「今日のテクノロジーの可能性はセキュリティ課題を新たな次元に導きます」とT. Rauchは強調します。「たとえば、量子コンピューティングを使えば、私たちが現在頼りにしている複雑なセキュリティメカニズムさえも破ることができるでしょう。」人工知能も一役買っています。「最近成立したサイバー・レジリエンス法（CRA）などのEUの新しい規制は、集中的にリソースを割いてこの問題に対処すること、それをサプライチェーン全体で実施することを企業に求めています」とマネージャは言い添えます。問題は、パニックになることなくこうした課題に対処するにはどうすればよいかです。

企業がこうした複雑な課題に対応するには、ポスト量子暗号の発達をも考慮した先進のテクノロジーソリューションを採用し、激化し続ける新たな脅威との競争において常に優位に立つことを目指さなければなりません。

ヒルシャーはこの取り組みの最前線に立っています。「当社は、産業用通信のエキスパートとして、社内に培った専門知識を活用しています。」同社に入社して2年になるT. Rauchはこう語ります。「ワンストップ・ショッピング」という概念のもと、ドイツのハッタースハイムに本社を置くヒルシャーは、新たな攻撃ベクトルからの保護専用に設計されたソフトウェアとハードウェアのソリューションを連携させ、組み合わせて提供しています。「これにより、新たな課題のすべてに包括的に対応することができます」とCTOは付け加えます。彼は、フランクフルト近くのハッタースハイムにあるヒルシャー本社と、ベルリンとブルガリアのヴァルナにある開発拠点で、netXチップ、プロトコル・スタック、産業用IoTの技術開発を率いています。「当社には新たな攻撃ベクトルに対抗する秘訣があります。」彼は続けます。「将来、ソフトウェアだけを使って高度なセキュリティを確保するのは不可能になるでしょう。」

「当社のソリューションには、オープン・ソース・コミュニティと、当社がメンバーとして活動しているリアルタイム・イーサネットとフィールドバスの組織が持つ専門知識が組み込まれています。こうした組織に直接関わることで、新たに生じる要件を完全に理解することも可能になっています」とRauchは続けます。彼は、ODVAのCIP Securityや、PROFIBUS & PROFINET InternationalのPROFINET Security、OPC UAセキュリティを例に挙げています。通信ソリューションの導入場所も重要であり、セキュリティのライフサイクル全体を考慮する必要があります。

「業界ですでに使用され、確固たる地位を築いているnetX 90チップ世代は、現行のセキュリティ要件をすべて満たします」とCTOは断言します。「先進のセキュリティメカニズムがチップに統合されているのです。」このネットワーク・プロセッサは、IEC 62443とサイバー・レジリエンス法のセキュリティ規格を満たすように特別に設計されており、産業用IoTにおける通信をセキュアに行うための強固な基盤となります。

「たとえば、当社のnetX 90はセキュアブートメカニズムを備えています。アプリケーション側でファームウェアに署名できるため、悪意のあるソフトウェアをロードすることは不可能です」と42歳のマネージャは説明します。セキュリティの問題は、あらゆる製品領域でますます重要になっています。ヒルシャーは、さまざまな通信プロトコル向けの新しいセキュリティメカニズムも含めて、将来のセキュリティ規格をすべて満たすことを目指しています。

ヒルシャーは、新しいnetX 900世代でさらに一歩前進しています。このセキュアなギガビット通信プロセッサは、さまざまなレベルのセキュリティメカニズムを統合すると同時に、低い消費電力で高いパフォーマンスを提供します。セキュリティ管理処理には、セキュアデバッグ、一意のID、キー管理、証明書管理、ライフサイクル管理、暗号エンジンなどの機能が含まれています。 

増大するリスクを受けて、規制要件は不可欠なものとなっています。最近成立した欧州連合のサイバー・レジリエンス法（CRA）は、3年の猶予期間の後に発効しますが、製造業者によるセキュリティインシデントの報告義務といった一部の条項は、それよりもずっと早く施行されます。CRAはCEラベルの取得に必要な条件となります。影響を受ける製品の販売業者は、CRAの要件を満たすことを求められます。

CRAと関連する規制要件（セキュリティパッチを少なくとも5年間提供する義務など）の採用は、グローバル市場に多大な影響を与えます。報告義務には、関係当局に24時間以内に問題を通知することも含まれます。こうした義務を果たさなかった場合の罰則は、一般データ保護規則（GDPR）に違反した場合の罰則と同程度です。T. Rauchは、産業用通信に対する高度な要件はポートフォリオと市場の統合につながると確信しています。

「産業用通信のイネーブラーであるヒルシャーなら、こうした高度なセキュリティ要件を満たすことができます」とT. Rauchは自信を持って断言します。これは、通信コントローラから、netFIELDのエッジ・コンピューティング・ソリューションやエッジ管理ソリューションを使用したIoTにいたるまで、ヒルシャーのポートフォリオ全体に当てはまります。「IoT業界では大きな変化も起こっています。半開発のLinuxアプリケーションの製造業者や自社で構築したソリューションの運用業者がCRAの基準を満たさなければならなくなるのがその理由です。」彼の意見では、多くのプロバイダにとって、増大を続けるITセキュリティ要件を自社ソリューションが継続的に満たせるようにすることは経済的に不可能です。多大なリソースの割り当てと多額の投資が必要になるためです。

「当社では、こうした規制は難しい問題であると同時に、セキュリティの先駆者としての地位を確立するチャンスでもあると考えています」とマネージャは嬉しそうに語ります。「私たちはお客様が直面しているリスクを理解しており、適切に対応することができます。」ヒルシャーでは、こうした規格にいち早く適合し、セキュリティエキスパートの専任チームを作ることで、顧客が複雑な認証プロセスを無事に終えられるよう導き、包括的なセキュリティポートフォリオを提供することも可能になっています。これには、プロセス側と製品側の両方でIEC 62443のセキュリティ規格を確立することが含まれます。NIS 2指令も影響を受けます。ヒルシャーは必要な専門知識を有しています。

ヒルシャーには、CRAの施行に間に合うように、TÜV Rheinlandからプロセスと製品のIEC 62443認証を受けるという明確なプランがあります。プロセスの一定の成熟度について定められたMaturity Level 2から始める予定です。一定の成熟度を達成するには、製品を開発または統合する際に、プロセス関連のすべての要件を常に遵守する必要があります。「SPS 2024までにはプロセスの認証について最終的な報告ができる見込みです」とT. Rauchは説明します。

システムの技術要件（IEC 62443-3-3）と製品の技術要件（IEC 62443-4-2）は、規格に従って4つのセキュリティレベル（SL）で評価されます。異なるレベルは、さまざまな攻撃者クラスに対するレジリエンスのレベルを示しています。「それに合わせて当社の製品を分類する予定です」と彼は続けます。「その後、製品の認証が始まり、2つの段階を踏んでSPS 2026までに完了します。」この通信専門企業は、成功を確実なものとするため、プロのコンサルティング会社も利用しています。

もう1つの課題は、現行のNIS 2指令です。NISの目的は、攻撃者を寄せつけず、セキュリティインシデントに備えることです。NIS 2では新たに適用範囲が拡大されました。本指令では、サイバーセキュリティが多くの中規模企業にまで拡大されています。NIS 2の期限は2024年10月18日です。「NIS 2には、ISO 27001規格に準拠した情報セキュリティで十分に対応できます」とT. Rauchは述べています。「IEC 62443とISO 27001の両方の規格を適用することをお勧めします。当社はISO 27001認証にも取り組んでおり、2025年までの完了を目指しています。」