コンプライアンスとは、単に罰金を避けることではありません。重要なのは、業務を保護し、関係者との間で信頼を確立することです。しかし、産業用 IoT（IIoT）が台頭した関係で規制の世界はいっそう複雑化しており、コンプライアンスの達成はかつてないほど困難になっています。

このガイドでは、IIoT をめぐるコンプライアンスに欠かせない標準について解説し、そこで求められる要件を確実に満たす実践的な手順を紹介します。

知っておきたい主な標準と規制

関連する各標準を理解することこそ、コンプライアンスの達成を目指す第一歩です。IIoT のセキュリティの指針となる主な枠組みは、次のとおりです。

EU サイバーセキュリティ法

欧州における IIoT デバイスにとって重要なサイバーセキュリティ認証スキームの枠組みを定めている規制です。コネクテッドデバイスに関する強固なセキュリティ標準の必要性が重視されているため、市場参入に伴う問題を回避するために、メーカーの同法への順守は欠かせません。

2020 年の IoT サイバーセキュリティ改善法（米国）

連邦各機関が使用する IoT デバイスに必要な最低限のセキュリティ標準を義務づける法律ですが、より広範な業界の慣例にも影響を与える先例になっています。セキュアな開発、脆弱性管理、アクセス制御が重視されているため、これらは直接 IIoT 環境に関わってきます。

ENISA IoT セキュリティ標準

欧州連合サイバーセキュリティ機関（ENISA）は、IoT デバイスのセキュリティを確保する際のベストプラクティスをまとめたガイドラインを策定しており、セキュアなファームウェア更新、デバイスの認証、データの暗号化といった分野が重視されています。いずれも、IIoT の配備に欠かせない要素です。

英国の製品セキュリティおよび電気通信インフラストラクチャ（PSTI）法

消費者向け IoT デバイスに厳格なセキュリティ要件を義務づけている法律です。特に、セキュアなデバイス ID やパッチ管理に関する要件を定めており、産業環境にも適用されることが少なくありません。

一般データ保護規則（GDPR）

一般的には個人データに関連するとされていますが、個人と見なされうるデータや特定可能な個人に関連しそうなデータを扱う場合、GDPR の影響は IIoT にも及びます。コンプライアンスを順守するには、強力な暗号化手法と設計段階からのデータ保護が必要です。

ISO/IEC 27001

情報セキュリティ管理システム（ISMS）に焦点を当てた標準です。リスク管理、法的義務の順守、継続的な改善が重視されており、これらはすべて IIoT のセキュリティ対策に不可欠です。

コンプライアンスの達成を困難にしている要因

コンプライアンスは絶対に必要ですが、そこにはハードルも存在します。各組織は、IIoT の配備を規制標準に適合させようとして、しばしば大きな課題に直面します。

• レガシーシステム: 古くなったデバイスは、最新のコンプライアンス標準を満たすうえで必要なセキュリティ機能が欠けている場合が多いため、統合や保護には大がかりなアップグレードや交換がどうしても必要になります。
• 可視性の欠如: デバイスのインベントリやネットワーク動作を明確に可視化できなければ、コンプライアンス要件の順守や確実な監査の実施はまず不可能です。DigiCert Device Trust Manager を使えば、あらゆるコネクテッドデバイスの可視性と管理を一元的に実現できるため、コンプライアンス上のギャップを特定してそれに対処する機能を強化できます。
• リソース上の制約: コンプライアンスには継続的な取り組み、たとえば定期的な評価、更新、スタッフのトレーニングなどが必要です。そのため、ただでさえ限りのある IT リソースやセキュリティリソースへの制約が増えます。DigiCert TrustCore SDK は、コンプライアンス関連の暗号機能の統合を簡素化して、開発上のオーバーヘッドとリソース制約を軽減します。

コンプライアンス要件を満たす 5 つのステップ

IIoT 環境でコンプライアンスを達成するには、構造的なアプローチが必要です。組織が規制標準を満たすための実践的な 5 つのステップを紹介します。

1. 強固なアクセスコントロールの実装

アクセスコントロールは、コンプライアンスの要です。ネットワークには、承認された担当者とデバイスだけがアクセスできるようにする必要があります。多要素認証（MFA）とロールベースのアクセスコントロール（RBAC）を利用して、重要なシステムや機密データへのアクセスを制限しましょう。DigiCert Device Trust Manager は、電子証明書によってデバイスを認証することで強固なアクセスコントロールを促し、信頼されたデバイスだけがクリティカルなインフラストラクチャに接続できるよう図ります。

2. データプライバシーと保護対策

GDPR をはじめとするコンプライアンス標準ではデータセキュリティが重視されているため、不正アクセスを防ぐには、保存中と転送中どちらのデータにも暗号化が不可欠です。機密情報を適切に保護し、関連各法に確実に準拠できるように、定期的にデータフローをレビューしてください。DigiCert TrustCore SDK の暗号化機能は、データのライフサイクル全体を通じてデータの保護を保証します。

3. 定期的な監査とリスク評価

定期的な監査は、コンプライアンス上のギャップと脆弱性を特定するのに有効です。自動化されたツールを使用してリスクを評価し、ネットワークをスキャンして、古くなったソフトウェアやパッチ未適用のデバイスをはじめ、コンプライアンス違反につながる可能性のあるセキュリティ上の弱点がないかどうか確認します。DigiCert Device Trust Manager なら、デバイスのステータスと証明書管理がリアルタイムで可視化され、監査の準備とコンプライアンスの検証を支援できます。

4. セキュリティパッチによるレガシーシステムの更新

レガシーデバイスがコンプライアンス上の重大なリスクをもたらすことも少なくありません。旧式のデバイスも含めてあらゆるデバイスに必要なセキュリティアップデートを確実に適用できるように、厳格なパッチ管理プロセスを導入しましょう。パッチを適用できない場合は、脆弱なデバイスを隔離するために、ネットワークのセグメント化など代用となる管理方法も検討します。

5. 徹底的な文書化

セキュリティ対策の実施はコンプライアンスの一部にすぎません。セキュリティ対策が実施されている状況を証明できることも必要です。セキュリティポリシー、アクセスコントロール、データ保護対策、監査結果などの詳細な文書を管理することは、コンプライアンスを支えるだけでなく、セキュリティ体制を強化することにもつながります。

デジサートが果たせる機能

デジサートの Device Trust Manager と TrustCore SDK は、IIoT エコシステム全体でコンプライアンスへの取り組みをサポートするように設計されています。Device Trust Manager は、デバイスの認証、証明書管理、セキュアなオンボーディングを一元的に管理し、すべてのデバイスが業界標準を満たせるようにします。TrustCore SDK は高度な暗号化をサポートしており、セキュアな通信とデータ保護を実現するため、労せずして規制要件を満たすことができます。

一歩先を行くコンプライアンスがセキュリティ維持の鍵

IIoT の世界でコンプライアンスを順守することは、ともすれば困難ですが、資産の保護、関係者の信頼の確立、高額な罰金リスクの緩和には欠かせません。IIoT の配備を主要な規制標準に整合させ、堅牢なコンプライアンス対策を採用すれば、進化し続ける脅威に直面しても、組織の安全性と回復力を維持していくことができます。

デジタルトラストに関する最新情報

IIoT のコンプライアンスを順守するうえでサポートが必要ですか？ デジサートの専門的なソリューションは、セキュアなデバイス管理と信頼できる通信によって、コンプライアンス達成への過程を万全にサポートします。コンプライアンス、デバイストラスト、モノのインターネット（IoT） などのトピックについて詳細をご希望ですか？記事を見逃さないようにデジサートのブログを参照してください。