[{"data":1,"prerenderedAt":100},["ShallowReactive",2],{"journal-detail-78":3},{"main":4,"content":12,"author":95},{"id":5,"level":6,"level_name":7,"title":8,"summary":7,"body":9,"author":10,"created_time":11,"edited_time":11},3150,0,"","米国市場におけるデジタル製品の法規制について","\u003Cp>米国市場において、事業を展開する日本企業が遵守すべきサイバーセキュリティやサイバーレジリエンス関連法案は多岐にわたります。連邦法と州法、そして業種ごとの規制が存在するため、包括的な対応が求められます。\u003C/p>","murakami","2025-10-03 18:00:00",[13,17,21,25,29,33,37,41,45,49,53,56,60,64,68,72,75,79,83,87,91],{"id":14,"heading":7,"summary":15,"body":16,"gallery":7},3151,"\u003Ch3>この解説でわかること\u003C/h3>","\u003Cul>\u003Cli>米国事業で遵守すべき最新のサイバーセキュリティ法規制\u003C/li>\u003Cli>NIST、SBOM、CMMCなど、サプライチェーンに求められる要件\u003C/li>\u003Cli>重要インフラ向けサプライヤーが今すぐ取り組むべき具体的対策\u003C/li>\u003Cli>OT/ICSセキュリティにおける国際標準の活用法\u003C/li>\u003C/ul>\u003Cp>以下に主な法規制と、その中で日本企業が特に注意すべき点をまとめます。\u003C/p>",{"id":18,"heading":19,"summary":7,"body":20,"gallery":7},3152,"1. 連邦レベルの規制","\u003Cul>\u003Cli>\u003Cstrong>サイバーセキュリティ・インフラセキュリティ庁（CISA）の規則\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>重要インフラ向けサイバーインシデント報告法 (CIRCIA): \u003C/strong>\u003Cbr>重要インフラ事業者を対象に、サイバーインシデント発生をCISAに報告することを義務付けています。インシデントの認識後72時間以内、ランサムウェアの身代金支払い後24時間以内の報告が義務付けられます。違反した場合は罰金や連邦政府との取引停止などのペナルティが科される可能性があります。\u003C/li>\u003Cli>\u003Cstrong>大統領令（E.O. 14117）に基づくセキュリティ要件: \u003C/strong>\u003Cbr>米国人の機密性の高い個人データや政府関連データへの、懸念国（中国、ロシア、イランなど）によるアクセスを防ぐことを目的としています。特定のデータを取り扱う企業は、CISAが策定したセキュリティ要件（資産管理、脆弱性の是正、インシデント対応計画など）を遵守する必要があります。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>米国国立標準技術研究所（NIST）のフレームワーク\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>NIST Cybersecurity Framework (CSF): \u003C/strong>\u003Cbr>連邦政府機関や重要インフラ企業で広く採用されているサイバーセキュリティのベストプラクティスをまとめたものです。法的な義務ではありませんが、多くの業界で事実上の標準となっており、サプライチェーン全体にわたって遵守が求められることが増えています。\u003C/li>\u003Cli>\u003Cstrong>NIST SP 800シリーズ: \u003C/strong>\u003Cbr>より詳細な技術的ガイドラインで、連邦政府に製品やサービスを提供する企業に適用されることがあります。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>",{"id":22,"heading":23,"summary":7,"body":24,"gallery":7},3153,"2. 業種・分野別の規制","\u003Cul>\u003Cli>\u003Cstrong>金融分野:\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>グラム・リーチ・ブライリー法 (GLBA): \u003C/strong>\u003Cbr>金融機関に対し、顧客の個人情報の保護を義務付けています。これにはサイバーセキュリティ対策も含まれます。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>ヘルスケア分野:\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>医療保険の携行と責任に関する法律 (HIPAA): \u003C/strong>\u003Cbr>医療機関や関連する事業者（保険会社、医療機器メーカーなど）に対し、患者の健康情報（PHI）の保護を義務付けています。厳格な物理的、技術的、管理的なセキュリティ対策が求められます。