「重要インフラ(コンピュータシステム)保護条例(PCICSO)」は、香港政府がCIO(重要インフラ事業者)のサイバーセキュリティとレジリエンスを強化するために導入した新たな枠組みである。 2026年1月から施行される本条例は、CIOに対し、サイバー脅威からコンピュータシステムを保護し、リスクを積極的に管理し、サイバーセキュリティインシデントに効果的に対応する法的義務を定めています。この規制により、重要インフラの運営者は、システム、デバイス、およびデータの取り扱いに関して、厳格かつ強制力のある管理措置を講じることが求められることが明確になりました。
重要インフラ(コンピュータシステム)保護条例(PCICSO)
PCICSOの規制枠組みは、CIO(最高情報責任者)に対し、サイバーリスク管理のための包括的かつ体系的なアプローチを提供することを目的として、3つの主要な義務を中核として構成されています。CIOとは、コンピュータシステムの基幹業務への依存度、管理対象データの機密性、インフラに対する運用および管理上の統制レベル、ならびにコンプライアンスのために提供された情報に基づき、規制当局によって指定された組織を指します。
CIOが遵守すべき3つの主要な義務は以下の通りです:
- 組織面:サイバーセキュリティに関する明確な責任の所在、方針、および監督体制を確保するためのガバナンスおよび組織上の要件。
- 予防措置:重要なコンピュータシステムを保護するため、運用者に適切な技術的および運用上の安全対策を講じることを求める予防的・保護的な措置。
- インシデントの報告と対応:重大なサイバーセキュリティインシデントの迅速な検知、対応、および通知を義務付ける機能。
主なポイント
この条例は幅広い要件を網羅していますが、CIOが留意すべき重要なポイントはいくつかあります。条例の別表3第1部によると、事業者は以下の目的のためのポリシーを策定することが義務付けられています:
- コンピュータシステムのセキュリティおよびシステムの脆弱性に関連するリスクを特定、評価、監視、軽減し、対応する
- 重要なコンピュータシステムへのアクセスを管理する
- システムに採用されているコンピュータ関連のサービスおよび製品のサプライヤーを管理する
コンプライアンスを支援する業界をリードするソリューション
基盤としてのデバイスおよびEndpoint
PCICSOガイドラインでは、Endpoint 態勢と脆弱性管理が特に重視されており、脆弱性を適時に検出、評価、および是正することが求められています。コンプライアンスに準拠したデバイスのみが重要システムへのアクセスを許可されるべきであり、パッチが適用されていない、ソフトウェアが古い、またはセキュリティリスクのあるエンドポイントは、是正されるまでブロックまたは制限されなければなりません。MetaDefender 、アクセスを許可する前にデバイスのコンプライアンスを強制し、各エンドポイントを組織のポリシーに照らして評価することで、これらの要件への準拠をサポートします。この評価には脆弱性とパッチ適用状況が含まれており、必要なセキュリティ態勢を満たしているデバイスだけが接続できるようにします。
さらに、MetaDefender Endpoint 、オペレーティングシステムやサードパーティ製アプリケーションを含むエンドポイント全体の脆弱性およびパッチ管理Endpoint 。1,100以上のアプリケーションに対するパッチ適用をサポートし、脆弱性を積極的に検知してリスクを是正し、推奨される修正策を提供します。監査可能なコンプライアンスの徹底やインシデント調査のため、すべてのエンドポイントのセキュリティおよびコンプライアンス状況は、My Central Management一元的に監視・監査することができます。
リムーバブルMedia 軽減
アクセス制御は、本条例における重点分野の一つです。これにより、CIOはリムーバブルメディアを含め、重要システムへのあらゆるアクセス経路を慎重に管理する必要性が高まっています。
USB その他のポータブルメディアの使用は、特にネットワークがセグメント化または隔離されている運用環境において依然として一般的であり、OT/ICS環境において高リスクな攻撃経路となっています。SANSの「2025年OT/ICS予算報告書」によると、攻撃経路の15.2%は、不正アクセスを受けたリムーバブルメディアに起因するものでした。
こうしたリスクを軽減するため、OPSWAT 以下の機能を通じて、組織がリムーバブルメディアに関連するリスクを未然に防ぐOPSWAT :
- 持ち込みMedia アクセスポイントで軽減:MetaDefender 、持ち込みメディアをアクセスポイントでスキャンおよびクリーンアップすることで、重要環境へのデータ流入を保護します。本製品はエマーソンの「DeltaV Silver Alliance」の一員として認定されており、多様な環境やユースケースにおいてその有効性が実証されています。
- 稼働環境Endpoint とデバイス制御: MetaDefender 、リムーバブルメディアの挿入時にアクティブにスキャンを行い、重要なシステム内では安全なデバイスやコンテンツのみにアクセスできるようにすることで、稼働環境向けの高度なエンドポイント保護を提供します。
