今日の最も重要なサイバーセキュリティ規制をナビゲートする

サイバーセキュリティ規制においてコンプライアンスが重要な理由

今日のコネクテッド・ワールドでは、データ・セキュリティとネットワーク・セキュリティはもはや単なる技術的な問題ではなく、法的および評判に関わる必須事項となっています。脅威が進化し、デジタル・インフラが拡大するにつれて、システムの安全性を維持するために設計された規制フラグメカニズムは、それに対応しなければなりません。しかし、これらの規制へのコンプライアンスを達成することは、単に罰金を回避したり、ボックスにチェックを入れたりするだけではありません。製品開発とシステム統合のあらゆる段階にセキュリティを組み込むことです。

本シリーズの最初の2つのブログでは、サイバーセキュリティの人間的側面について探りました。 なぜ意識が重要なのか そして どのように責任を持って脆弱性を扱うかです。次に、安全なシステムの最低基準を定めるサイバーセキュリティ規制に焦点を当てます。

不動産管理者、不動産デベロッパー、システムインテグレーターにとって、質問はシンプルです。最新のサイバーセキュリティ規制基準を満たしていない機器を信用しますか？メーカーがサイバーセキュリティに関する義務的な規制を見過ごすことは、より大きな懸念を引き起こします。

強制的な規制：守らなければならないこと

ネットワークおよび情報セキュリティ指令2（NIS2）：EU全域におけるサイバーセキュリティ意識の強化

NIS2とは？
2022年にEUで採択されたネットワーク・情報セキュリティ指令2（NIS2）は、サイバーセキュリティの必須要件を、重要インフラ、デジタルサービス、コネクテッドデバイスの製造業者、郵便/宅配便サービス、科学、研究、教育など、より広範な業界に拡大しています。NIS2の下で、企業は以下を行わなければなりません：

• ネットワークと情報システムにリスクベースのセキュリティ対策を採用する。

• 重大なセキュリティインシデントは、発見後 24 時間以内に報告する。 

• 製造業者、インテグレーター、サービスプロバイダーを含むエコシステム全体が強固なセキュリティ慣行を遵守するよう、より厳格なサプライチェーンセキュリティ要件を導入する。

NIS2は、EU全域で必要不可欠なサービスを守る上で重要な役割を担っており、エネルギー網、給水システム、医療システムなどの重要インフラを守るため、より厳格なサイバーセキュリティ対策と意識を強化しています。そうすることで、電気、清潔な水、医療サービスといった日常生活に不可欠なものが、サイバー脅威に対して強靭であり続けることを保証し、社会の安定と公共の安全の両方を守ることができます。

詳しくはブログ記事をご覧ください：デジタル・セキュリティへの道：EUのNIS2指令を見てみましょう。

無線設備指令（RED）：ワイヤレス機器のサイバーセキュリティ要件

REDとは？

無線設備指令 無線機器指令（RED）、 欧州連合（EU）が施行するこの指令は、すべての無線・無線接続機器にサイバーセキュリティの必須要件を導入する方向で進化しています。これは、IPベースのインターコムや入退室管理システムにも関連します。これらのシステムでは、RFIDカードリーダーやブルートゥースリーダーなど、無線ベースの技術を入退室管理に利用することが多いからです。機器がREDに適合していない場合、運用に支障をきたすか、EU内での販売が禁止される可能性さえあります。これには以下が含まれます：

• 不正アクセスを防止するため、ネットワークの回復力を確保する。

• より強力な暗号化と認証の導入をメーカーに義務付けることで、個人データとプライバシーを保護する。

• 脆弱なセキュリティ設定によってデバイスが悪用されないようにすることで、不正行為を防止する。

ブログで最新情報をゲットREDの準備はできていますか?無線設備指令への適合

製品セキュリティと通信インフラ（PSTI）

• 製品寿命までのソフトウェア・アップデートの提供期間を明示する。

• デフォルトのパスワードが設定されている製品の使用を禁止し、デバイスが固有のパスワードの設定を強制するようにする。

• ユーザーや研究者がサイバーセキュリティを意識し、潜在的な欠陥を報告するための手段を公に提供する。

業界標準：コンプライアンスを超える

義務的な規制がサイバーセキュリティの最低要件を定める一方で、業界認定はより高いセキュリティ基準へのコミットメントを示すものです。これらの認証は法的に義務付けられているものではないが、企業がサイバーセキュリティに対する認識を真剣に持ち、リスクを管理するための構造化された反復可能なプロセスを備えていることを示す強力な指標となります。大手ベンダーは、次のようなフレームワークに従っています：

• ISO 27001- 情報セキュリティマネジメントの国際規格
  企業が体系的なサイバーセキュリティポリシーとリスク管理戦略に従っていることを保証する、世界的に認められた認証です。2Nはこの認証を取得しており、徹底したサイバーセキュリティの実践に取り組んでいます。

• EN 303 645 - IoT機器のセキュリティ規格
  安全なソフトウェア・アップデート、パスワード・ポリシー、データ保護要件など、接続機器に関するセキュリティのベスト・プラクティスを概説する欧州の規格です。

• NDAAコンプライアンス- 米国市場のための、そして米国市場以外の信頼の確保
  アメリカ国防権限法（NDAA）は、サイバーセキュリティのリスクとみなされる特定のメーカーの通信機器やセキュリティ機器の使用を制限している。政府機関や重要インフラプロジェクトに携わるインテグレーターは、IPカメラ、インターコム、アクセスリーダーなどのすべての機器がNDAAコンプライアンス要件を満たしていることを確認する必要があります。しかし、これは米国政府だけの要求ではなく、世界中の多くの非政府組織が自主的に同じセキュリティ基準を採用しています。信頼できないブランドを排除することで、システムの回復力を強化し、長期的なサイバーセキュリティが確保されます。
  
  

コンプライアンスは始まりに過ぎません - サイバーセキュリティのリーダーシップはその先にあります

RED、NIS2、PSTIなどの標準を遵守することは不可欠だが、遵守しているだけでは、企業がサイバーセキュリティをリードしているとは言えません。サイバーセキュリティの複雑さを理解し、それを超えることが、安全で先進的なブランドを差別化するのです。

多くの企業は、サイバーセキュリティに対する認識を、戦略的な優位性ではなく、コンプライアンス主導で必要なものと見なしています。しかし、実際のインシデントから、強固なセキュリティ対策に投資することは、単に罰金を避けるためだけでなく、事業継続や顧客の信頼、さらには人命を守ることにもつながることが明らかになっています。

システム・インテグレーターや不動産管理者にとって、適切なベンダーを選ぶことは非常に重要です。決断を下す前に、自問してください：

• メーカーは、長期的なソフトウェア・サポートとセキュリティ・アップデートを提供していますか？

• 脆弱性の公表やパッチについて透明性がありますか？

• ISO 27001やEN 303 645などのベストプラクティスを遵守し、法的要件を上回っていますか？

もし答えがノーなら、選択肢を考え直す時かもしれません。サイバー脅威は待ってはくれません–なぜそうしなければならないのでしょうか？