米国CIRCIA法で求められるサイバーセキュリティ対応の全貌

米国CIRCIA法の全体像

CIRCIA法とは

米国の最新のサイバーセキュリティ規制「CIRCIA（Cyber Incident Reporting for Critical Infrastructure Act of 2022）」は、重要インフラ分野の企業に対し、サイバー攻撃を受けた際に72時間以内の報告を求める法律です。規制には厳しいペナルティが伴い、違反した企業は罰金や連邦政府との取引停止を受ける可能性があります。

この法案の背景には、SolarWinds社やColonial Pipeline社へのサイバー攻撃による国家的な脅威が存在します。これらの重大事件が引き金となり、2022年にCIRCIAが制定され、米国の産業界全体における「事後対応」の枠組みを強化することが目的となりました。

事後対応と予防

CIRCIAにより報告義務が導入される一方、米国政府は大統領令EO14028の下での「セキュリティ・バイ・デザイン」を進めています。これにより、製品の設計段階からセキュリティを組み込むことが求められます。加えて、NIST（米国国立標準技術研究所）のCybersecurity Framework（CSF）やSP800シリーズが提供する技術指針、CMMC（Cybersecurity Maturity Model Certification）による準拠の認証が整備されています。

日本の製造業への影響

CIRCIAの対象となる「重要インフラ」は、米国大統領政策指令PDD-21に基づく16分野で構成されており、その中には、日本が強みを持つ半導体製造装置や工作機械、船舶機器が含まれています。これにより、これらの製品を米国の重要インフラ企業に納入している日本の製造業は、CIRCIAの影響を受ける可能性が高まっています。

顧客が72時間以内に報告を行うためには、サプライヤー側も迅速な検知と連携体制を確立する必要があり、グローバルな製造業に新たな責任の枠組みが生まれています。これにより、供給連鎖全体を通じてセキュリティが重要となるでしょう。

IEC 62443の役割

ICS研究所では、CIRCIAや欧州のCRA（Cyber Resilience Act）など地域ごとの規制を、国際的に共通のフレームワークであるIEC 62443を用いて理解することを提唱しています。このアプローチは、異なる国の要求に個別に対応する非効率から脱却し、単一のプロセスで複数の市場に適応できる道を開きます。

ICS研究所のシニアコンサルタントである高橋氏は、「IEC 62443を中心にして、米国のNISTや欧州のCRA、アジア市場も統一した設計思想で結びつけることができる」と述べています。