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>決済分野:\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>PCI DSS (Payment Card Industry Data Security Standard): \u003C/strong>\u003Cbr>クレジットカード情報を処理、保存、送信するすべての企業に適用されるセキュリティ基準です。クレジットカード決済を取り扱う日本企業は、この基準を遵守する必要があります。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>",{"id":26,"heading":27,"summary":7,"body":28,"gallery":7},3154,"3. 州レベルの規制","\u003Cul>\u003Cli>\u003Cstrong>カリフォルニア州消費者プライバシー法 (CCPA) および カリフォルニア州プライバシー権法 (CPRA):\u003C/strong>\u003Cul>\u003Cli>カリフォルニア州の住民の個人情報を取り扱う企業に適用されるデータプライバシー法です。日本企業がカリフォルニア州に事業所を置いている場合、または州内の消費者データを収集している場合は、これらの法律の適用対象となる可能性があります。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>ニューヨーク州金融サービス局（NYDFS）のサイバーセキュリティ規制:\u003C/strong>\u003Cul>\u003Cli>ニューヨーク州で事業を行う金融機関に対して、厳格なサイバーセキュリティプログラムの策定・維持、インシデント報告、年次報告書提出などを義務付けています。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>",{"id":30,"heading":31,"summary":7,"body":32,"gallery":7},3155,"4. その他、重要な基準や指針","\u003Cul>\u003Cli>\u003Cstrong>SOC 2 (Service Organization Control 2): \u003C/strong>\u003Cbr>サービス提供事業者が、顧客データのセキュリティ、可用性、処理の完全性、機密性、プライバシーをいかに保護しているかを監査・報告するためのフレームワークです。直接的な法律ではありませんが、多くの米国企業がサプライヤーにSOC 2準拠を要求します。\u003C/li>\u003C/ul>",{"id":34,"heading":35,"summary":7,"body":36,"gallery":7},3156,"日本企業が対応する上でのポイント","\u003Cul>\u003Cli>\u003Cstrong>事業内容と関係法令の特定:\u003C/strong>\u003Cbr>自社の事業がどのような業種に該当し、どの州で事業を展開しているかを確認し、適用される法律や規制を特定することが最初のステップです。\u003C/li>\u003Cli>\u003Cstrong>サプライチェーン全体の確認:\u003C/strong>\u003Cbr>自社だけでなく、製品やサービスを提供するサプライヤーやベンダーが米国における規制を遵守しているかを確認することが重要です。\u003C/li>\u003Cli>\u003Cstrong>NIST CSFの活用:\u003C/strong>\u003Cbr>法的義務がなくても、NISTのフレームワークを導入することで、米国のサイバーセキュリティ文化に沿った体系的な対策を講じることができ、米国の取引先からの信頼を得やすくなります。\u003C/li>\u003Cli>\u003Cstrong>インシデント対応計画の策定:\u003C/strong>\u003Cbr>米国の規制では、インシデント発生時の迅速な報告が義務付けられることが多いため、事前の対応計画（報告先、報告内容、報告期限）を明確にしておくことが不可欠です。\u003C/li>\u003C/ul>\u003Cp>これらの法案や基準は常に更新されているため、最新の動向を継続的に把握し、適切な対策を講じることが重要です。専門の法律事務所やコンサルタントに相談することも有効な手段です。\u003C/p>\u003Cp class=\"pd-top-100\">\u003Cstrong class=\"tx-blue-dark\">上記以外に、米国証券市場で上場している企業に対してもサイバーセキュリティに関する開示義務があります。\u003C/strong>\u003C/p>\u003Cp class=\"mg-top-35 eics-paging\">\u003C/p>\u003Cp>米国証券取引委員会（SEC）は、米国市場に上場している企業に対し、サイバーセキュリティに関する開示義務を強化する新しい規則を制定しました。これは、米国国内企業だけでなく、米国預託証券（ADR）を発行するなどしてSECに登録している日本企業（Foreign Private Issuer、 FPI）にも適用されます。\u003C/p>\u003Cp>主な開示義務は以下の2つです。\u003C/p>",{"id":38,"heading":39,"summary":7,"body":40,"gallery":7},3157,"1. 重大なサイバーインシデントの報告義務","\u003Cul>\u003Cli>\u003Cstrong>報告のタイミング:\u003C/strong>\u003Cbr>企業は、サイバーインシデントが「重要（material）」であると判断してから4営業日以内に報告する必要があります。\u003C/li>\u003Cli>\u003Cstrong>報告内容:\u003C/strong>\u003Cbr>インシデントの性質、範囲、タイミング、および企業に与える、または与える可能性のある「重要な影響」について説明することが求められます。