大な運用の停止、機密情報の窃取など)」 が対象です。製品の欠陥というより「事業継続への影響」がトリガーとなります。4.2. 罰則規定の強制力と執行力 CRA: 「最大1,500万ユーロまたは全世界年間売上高の2.5%」 という、GDPRに近い高額な制裁金が科される可能性があります。CIRCIA: 4.3. 「デジタル製品」の範囲と自己宣言 CRA: 「すべてのデジタル要素を備えた製品」 が対象であり、おもちゃから産業用機器まで網羅されます。また、製品の重要度(Criticality)に応じて、自己宣言で済むのか、第三者認証が必要かが厳格に分かれています。CIRCIA: 「組織としての報告体制」 を問うものです。4.4. 報告データの「再利用」の制限(秘密保持) CIRCIA: 第2245条 により、報告内容を他の規制当局が制裁に転用することを禁じる強力な法的保護があります。CRA: メーカーが意識すべき違い CRAは「製品を売るためのパスポート(適合性)」 のルールであり、CIRCIAは「米国で事業を続けるためのライセンス(組織の誠実性)」 のルールと言えます。IEC 62443のPCLを共通基盤にしつつも、CRA用には「脆弱性解析の速報」、CIRCIA用には「事業影響の評価」という異なるアウトプットの準備が必要です。
5. 報告企業を保護する仕組み第2245条(Section 2245)の重要性 CIRCIAは企業に重い報告義務を課す一方で、報告を躊躇させないための強力な保護規定を設けています。それが第2245条(SEC. 2245)です。
この条項には、報告内容に関する以下の保護策が明記されています。
民事訴訟からの免責(Liability Protection): 情報公開法(FOIA)の適用除外: 規制目的での利用禁止: これらの保護を確実に受けるためには、規定された時間内に、誠実に情報を共有することが大前提となります。
※ CIRCIAの報告義務を定める最終規則(Final Rule)の施行予定が2026年5月 とされているためです。現状では、この条文第2245条(Section 2245) は「今後運用が開始される際の制度的な約束事」という段階にあります。 6. 実務的なインシデント対応フロー検知から更新報告まで インシデント発生後の初動から報告までの標準的なタイムラインは、以下のように設計するのがよいでしょう。
0時間〜24時間: 初動・トリアージ EDR/SIEMによるアラート検知。SOCによる緊急度判定。 顧客(重要インフラ事業者)への連絡。ランサムウェアの場合は24時間以内の支払い報告準備。 24時間〜72時間: 解析・第一報 PSIRT(製品セキュリティインシデント対応チーム)による一次解析。 影響範囲の特定と、判明している事実に基づくCISAへの第一報。 その後: 更新報告(Supplemental Report) 解析の進展により新たな事実(真の原因、侵入経路の詳細など)が判明した場合、または事態が収束した際に「更新報告」を行います。CIRCIAでは、重要な情報の変化があった場合、速やかに報告を更新することが求められています。 CIRCIA(重要インフラのためのサイバーインシデント報告法)において、ランサムウェアの「身代金支払い」が発生した場合、報告期限は通常の72時間から24時間以内 へと大幅に短縮されます。
ランサムウェア対応フロー: 検知から支払い報告・更新報告まで 0時間〜24時間: 超短期的初動・支払い報告 事象の特定と意思決定: CISAへの支払い報告(Ransom Payment Report): 24時間以内 にCISAへ報告を行います。この報告には、支払った金額、通貨、受取人の情報(暗号資産アドレス等)、および支払いの理由などを含める必要があります。24時間〜72時間: インシデント全容報告 被害状況の精査: 72時間以内 にその詳細を報告します。共同報告の活用: その後: 更新報告(Supplemental Report) 情報の追記: 事態の収束報告: 実務上の注意点(2026年時点) CIRCIAの最終規則は2026年 に施行される予定です。ランサムウェア攻撃においては、攻撃そのものの報告(72時間)と、支払いの報告(24時間)という2つの異なる時計 が動くことになるため、法務・CSIRT/PSIRT間での迅速な連携体制が不可欠となります。
7. ICS研究所がコンサルする場合 ここに上げている項目を、さらにIEC 62443-4-1(プロセス)とIEC 62443-4-2(技術要件)で定義されるPCL(Product Compliance List: 製品適合性リスト)として整理していきます。
CIRCIAの「72時間報告」を完遂するには、製品設計段階のPCL(適合性リスト)が鍵となります。
まとめと次回の展望 CIRCIAが求める72時間報告は、単なる法制度の遵守にとどまらず、製造業における「品質保証」の概念をサイバーセキュリティ領域まで拡張することを意味しています。
装置が故障した際に応急処置と原因究明を行うのと同様に、サイバー攻撃を受けた際にも、技術的な事実に基づいた迅速な報告が求められる時代になりました。
ここで重要となるのは、「インシデントが発生してからログの取り方を考えるのではなく、設計段階でログを出す仕組みを入れておく」という、セキュリティ・バイ・デザインの考え方です。
次回の第5回では、本稿で触れたインシデント報告の「前提条件」となる、製品への具体的な実装技術について解説します。SBOM(ソフトウェア部品表)を用いた脆弱性管理や、セキュアアップデートの実装、そして海事(UR)や半導体(SEMI)といった業界固有の要件を、どのように製品設計に落とし込むべきかを詳述します。
ICS研究所からのご案内 本連載で解説しているCIRCIAやCRAへの対応は、組織的な体制整備と高度な技術実装の両面が求められます。ICS研究所では、IEC 62443に基づいた製品セキュリティ体制(PSIRT)の構築支援や、人材教育のためのeラーニングプログラム「eICS」を提供しています。グローバル市場でのコンプライアンス対応にお悩みの際は、ぜひご相談ください。
この記事は役に立ちましたか? JavaScriptを有効に設定してからご利用ください
ICS研究所は、製造業のためのセキュリティ認証と人材育成のスペシャリストです。
ICS研究所は、制御システムセキュリティ対策(IEC62443等)の
CIRCIA(米国重要インフラ向けサイバーインシデント報告法) の準備や対応に関する 