中堅・中小企業のためのNIS2遵守実践ガイド
はじめに
中堅・中小企業は、NIS2指令の遵守期限である2024年10月17日に向けて、今こそ実践的な対策を講じるべき時です。NIS2は旧NIS指令の改訂版であり、「主要事業体」や「重要事業体」とみなされる組織に対して、具体的なセキュリティ対策を義務付けることで、EU全体のサイバーレジリエンスを底上げすることを目的としています。
旧NIS指令は、どの組織が適用対象となるのかが分かりにくく、範囲も広すぎると批判されてきました。NIS2ではこうした批判を踏まえて、これまで規制対象外だった多くのEU企業を新たに規制対象としています。この中には、従業員数50~1,000名の小規模および中堅企業も数多く含まれています。
一部の中堅企業は、新たな規制への対応に苦慮することが予想されます。限られた予算や人員の中で、10月までにサイバーセキュリティ機能全体を構築する必要があるからです。
中堅・中小企業に立ちはだかる課題
中堅企業が直面する最も大きな課題は、サイバーセキュリティがしばしば後回しにされていたことです。10月のNIS2遵守期限までの短期間に、抜本的な改革を実施しなければなりません。必要な対策としては、セキュリティ製品およびサービスへの投資に加え、変革を担う人材やコンサルタントの採用、さらには組織全体でセキュリティ意識を醸成させることが挙げられます。
意識改革
中堅企業にとって最も深刻なのは、社内にサイバーセキュリティ専任の人材がおらず、必要な改革を主導できないことです。CISOやサイバーセキュリティチームが存在しなければ、変革を推進・加速し、ベストプラクティスや新しい規制への対応方法を理解し適用することは極めて困難になります。
NIS2では、法令遵守の責任は最終的に経営陣が担うことになります。つまり、変化を起こすのは経営陣自身なのです。ただし、この変革にはすべての従業員が参加する必要があります。たとえそれが、単に意識向上の研修を受講したり、強固なパスワードに関する新たな基準に従ったり、専門家と連携して業務プロセスのセキュリティセキュリティを高めることであっても、全員が変革の一翼を担う必要があります。
NIS2の最小要件を満たす
NIS2では、企業のデジタルセキュリティを確保するために必要とされる基本的な対策を定めた、10項目の最小要件が規定されています。これには、常時監視、インシデント対応、暗号技術・暗号化、ポリシーと手順、レポートに関する要件が含まれています。
これらの最小要件はいずれも、サイバーセキュリティ分野において特に先進的でも、特殊なものでもありません。成熟したセキュリティ態勢が整っている組織では、どれもごく一般的な対策です。ほとんどの要件は、市場の製品やサービスを使えば対応できるため、、自社内にこれらの機能を構築する際の莫大な投資は避けられます。
たとえば、社内で24時間365日の監視体制を確保するには、週末や祝日にも対応できるセキュリティ専門チームメンバーを多数採用する必要があります。病欠や離職、休暇などの人員の空白を埋めるには、常に一定数の予備スタッフを用意しておくことになります。代替案として、24時間365日の監視業務を外部に委託することができます。当社としても、ほとんどのケースでこうした外部委託を推奨しています。
実践的なアドバイス
ほとんどの中堅企業にとって、NIS2を遵守するには、社内の努力と並行して外部のセキュリティ製品やサービスへの投資も不可欠です。鍵となるのは、どの分野の変革が社内で達成可能であり、どこに投資すれば最大の価値をもたらすかを見極めることです。
NIS2を理解する
最初のステップはNIS2指令を完全に理解することです。NIS2の遵守に責任を負う経営陣は、自ら法令を精読するか、専門家と協力して、要求事項の詳細な解釈や遵守状況の評価基準を理解すべきです。
ヒント:要件を理解するには、最新のNIS2指令ウェビナーをご覧ください。
ギャップ分析
ステップ2では、自社の現状の能力や運用状況を、NIS2指令に規定されている要件と照らし合わせて評価する必要があります。期限内にNIS2遵守を達成するには、自社が現在行っている対策と、これから改善すべき点を正確に把握することが極めて重要です。
