米国市場のニューノーマル
CIRCIA(72時間報告義務)と大統領令EO14028(SBOM提供義務)でサプライチェーン全体に対応を要求。
連載解説CIRCIAに、日本企業はどう対応すべきか?
NIST SP800シリーズ解剖
製造業が準拠すべき「技術標準」とは
※詳細は後日公開
日米欧の規制を貫く「共通言語」
IEC 62443による統合的アプローチ
※詳細は後日公開
72時間との戦い
CIRCIAインシデント報告の実践プロセス
※詳細は後日公開
サイバーレジリエンスの製品実装とSBOM
装置に組み込むレジリエンス設計とサプライチェーン管理
※詳細は後日公開
業界対応(1)
半導体製造装置、工作機械における実装の勘所
※詳細は後日公開
業界対応(2)
船舶・海事における実装の勘所
※詳細は後日公開
攻めのコンプライアンス最終章
第三者認証が拓くビジネスの未来
※詳細は後日公開
次回のCIRCIA解説は?
NIST SP800シリーズ解剖: 製造業が準拠すべき「技術標準」とは
米国市場を揺るがす新たな規制「CIRCIA」
米国では、SolarWinds社へのサプライチェーン攻撃やColonial Pipeline社へのランサムウェア被害など国家規模でのサイバー脅威が高まっていることも後押しし、多層的な法整備が進んでいます。CIRCIAは、サイバーインシデントの「事後対応」を報告義務化することで、米国政府が迅速に把握し、国全体のサイバーセキュリティ態勢を強化することを目的としています。
米国市場で事業を展開する日本の製造業にとっても避けて通れない規制となります。
- CIRCIA法成立
※バイデン大統領が署名。この時点では具体的な報告ルールは未定 - 規則案(NPRM)を連邦官報に公表
※2024年7月3日までパブリックコメント受付 - 最終規則の公表期限
※NPRM公表から18ヶ月以内に最終規則を公表する義務(現在期限経過) - 報告義務の開始
※最終規則が発効次第、72時間・24時間報告義務が法的義務として開始
CIRCIAの全体像をまず知りたい!
CIRCIAと大統領令EO14028:「予防」と「事後対応」の2大潮流を理解する
CIRCIAによるインシデント報告義務と大統領令EO14028によるSBOM提供義務が、製造業のサプライチェーン全体にどう影響するのか。重要インフラ16分野の定義、NISTの技術指針の役割、そして日米欧の規制を統合的に攻略するIEC 62443の戦略的活用法を解説します。
あなたの会社は、CIRCIAの対象事業者か?
CIRCIAが対象とする「重要インフラ」は、米国大統領政策指令PDD-21に基づく16分野に及びます。その中には半導体製造装置、工作機械、船舶機器など日本が得意とする産業が含まれており、これらの製品が米国の重要インフラ企業に納入されている場合、間接的にCIRCIAの影響を受ける可能性があります。
サプライヤー側にも迅速な検知・連携体制が求められ、グローバル製造業全体に新しい責任構造が生まれています。
米国大統領政策指令PDD-21に基づく重要インフラ16分野
- 化学 (Chemical)
- 商業施設 (Commercial Facilities)
- 通信 (Communications)
- 重要製造業 (Critical Manufacturing)
- ダム (Dams)
- 防衛産業基盤 (Defense Industrial Base)
- 救急サービス (Emergency Services)
- エネルギー (Energy)
- 金融サービス (Financial Services)
- 食料・農業 (Food and Agriculture)
- 政府施設 (Government Facilities)
- 医療・公衆衛生 (Healthcare and Public Health)
- 情報技術 (Information Technology)
- 原子力(原子炉、材料、廃棄物) (Nuclear Reactors, Materials, and Waste)
- 輸送システム (Transportation Systems)
- 水・廃水システム (Water and Wastewater Systems)
CIRCIAへの対応に必要な事項
CIRCIAにより、対象事業者には以下の法的報告義務と実務的準備が求められます。最終規則の発効後、報告義務は法的拘束力を持ちます。
法的報告義務(NPRM Section 226.5で規定)
| 報告種別 | 対応内容 | 期限 |
|---|---|---|
| サイバーインシデント報告 | 対象となるサイバーインシデントが発生した場合、CISAへ報告 | インシデント発生を合理的に判断してから72時間以内 |
| ランサムウェア身代金報告 | ランサムウェア攻撃で身代金を支払った場合、CISAへ報告 | 支払い後24時間以内 |
| 補足報告 | 初期報告後に新たな情報(被害範囲・原因・再発事象など)が判明した場合、CISAへ補足報告を提出 | 新情報判明後24時間以内 |
実務的準備・対応
| 準備事項 | 対応内容 | 期限 |
|---|---|---|
| 対象事業者該当性の確認 | 重要インフラ16分野(PDD-21に基づく)の対象事業者に該当するか確認 | 最終規則公表後速やかに |
| インシデント検知・報告体制の構築 | 72時間以内に報告できるよう、検知・連絡・承認フローなどを含む内部体制を整備 | 報告義務開始前まで |
| 報告義務違反時のペナルティ | 報告義務違反時には、CISAによる情報要求(RFI)や召喚状(Subpoena)、さらに司法省による調査・制裁の可能性あり | 違反時随時適用 |
CIRCIAに関するよくあるご質問
CIRCIA(米国重要インフラサイバーインシデント報告法)に関する知識や理解を深めるため、ICS研究所のコンサルタントにお寄せいただいておりますご質問を整理して公開しております。ぜひご参考にしていただき、課題解消にお役立てください。
※準備中です