ただし、捜査を妨げるなど、合理的な理由がある場合は、報告を遅延させることが許可される場合があります。\u003C/li>\u003Cli>\u003Cstrong>日本企業（FPI）への適用:\u003C/strong>\u003Cbr>米国内企業はForm 8-Kで報告しますが、日本企業などのFPIはForm 6-Kでの報告が求められます。\u003C/li>\u003C/ul>",{"id":42,"heading":43,"summary":7,"body":44,"gallery":7},3158,"2. サイバーセキュリティリスク管理とガバナンスの年次開示義務","\u003Cul>\u003Cli>\u003Cstrong>報告のタイミング:\u003C/strong>\u003Cbr>年次報告書（Form 10-K、日本企業の場合はForm 20-F）で開示します。\u003C/li>\u003Cli>\u003Cstrong>報告内容:\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>リスク管理プロセス:\u003C/strong>\u003Cbr>サイバーセキュリティの脅威による重要なリスクを評価、特定、管理するプロセスについて説明します。\u003C/li>\u003Cli>\u003Cstrong>経営陣の役割と専門知識:\u003C/strong>\u003Cbr>経営陣がこれらのリスクをどのように評価・管理しているか、また、その役割と専門知識について説明します。\u003C/li>\u003Cli>\u003Cstrong>取締役会の監視:\u003C/strong>\u003Cbr>取締役会がサイバーセキュリティリスクをどのように監視しているかについて説明します。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>\u003Cp>この新しい規則は、投資家が企業のサイバーリスクへの対応状況をより良く理解し、投資判断を下せるようにすることを目的としています。米国市場に上場している日本企業は、これらの新しい開示要件に沿った体制を構築し、迅速な情報開示ができるよう準備を進める必要があります。\u003C/p>\u003Cp class=\"pd-top-100\">\u003Cstrong class=\"tx-blue-dark\">さらに、米国政府が定める「16の重要インフラ分野」について、それぞれの分野に含まれる具体的な施設や資産の例を用いて、以下、説明します。\u003C/strong>\u003C/p>\u003Cp class=\"mg-top-35 eics-paging\">\u003C/p>\u003Cp>米国政府は、国家の安全保障、経済、公衆衛生、安全を維持するために不可欠な、物理的および仮想的な資産、システム、ネットワークを「重要インフラ」と定義しています。\u003C/p>\u003Cp>国土安全保障省（DHS）とサイバーセキュリティ・インフラセキュリティ庁（CISA）は、大統領政策指令（PPD-21）に基づき、以下の16の重要インフラ分野を定めています。これらの分野は、相互に依存し、国家の機能に欠かせないものです。\u003C/p>",{"id":46,"heading":47,"summary":7,"body":48,"gallery":7},3159,"米国における16の重要インフラ分野（具体的な施設例を含む）","\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-1\">分野名（原語）\u003C/span>\u003Cspan class=\"cell col2-5\">分野名（和訳）\u003C/span>\u003Cspan class=\"cell\">具体的な施設・資産の例\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Energy\u003C/span>\u003Cspan class=\"cell col2-5\">エネルギー\u003C/span>\u003Cspan class=\"cell\">発電所（火力、原子力、再生可能エネルギー）、石油・ガス精製所、パイプライン（送油・送ガス）、送電線網、変電所、電力・燃料貯蔵施設。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Financial Services\u003C/span>\u003Cspan class=\"cell col2-5\">金融サービス\u003C/span>\u003Cspan class=\"cell\">銀行、証券取引所、決済システム（クレジットカードネットワークなど）、保険会社、連邦準備制度（Fed）の施設。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Transportation Systems\u003C/span>\u003Cspan class=\"cell col2-5\">輸送システム\u003C/span>\u003Cspan class=\"cell\">空港管理施設、港湾管理施設、鉄道システム、物流管理施設、橋やトンネルなどの主要な交通インフラ。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Communications\u003C/span>\u003Cspan class=\"cell col2-5\">通信\u003C/span>\u003Cspan class=\"cell\">携帯電話ネットワーク、衛星通信システム、放送局、光ファイバーケーブル網、データセンター。