ヒント:このステップでは、自社のセキュリティ対策について、証拠を用意できるかどうかを必ずチェックしてください。NIS2の監査対象となった際には、規定の要件を満たしていることを証明しなければなりません。たとえば、全社的にセキュリティ研修を実施しても、それだけでは足りません。従業員が受講した証を最新の文書で提示する必要があります。
リスクプロファイルの評価
次のステップは、規制の枠組みに照らして、自社のリスクプロファイルを把握することです。NIS2では、自社固有のリスクの深刻度に見合ったセキュリティ対策を講じる必要があります。社会的な重要性が高く、リスクが大きいとされる組織は、リスクプロファイルの低い組織と比べて、セキュリティ対策により多く投資することが求められます。
リスクプロファイルの評価を誤ると、セキュリティへの過剰投資や過少投資を招くおそれがあり、万全を尽くしているつもりでも、NIS2を遵守できない恐れがあります。
ヒント:NIS2では、組織を「重要事業体」と「主要事業体」に区分していますが、それ以上のリスクプロファイルの評価については、各企業自身の判断に委ねられています。このステップは、十分なセキュリティ態勢を維持する上で極めて重要なステップであることから、リスクプロファイルを把握するために専門家の支援を求める企業もあります。
ヒント:セキュリティ対策は、日々の業務を阻害しない形で行うべきです。従業員の業務効率や生産性を損なうようなセキュリティ対策は効果的とは言えません。
選択肢を精査する
ギャップ分析の結果を踏まえて、足りない部分を補うためには、どのような製品やサービス、人材が必要になるかを調査します。
ヒント:NIS2の多くの要件は、既製の製品やサービスを利用することで対応可能であり、特に社内で構築すると高額な投資が必要な以下の項目も、効率的に実現できます。
- 24時間365日体制でインシデントを検知し、対処、対応する
- サイバーセキュリティインシデント発生時にも確実に事業を継続する
- 脆弱性を継続的に処理し、適切に開示する
- 基本的なサイバー衛生を実践し、サイバーセキュリティのトレーニングを実施する
社内で対応しようとすると、特に多大な時間がかかる以下のような要件も業務委託できます。
- ポリシーおよび手順の策定と維持管理
- 多要素認証の導入
- 資産の運用・管理
暗号技術・暗号化のポリシーを策定し機能を実装するなど、中には対応が難しい要件もあります。この要件に対し、すぐに使える既製のソリューションを見つけるのは難しく、特に機密データを扱っており、リスクプロファイルが高い業界の場合は、セキュリティ専門家の支援を仰ぐことが大切です。
ヒント:セキュリティベンダーの製品やサービスを検討する際には、「すぐに遵守達成を約束」「100%成功する」「これ1つですべて解決」といった謳い文句には十分注意を払いましょう。そのような万能薬は存在しません。自社固有のニーズとリスクプロファイルを把握した上で、喜んで関係を構築してくれる信頼できるベンダーを探してください。市場で十分な実績があり、長年にわたり信頼を築いてきたベンダーを優先することを推奨します。設立間もない企業は、安定性や信頼性に欠ける場合があるので注意してください。
Summary
NIS2 指令は、企業に不必要な基準を押しつけて企業に損害を与えたり、苦しめることを目的としているわけではありません。むしろ、私たちの社会全体のレジリエンス高めることがこの指令の本来の目的です。私たちは、EU全域の組織がNIS2に準拠するために最善を尽くすべきだと信じています。それは金銭的な罰則を避けるためではなく、倫理的に正しい行動であり、レジリエンスが高まることで、誰にとってもより良い未来につながるからです。
たしかに中堅企業がNIS2に対応するには課題もありますが、まずは理解し、評価し、戦略的に投資するという積極的な取り組みが、すべての人にとってより安全なデジタル環境への道を開くことになります。
NIS2の詳細については、オンデマンドウェビナーを視聴ください。受賞歴のあるクラウドベースのセキュリティプラットフォームであるWithSecure Elementsについては、こちらからご覧ください。