- Media 追加の防御層: MetaDefender Endpoint およびMetaDefender Media 、スキャンおよびサニタイズポリシーを適用することで、セキュリティをさらに強化します。
- 一元化された保護監視: My Central Management を通じて、MetaDefender およびMetaDefender 、デバイスへのアクセス制御、ポータブルメディアの使用状況の監視と管理、およびアクティビティのログ記録を行うための一元化されたポリシー適用をサポートします。
請負業者およびSupply Chain におけるSupply Chain アクセス管理とSecure 保存
重要インフラは完全に孤立した状態で運用することはできないため、日常業務において、ベンダー、請負業者、パートナーが持ち込む外部デバイスへのネットワークアクセスを許可する必要が生じることがよくあります。サードパーティ製のノートパソコンや代替ワークステーションといった一時的なデバイスは、時間的制約や検証ツールの不足により、適切な審査をすり抜けてしまう可能性があり、初期の攻撃経路となる恐れがあります。
SANSの「2025年ICS/OT」およびIBMの「2025年データ侵害のコスト」に関する最新の業界データによると、以下のことが明らかになった:
- 一時的なデバイス攻撃が221%急増した
- OTインシデント全体の27.3%は、一時的なデバイスに起因していた
- サードパーティおよびサプライチェーンにおけるセキュリティ侵害による被害額は、1件あたり平均約490万ドルに上る
MetaDefender Drive 、一時的なデバイスが重要なネットワークへのアクセスを許可される前に、それらをスキャンして検証することで、こうした課題に対処するようにDrive 。安全なプレブートスキャンにより、運用担当者はホストOSのレベルを超えてデバイスを検査し、ネットワークへの侵入前に隠れた脅威を検知することができます。
運用上の制約により電源を切ることができない重要システムに対し、MetaDefender Drive セッション中のスキャンDrive 、オペレーティングシステムが稼働している状態でもデバイスの検査が可能となり、ダウンタイムが許されない重要な環境においても詳細な検査を実施できます。
さらに、MetaDefender Drive Smart Touch」は、USB と同様にデータを保存できる一方で、スキャンされていないファイルは非表示にし、スキャン済みのファイルのみを共有または配布できるようにすることで、安全なファイル保存を実現します。
ネットワークのセグメンテーションと一方向データフロー
PCICSOは、論理的なセグメンテーションを超えて、特定の重要システムには、ソフトウェアベースの制御手段が提供する保証以上の強固な保証が必要であることを認識しています。ファイアウォール、ACL、およびセグメンテーションポリシーは、設定ミス、認証情報の悪用、ゼロデイ攻撃に対して依然として脆弱です。可用性と完全性が極めて重要な高影響度システムにおいては、物理的に信頼境界を確立することが決定的な制御手段となります。
MetaDefender 、ハードウェアによる一方向データフローを実現することでこの要件に対応し、監視、分析、コンプライアンス報告のために重要な環境からデータを出力できるようにすると同時に、外部からの通信を遮断します。 ポリシーの適用に依存する従来のネットワーク制御とは異なり、このアプローチは設計上、特定の種類の攻撃ベクトルを根本から排除します。これにより、マルウェア、リモートコマンド、およびラテラルムーブメントが保護されたシステムに逆流することを防ぎ、システム的なリスクの低減と重要システムへの侵入経路の制限を重視するPCICSOの指針を支援します。
運用面において、MetaDefender を活用することで、CIOはシステムの分離性を損なうことなく、監視、ログ記録、および報告に関する義務を履行することができます。ログ、テレメトリ、および運用指標は、IT環境やSOC環境へ安全に送信され、一元的な分析が可能となる一方で、OTシステムや制御システムはそのまま維持されるため、法令への準拠が実現されます。
コンプライアンスからレジリエンスへ
香港の新しいサイバーセキュリティ条例のガイドラインを適用することで、組織はデバイスのコンプライアンス確保、ファイルの移動管理、リムーバブルメディアの管理、およびネットワークのセグメンテーションを効果的に実施できます。重要インフラの相互接続性が高まる一方で、依然として停止が許されないシステムに依存している現状において、セキュリティ対策は業務を中断させることなく運用されなければなりません。
OPSWAT 、エンドポイント、リムーバブルメディア、一時的なデバイス、データフローにわたってこれらの機能を統合し、一般的な侵入経路に対処するとともに、規制当局が求める可視性を提供します。OPSWAT 重要インフラ組織のこうした要件への対応やサイバーレジリエンスの強化OPSWAT どのようにOPSWAT について、詳しくは、ぜひ当社の専門家までお問い合わせください。