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Information Technology\u003C/span>\u003Cspan class=\"cell col2-5\">情報技術（IT）\u003C/span>\u003Cspan class=\"cell\">インターネットの主要インフラ（ルーティング、ドメインネームシステム）、クラウドコンピューティングサービス、オペレーティングシステムやセキュリティソフトウェアの提供。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Healthcare and Public Health\u003C/span>\u003Cspan class=\"cell col2-5\">医療・公衆衛生\u003C/span>\u003Cspan class=\"cell\">病院、診療所、医薬品・医療機器製造施設、血液バンク、公衆衛生研究所。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Food and Agriculture\u003C/span>\u003Cspan class=\"cell col2-5\">食料・農業\u003C/span>\u003Cspan class=\"cell\">大規模な農場、畜産施設、食肉処理施設、主要な食料加工・貯蔵施設、食品流通チェーン。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Water and Wastewater Systems\u003C/span>\u003Cspan class=\"cell col2-5\">水・廃水システム\u003C/span>\u003Cspan class=\"cell\">上水処理施設、下水処理場、送水管ネットワーク、主要なポンプ場。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Critical Manufacturing\u003C/span>\u003Cspan class=\"cell col2-5\">重要製造業\u003C/span>\u003Cspan class=\"cell\">半導体製造施設、航空機・車両・重機製造工場、電子部品や重要金属を生産する工場。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Defense Industrial Base\u003C/span>\u003Cspan class=\"cell col2-5\">防衛産業基盤\u003C/span>\u003Cspan class=\"cell\">軍事システム・装備品の研究開発・製造施設、造船製造施設、防衛関連技術企業。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Chemical\u003C/span>\u003Cspan class=\"cell col2-5\">化学\u003C/span>\u003Cspan class=\"cell\">化学製品製造プラント、石油化学工場、危険化学物質の貯蔵・輸送施設。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Emergency Services\u003C/span>\u003Cspan class=\"cell col2-5\">救急サービス\u003C/span>\u003Cspan class=\"cell\">警察署、消防署、救急指令センター（911など）、災害復旧センター。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Government Facilities\u003C/span>\u003Cspan class=\"cell col2-5\">政府施設\u003C/span>\u003Cspan class=\"cell\">連邦、州、地方政府の主要庁舎、軍事基地、裁判所。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Commercial Facilities\u003C/span>\u003Cspan class=\"cell col2-5\">商業施設\u003C/span>\u003Cspan class=\"cell\">主要なショッピングモール、スポーツスタジアム、テーマパーク、大規模な集会施設。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Dams\u003C/span>\u003Cspan class=\"cell col2-5\">ダム\u003C/span>\u003Cspan class=\"cell\">発電や治水・利水に使用される主要なダム構造物。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-1\">Nuclear Reactors, Materials, and Waste\u003C/span>\u003Cspan class=\"cell col2-5\">原子力発電所・放射性物質・廃棄物\u003C/span>\u003Cspan class=\"cell\">原子力発電所、放射性物質を扱う研究施設、放射性廃棄物貯蔵施設。