NIS2 とは

NIS2 指令は、サイバーセキュリティに関する EU 全体の法律であり、旧バージョンであるネットワークおよび情報セキュリティ（NIS）指令の更新版です。その目的は、EU 加盟国全体で共通のレベルのサイバーセキュリティを構築することです。一般データ保護規則（GDPR）と同様、NIS2 は EU 加盟国全体の対策とアプローチを調和させてデジタルインフラのセキュリティを確保するものであり、GDPR と異なるのはサイバー攻撃の増加に対応するためのベストプラクティスであるという点です。

ランサムウェアやデータ漏えいなどのサイバー攻撃が EU 全体の組織や企業に与える影響は、ますます大きくなっています。 ENISA（欧州ネットワーク情報セキュリティ機関） は、脅威情勢に関するレポートを公開し、新しい形態のフィッシング攻撃やゼロデイ攻撃が EU 全体の組織に対する攻撃で効果的に使用されていると警告しています。NIS2 の目的は、広範囲の適用に加え、エネルギー、小売、運輸、銀行、ヘルスケア、行政などの極めて重要なセクターの「不可欠な組織と重要な組織」におけるサイバーセキュリティを強化することです。また、この指令は国境を越えたサプライチェーンやサービスベンダーのセキュリティもカバーしています。

NIS2 は、2023 年 1 月 16 日に発効しており、EU 加盟国は 2024 年 10 月 17 日までに国内法に反映しなければなりません。その後、施行されます。

NIS2 は、包括的かつ厳格なセキュリティ管理を実施して、リスクを軽減し、システムやデータへのサイバーセキュリティ被害を防止することを求めています。要件はあらゆる IT システムやリソースをカバーしており、ランサムウェア、フィッシング、不正アクセスからの IT 環境の保護などが定められています。

Akamai のセキュリティソリューションは、インテリジェンスとエンドツーエンドの保護を提供し、重要なインフラ運用技術（OT）、IT システム、データを侵害、セキュリティインシデント、マルウェア感染、偶発的なデータ漏えいから保護します。 Akamai のセキュリティプラットフォームは、組織においてデータ保護にゼロトラスト原則を適用するために必要な、動的セキュリティを提供します。 

Akamai は、従来のエンドポイント検知を超える強力なゼロトラスト・ソリューションを提供することでデータのセキュリティとプライバシーを保護し、セキュリティチームがセキュリティ投資の効果と ROI を最大限まで引き出せるように支援します。

Akamai では、次のものを提供しています。

• ゼロトラスト・セキュリティを実行し、IT 環境、IoT 環境、OT 環境を包括的にカバーする、グローバルなセキュリティプラットフォーム
• 資産、アクセス、ネットワークフローの詳細な可視性
• セキュリティポリシーの緻密な適用

NIS2 指令第 21 条では、対象組織は「適切な技術的および組織的な対策」によってサイバーリスクを管理する必要があることが強調されています。これらの対策には以下が含まれます。

• リスク分析と情報セキュリティポリシー
• 徹底したインシデント対応
• 事業継続性と危機管理
• 堅牢なサプライチェーンセキュリティ
• 広範なネットワークセキュリティ
• 脆弱性への対応と開示
• サイバーセキュリティリスク管理の有効性を評価するポリシーと手順
• 暗号技術と暗号化の使用
• 多要素認証の使用

NIS2 の対象は、EU 内で事業を行っているすべての企業です。これには「経済および社会全体にとって重要な機能を果たす、域内市場のすべての公開企業と非公開企業」が含まれ、対象組織は「適切なサイバーセキュリティ対策を講じる必要があります」。

この指令は、「対象組織」を不可欠な組織（EE）と重要な組織（IE）の 2 つのタイプに分けています。コンプライアンスに関する 2 つのクラスの違いは、不可欠な組織にはコンプライアンスの監視、インシデント報告義務、情報システム全体における実施策に関するより厳格な規制要件が課されていることです。各タイプの組織には、次のようなものがあります。

