鉄道業界におけるグローバルのセキュリティ動向

2022.05.16

アスピレイション株式会社セキュリティチームです。

昨今の国際情勢などをうけ世界各国で益々サイバーセキュリティへの関心が高まり、政府や自治体、企業など様々なレベルでサイバーセキュリティへの取り組みが活発となっています。特に我々の生活の基盤を支える重要インフラの領域についても、欧米を中心にセキュリティの強化が急務となっており、業界や政府主導による様々な規制やガイドラインの設定などが行われています。

本日は、その中でも鉄道や交通などの分野におけるグローバルの最新セキュリティ動向について、お知らせをいたします。

■欧州の事例

＜NIS / NIS指令＞

欧州委員会は2016年より、重要インフラ事業者やデジタルサービスを提供する事業者のサイバーセキュリティ水準を高めることを目的とした、ネットワークと情報システムのセキュリティに関するルールを定めた「ネットワーク通信システム（NIS）指令」を施行していましたが、その改正案（NIS2）が2020年12月に提案されました。2021年末には基本合意に達し、2023年の半ば頃までに発行が予定されています。

NIS 2指令案では、指令適用対象事業者が大幅に拡大されたほか、対象企業による最低限導入が必要な安全性要素のリストの公表や、データストレージやセキュリティサービスなどICT製品・サービスのサプライチェーンも含めたサイバーセキュリティ点検、サイバーセキュリティ・テストの実施、コンプライアンス責任体制の構築、暗号技術の効果的活用、欧州サイバーセキュリティ認証制度の認証機器等の使用、インシデントが発生した場合の24時間以内の報告義務など、サイバーセキュリティ対策の一層の強化を求めています。

また、重大なサイバー脅威の報告要件等に定められる義務に反した場合、最低1,000万ユーロもしくは当該企業の前年度世界売上高の最大2％の高い方が罰金として課されるという非常に厳格な罰則が明確化されました。

＜CLC/TS 50701＞

欧州委員会が2021年に鉄道業者、システムインテグレーター向けに公開したサイバーセキュリティを管理する方法に関して定めたガイダンスと仕様です。

このガイダンスではアセットのマッピング、ゾーニング、リスクアセスメントの実施、インシデント対応・復旧計画の策定という4つの柱に沿って、各事業者が取るべきサイバーセキュリティ対策についての非常に詳細な指針が記載されています。

■米国の事例

＜TSAの新セキュリティルール＞

米国Transportation Security Administration（TSA)が2021年12月2日に発表した指令で、鉄道および航空産業でのセキュリティ強化に関して、以下の「4つの重要な行動」を実行することが定められています。

1. 組織内にサイバーセキュリティコーディネーターを指名し、当局に名前、役職、電話番号、および電子メールアドレスを提供すること。

2. サイバーセキュリティインシデントが発生した際の24時間以内の報告すること。

3. 指令の発効日から180日以内にサイバーセキュリティインシデント対応計画を作成して実装し、TSAにこれらを満たしていることを証明すること。

4. サイバーセキュリティの脆弱性評価の実行。これには、現在の慣行と活動の評価、現在のサイバーセキュリティ対策のギャップの特定、および特定された脆弱性とギャップに対処して開発するための修復手段の特定が含まれます。

このように、欧州、米国にて、鉄道事業社やシステムへのサイバーセキュリティの強化のための取り組みが活発に進められています。そしてこれらの基準は今後グローバルスタンダードとなっていくことが予想され、日本においてもいずれ取り組むべきセキュリティ対策として考えられます。

特に日本では、日々の生活手段として鉄道は非常に重要なものとなっており、サイバー攻撃等によるシステムの混乱やオペレーションへの影響が発生することは、国民生活における大きな混乱を生むことに直結するため、そのセキュリティ対策は重要な課題となってきます。

アスピレイションでは、世界最先端の技術と知見を用いた、イスラエルの鉄道システム向けサイバーセキュリティ企業Cervello社と業務提携を行っております。鉄道システム特有のネットワーク環境や信号システムなどに特化した専門的なセキュリティサービスであり、欧州をはじめ世界の鉄道会社から評価され導入が進められている高度なソリューションをご提供可能しております。

詳細についてのご紹介やPOCのご相談なども承っておりますので、ぜひ一度お問い合わせください。

お問い合わせはこちらまで。