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":50,"heading":7,"summary":51,"body":52,"gallery":7},3160,"\u003Ch3>重要: デジタル製品のサプライヤーに課せられる義務\u003C/h3>","\u003Cp>上記16分野における施設（\u003Cstrong>半導体製造施設や空港・港湾管理施設\u003C/strong>など）で使用されるデジタル製品（産業制御システム、監視カメラ、業務システム、セキュリティソフトウェア、\u003Cstrong>船舶搭載\u003C/strong>システムなど）は、その機能の性質上、複数の重要インフラ分野の「情報技術（IT）」や「通信」インフラと密接に関連しており、サイバーセキュリティの対象となります。\u003C/p>\u003Cp class=\"pd-top-100\">\u003Cstrong class=\"tx-blue-dark\">重要インフラ施設でのデジタル製品サプライヤーに課せられる義務\u003C/strong>\u003C/p>\u003Cp class=\"mg-top-35 eics-paging\">\u003C/p>\u003Cp>米国の重要インフラ施設で使用されるデジタル製品のサプライヤー（供給業者）に課せられるサイバーセキュリティ対策は、直接的な法律だけでなく、顧客である重要インフラ事業者が政府との契約や規制を遵守するために、サプライヤーに要求する\u003Cstrong>契約上の義務\u003C/strong>として課されるケースが多いです。\u003C/p>\u003Cp>特に連邦政府との取引がある場合や、重要インフラ事業者が関わる場合は、以下の規制や枠組みが「実質的な法規制」としてサプライヤーにも適用されます。\u003C/p>",{"id":54,"heading":55,"summary":7,"body":7,"gallery":7},3161,"1. サプライチェーンを対象とする主な連邦政府の要件",{"id":57,"heading":7,"summary":58,"body":59,"gallery":7},3162,"\u003Ch3>A. 連邦政府との契約における要件（NISTとDFARS）\u003C/h3>","\u003Cp>連邦政府機関や国防総省（DOD）と直接的・間接的に取引がある日本企業（サプライヤー）は、以下の基準の遵守が強く求められます。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>NIST SP 800-171（管理対象非機密情報（CUI）の保護）\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>対象:\u003C/strong>\u003Cbr>米国政府との契約に基づき、管理対象非機密情報 (CUI) を取り扱う請負業者やそのサブコントラクター（サプライヤー）。\u003C/li>\u003Cli>\u003Cstrong>義務:\u003C/strong>\u003Cbr>CUIを保護するために、アクセス制御、トレーニング、インシデント対応、メディアの保護など、110項目のセキュリティ要件（NIST SP 800-171）を実装し、遵守することが契約上の義務となります。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>DFARS 252.204-7012（国防総省調達規則）\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>対象:\u003C/strong>\u003Cbr>国防総省（DOD）と契約する企業およびそのサプライヤー。\u003C/li>\u003Cli>\u003Cstrong>義務:\u003C/strong>\u003Cbr>NIST SP 800-171の遵守を義務付けるとともに、サイバーインシデントが発生した場合のDODへの報告義務を課しています。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>CMMC (Cybersecurity Maturity Model Certification)\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>対象:\u003C/strong>\u003Cbr>DODのサプライチェーン全体。\u003C/li>\u003Cli>\u003Cstrong>義務:\u003C/strong>\u003Cbr>DFARSの要件を満たしていることを第三者認証（または自己評価）によって証明する制度です。将来的に重要インフラ分野にも影響を及ぼす可能性があります。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>",{"id":61,"heading":7,"summary":62,"body":63,"gallery":7},3163,"\u003Ch3>B. 大統領令14028に基づくソフトウェアサプライチェーン要件\u003C/h3>","\u003Cp>2021年に発令された「国家のサイバーセキュリティ向上に関する大統領令（E.O. 14028）」は、連邦政府機関が調達するデジタル製品（特にソフトウェア）のサプライヤーに対し、セキュリティ強化を義務付けています。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>セキュア・バイ・デザイン (Secure by Design)\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>義務:\u003C/strong>\u003Cbr>ソフトウェアは最初から安全性が考慮された設計・開発プロセス（Secure Software Development Framework: SSDF）を経て提供されることが求められます。