以下のセクターで事業を行っている事業体は、不可欠な組織（EE）とみなされる場合があります。

• 運輸
• エネルギー
• 銀行
• ヘルスケア
• 水道

以下のセクターで事業を行っている事業体は、重要な組織（IE）とみなされる場合があります。

• 郵便および宅配サービス
• 廃棄物管理
• 化学物質の生産および処理
• 食品
• デジタルプロバイダー（検索エンジン、ソーシャル・ネットワーキング・プラットフォームなど）

NIS2 の影響を受ける 3 つのセクターの例を次に示します。

ヘルスケア — ヘルスケアは NIS2 において不可欠なサービスに位置付けられているため、ヘルスケア組織はサイバーリスクを緩和して IT システムやデータの被害を防止するリスク管理対策など、NIS2 の厳しい規制要件を遵守する必要があります。さらに、インシデント管理、サプライチェーンサイバーセキュリティ、ネットワークセキュリティ、アクセスコントロール、データ暗号化は中核的な要件です。ヘルスケア組織などの不可欠なサービスは、ゼロトラスト・ソリューションを使用して、これらの厳しいセキュリティ要件を遵守することができます。ゼロトラストは、より少ないリソースを使用して広範なネットワークやサプライチェーン全体で堅牢なセキュリティを実現することで、コンプライアンスの達成に要する時間を短縮します。

小売企業 — 2022 年の Sophos のレポート「 小売業におけるランサムウェアの現状 」は、小売業界を標的とする脅威が増加傾向にあることを明らかにしています。同レポートによると、2021 年には小売企業の 77% がランサムウェア攻撃の被害を受けています。NIS2 は明示的に、「食品の生産、処理、流通」と「オンライン市場のプロバイダー」を「重要なサービス」と見なしています。"そのため、多くの小売企業が NIS2 の対象となります。ゼロトラスト・セキュリティを実現することにより、小売企業は IT 環境を包括的に保護し、資産、アクセス、ネットワークフローを詳細に可視化し、きめ細かいセキュリティポリシーを活用することができます。この包括的なアプローチを利用することで、小売企業は NIS2 のコンプライアンスを達成するのに必要な多くの要件を満たすことができます。

サードパーティサプライヤーおよびサービスプロバイダー - Gartner の予測によると、2025 年までに世界中の組織の 45% がソフトウェアサプライチェーンに対する攻撃を経験すると見られています。 サプライチェーンは、チェーンからエンタープライズに侵入しようとするハッカーにとって絶好の標的です。NIS2 は、重要な情報技術や通信技術のサプライチェーンに対する厳格なリスク管理要件によって、このサイバーセキュリティリスクに対処します。NIS2 は、サプライヤーのサイバーセキュリティ対策の質の評価など、積極的なアプローチによってサプライチェーンのリスク管理を行うことを求めています。サードパーティサプライヤーは、セキュリティのゼロトラスト・モデルのセキュリティを使用し、たとえば最小限の特権アクセスが実施されるような、包括的なセキュリティ対策を確実に講じる必要があります。

NIS2 は、一連のサイバーセキュリティ対策とリスク管理活動を実施することを義務付けています。対策には、アクセス制御や最小限の特権の適用、堅牢な多要素認証、ランサムウェアなどの悪意のあるコードを抑止、検知、または防止するための対策が含まれます。Akamai の一連のソリューションは、ゼロトラスト・セキュリティを提供し、お客様がランサムウェアなどの高度な攻撃の拡散を阻止するのをサポートするように設計されています。Akamai は、クラウドコンピューティングや従業員の分散に起因するリスクの増大などの脆弱性から組織を保護するための支援をします。

• アプリケーションと API の保護：DDoS を防止し、資産を保護します
• Akamai Account Protector：高度な機械学習、ふるまい分析、レピュテーションヒューリスティックに基づいて、人間の不正な活動やアカウントの乗っ取りを積極的に特定し、ブロックします
• アクセスと認可：ゼロトラスト・アーキテクチャにより、コンプライアンスを簡素化します