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>SBOM (Software Bill of Materials) の提供\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>義務:\u003C/strong>\u003Cbr>ソフトウェアの構成要素（サードパーティ製コンポーネントやオープンソースライブラリなど）を一覧化したSBOMを顧客（連邦政府機関や重要インフラ企業）に提供することが求められます。これは、サプライヤーが使用するデジタル製品に既知の脆弱性がないかを顧客側が評価するために不可欠です。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>脆弱性の迅速な開示と対応\u003C/strong>\u003Cul>\u003Cli>\u003Cstrong>義務:\u003C/strong>\u003Cbr>サプライヤーは、自社の製品に脆弱性が発見された場合、それを迅速に開示し、修正パッチを提供することが求められます。\u003C/li>\u003C/ul>\u003C/li>\u003C/ul>",{"id":65,"heading":66,"summary":7,"body":67,"gallery":7},3164,"2. 重要インフラ事業者からの契約上の要求","\u003Cp>重要インフラを運用する企業（例：電力会社、金融機関、医療機関）自身が、以下の理由からサプライヤーに規制遵守を要求します。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>CIRCIA（サイバーインシデント報告法）への対応:\u003C/strong>\u003Cbr>重要インフラ事業者は、重大なインシデントをCISAに報告する義務があります。このインシデントがサプライヤーのデジタル製品の欠陥や侵害によって引き起こされた場合、その事業者はサプライヤーに対しても情報提供やセキュリティ体制の強化を要求します。\u003C/li>\u003Cli>\u003Cstrong>NIST CSF（サイバーセキュリティ・フレームワーク）準拠:\u003C/strong>\u003Cbr>多くの重要インフラ事業者が、事実上の業界標準であるNIST CSFを採用しています。これには「サプライチェーン・リスク管理」が含まれており、サプライヤーに対してもNIST CSFに沿ったセキュリティ対策の実施を契約で義務付けるのが一般的です。\u003C/li>\u003C/ul>",{"id":69,"heading":70,"summary":7,"body":71,"gallery":7},3165,"日本企業が取るべき対策","\u003Cp>米国重要インフラ向けのデジタル製品サプライヤーである日本企業は、以下の対策を講じることが重要です。\u003C/p>\u003Col>\u003Cli>\u003Cstrong>デジタル製品のリスクアセスメント実施:\u003C/strong>\u003Cbr>自社デジタル製品のリスクアセスメントを実施すること。\u003C/li>\u003Cli>\u003Cstrong>NIST SP 800-171/CMMCへの対応:\u003C/strong>\u003Cbr>適用される可能性がある場合は、これらの要件を組織的に実装し、文書化すること。\u003C/li>\u003Cli>\u003Cstrong>SBOMの生成と管理:\u003C/strong>\u003Cbr>自社製品のSBOMを正確に作成・更新し、顧客の要求に応じて提供できる体制を整えること。\u003C/li>\u003Cli>\u003Cstrong>セキュア開発プロセスの導入:\u003C/strong>\u003Cbr>ソフトウェア開発ライフサイクル（SDLC）全体にセキュリティを組み込むこと。\u003C/li>\u003Cli>\u003Cstrong>インシデント対応能力の整備:\u003C/strong>\u003Cbr>自社製品に起因するインシデントが発生した場合に、顧客と協力し、迅速に調査・対応できる体制を整えること。\u003C/li>\u003C/ol>\u003Cp class=\"pd-top-100\">\u003Cstrong class=\"tx-blue-dark\">日本企業の具体的な取り組み\u003C/strong>\u003C/p>\u003Cp class=\"tx-blue\">注: ここで挙げている国際認証は、米国の規制が求める要件（NIST SP 800-171/CSFなど）への準拠を体系的に示し、サプライヤーとして技術文書を整える上で信頼性を高めるための効果的な手段となります。\u003C/p>",{"id":73,"heading":74,"summary":7,"body":7,"gallery":7},3166,"米国重要インフラ向けサプライヤーが講じるべき具体的な対策（認証制度の活用を含む）",{"id":76,"heading":7,"summary":77,"body":78,"gallery":7},3167,"\u003Ch3>1. NIST SP 800-171/CMMCへの対応（組織・プロセス認証の活用）\u003C/h3>","\u003Cp>これは、連邦政府や国防総省（DOD）との契約における情報保護の「事実上の最低基準」です。\u003C/p>\u003Cp>\u003Cspan class=\"table\">  \u003Cspan class=\"table-thead\">    \u003Cspan class=\"cell col2-5\">対策項目\u003C/span>    \u003Cspan class=\"cell col2-6\">最初に取り組むべき具体的なステップ\u003C/span>    \u003Cspan class=\"cell col2-6\">認証制度による補完・強化\u003C/span>  \u003C/span>  \u003Cspan class=\"table-tbody\">    \u003Cspan class=\"cell col2-5\">適用範囲の特定と準拠\u003C/span>    \u003Cspan class=\"cell col2-6\">CUI (Controlled Unclassified Information) の取り扱い範囲を特定し、NIST SP 800-171の110の要件（アクセス制御、監査、構成管理など）に対するギャップ分析を実施する。\u003C/span>    \u003Cspan class=\"cell col2-6\">ISO/IEC 27001 (ISMS) 認証を取得することで、NIST SP 800-171の管理面・組織面の多くを包括的にカバーし、情報セキュリティ管理体制の確立を客観的に証明できる。\u003C/span>  \u003C/span>  \u003Cspan class=\"table-tbody\">    \u003Cspan class=\"cell col2-5\">文書化と証明\u003C/span>    \u003Cspan class=\"cell col2-6\">満たしていない要件への対応計画（POA&M）を作成し、進捗を明確に文書化する。\u003C/span>    \u003Cspan class=\"cell col2-6\">CMMC認証レベルの取得準備を進めることで、DODとの取引に必須となる第三者によるセキュリティ体制の証明を可能にする。\u003C/span>  \u003C/span>\u003C/span>\u003C/p>",{"id":80,"heading":7,"summary":81,"body":82,"gallery":7},3168,"\u003Ch3>2. SBOMの生成と管理（製品の透明性と脆弱性対応）\u003C/h3>","\u003Cp>ソフトウェアの「成分表」であるSBOMは、サイバーサプライチェーンの\u003Cstrong>透明性確保\u003C/strong>とリスク管理に不可欠です。\u003C/p>\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">対策項目\u003C/span>\u003Cspan class=\"cell col2-6\">最初に取り組むべき具体的なステップ\u003C/span>\u003Cspan class=\"cell col2-6\">認証制度による補完・強化\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">自動化ツールの選定\u003C/span>\u003Cspan class=\"cell col2-6\">SCA（ソフトウェア構成分析）ツールを導入し、開発プロセス（CI/CD）に組み込み、SBOMを自動的に生成・更新する体制を確立する。\u003C/span>\u003Cspan class=\"cell col2-6\">IEC 62443-4-2（コンポーネントの技術要件） 認証を活用することで、デジタル製品の構成要素の安全性と、SBOMによって開示される情報自体の信頼性を示すことができる。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">提供フォーマットの決定\u003C/span>\u003Cspan class=\"cell col2-6\">顧客が要求するSBOMの標準フォーマット（SPDXやCycloneDX）を確認し、正確なSBOMを迅速に提供できる仕組みを整える。\u003C/span>\u003Cspan class=\"cell col2-6\"> \u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":84,"heading":7,"summary":85,"body":86,"gallery":7},3169,"\u003Ch3>3. セキュア開発プロセスの導入（製品・システム認証の活用）\u003C/h3>","\u003Cp>デジタル製品のセキュリティを設計段階から確保し、「Secure by Design」を実現するための対策です。\u003C/p>\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">対策項目\u003C/span>\u003Cspan class=\"cell col2-6\">最初に取り組むべき具体的なステップ\u003C/span>\u003Cspan class=\"cell col2-6\">認証制度による補完・強化\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">SSDF (Secure Software Development Framework) の導入\u003C/span>\u003Cspan class=\"cell col2-6\">開発ライフサイクル（SDLC）にセキュリティ要件定義、SAST/DASTによる解析、脆弱性テストを統合し、安全なコーディング習慣を組織に根付かせる。\u003C/span>\u003Cspan class=\"cell col2-6\">IEC 62443-4-1(組織・プロセス)認証を取得することで、OT/ICS(産業制御システム)分野の国際標準に準拠したセキュア開発プロセスが確立されていることを客観的に証明できる。\u003Cbr>さらに、IEC 62443-4-2（製品/コンポーネント） 認証、または IEC 62443-3-3（システムセキュリティ要件） 認証を取得することで、開発した製品やシステムがICSの国際的なセキュリティ基準を満たしていることを客観的に証明できる。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">システムインテグレーション\u003C/span>\u003Cspan class=\"cell col2-6\">システムインテグレーターとして重要インフラ施設にシステムを導入する場合、セキュリティを考慮した設計・実装を行う。\u003C/span>\u003Cspan class=\"cell col2-6\">IEC 62443-2-4（システムインテグレーター/サービスプロバイダーの要求事項） 認証を取得することで、安全性の高いシステム導入サービスを提供できる能力を証明し、顧客の信頼を得る。\u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":88,"heading":7,"summary":89,"body":90,"gallery":7},3170,"\u003Ch3>4. インシデント対応能力の整備（迅速な初動と報告）\u003C/h3>","\u003Cp>CIRCIAなどの報告義務に対応するため、インシデント発生時の\u003Cstrong>迅速な初動と報告体制\u003C/strong>を確立します。\u003C/p>\u003Cp>\u003Cspan class=\"table\">\u003Cspan class=\"table-thead\">\u003Cspan class=\"cell col2-5\">対策項目\u003C/span>\u003Cspan class=\"cell col2-6\">最初に取り組むべき具体的なステップ\u003C/span>\u003Cspan class=\"cell col2-6\">認証制度による補完・強化\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">連絡体制の明確化\u003C/span>\u003Cspan class=\"cell col2-6\">重大なインシデント発生時に、米国の顧客や関連規制当局（CISAなど）への報告責任者、報告内容、72時間以内の報告期限を定めた文書（インシデント対応計画）を作成する。\u003C/span>\u003Cspan class=\"cell col2-6\">ISO/IEC 27001 の要件に含まれるインシデント管理プロセスを確立することで、対応手順が明確化され、報告までの時間短縮と組織的な連携がスムーズになる。\u003C/span>\u003C/span>\u003Cspan class=\"table-tbody\">\u003Cspan class=\"cell col2-5\">定期的な演習（Tabletop Exercise）\u003C/span>\u003Cspan class=\"cell col2-6\">自社製品に起因する脆弱性を悪用されたシナリオを設定し、インシデント対応、法務、広報の連携シミュレーションを定期的に実施する。\u003C/span>\u003Cspan class=\"cell col2-6\"> \u003C/span>\u003C/span>\u003C/span>\u003C/p>",{"id":92,"heading":93,"summary":7,"body":94,"gallery":7},3171,"まとめ: 規制対応を、米国市場における競争優位性へ","\u003Cp>本稿では、米国市場で事業を展開する日本企業が直面する、複雑かつ多層的なサイバーセキュリティ法規制について解説しました。連邦、州、業界ごとの規制、そしてサプライチェーン全体に課される要求は、もはや避けては通れない経営課題です。\u003C/p>\u003Cp>\u003C/p>\u003Cp>しかし、これらの規制対応は単なるコストや負担ではありません。以下のステップを戦略的に実行することで、貴社の製品と開発プロセスの安全性を客観的に証明し、米国市場における強力な競争優位性を築くことができます。\u003C/p>\u003Cp>\u003C/p>\u003Cp>第一歩はリスクアセスメントから: まず自社製品がどのような環境で利用され、いかなるリスクに晒されうるかを評価し、取り組むべき対策の優先順位を明確にします。\u003C/p>\u003Cp>\u003C/p>\u003Cp>NISTフレームワークへの準拠: 政府調達の要件であるNIST SP 800-171やCMMCへの対応は、サプライチェーンにおける信頼の基盤となります。\u003C/p>\u003Cp>\u003C/p>\u003Cp>SBOMによる透明性の確保: ソフトウェアの構成要素を明確にするSBOMは、もはや「特別な要求」ではなく、製品の透明性を示すための標準要件となりつつあります。\u003C/p>\u003Cp>\u003C/p>\u003Cp>セキュア開発プロセスの確立: 「Secure by Design」を実現するため、NIST SSDFやOT/ICS分野の国際標準であるIEC 62443-4-1に準拠した開発プロセスを導入し、製品ライフサイクル全体でセキュリティを確保します。\u003C/p>\u003Cp>\u003C/p>\u003Cp>これらの要求に先回りして対応することは、顧客からの信頼を獲得し、ビジネス機会を拡大するための重要な投資です。本稿が、貴社の米国事業戦略の一助となれば幸いです。\u003C/p>",[96],{"id":10,"company":97,"name":98,"profile":99},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343195]