連載
» 2019年10月21日 10時00分 公開

「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(1):経産省BASセキュリティガイドラインの必要性と策定の経緯 (2/2)

[佐々木 弘志 / マカフィー,BUILT]
前のページへ 1|2       

「Connected Industries」実現に向けた経産省の取り組みの一つ

■2.なぜ、経済産業省がガイドラインを策定したのか?

 次に、なぜ「経済産業省」が、ビルシステムのセキュリティガイドラインを策定したのかについて説明する。まずは、本ガイドラインの策定のもととなった産業サイバーセキュリティ研究会の設立の経緯から説明しよう。

 産業サイバーセキュリティ研究会は、2017年12月に経済産業省主導のもとに設立された。設立時の資料※3を要約すると、この研究会の目的は、「Connected Industries※4の実現を推進し、さまざまなデータのつながりが生まれることで世の中が便利となるが、つながることが新たな攻撃の機会にもなるため、サプライチェーン全体、産業界全体の安全・安心を確保するための課題に取り組むこと」である。

 この研究会のもと、課題別に3つのワーキンググループが設置された。その一つである「WG1:制度・技術・標準化」は、その名の通り、Connected Industriesのセキュリティに関する制度・技術・標準化を検討する場である。このWG1の成果として、サイバー空間と物理空間が融合したシステム(サイバー・フィジカルシステム)全体のセキュリティ対策の枠組みである「サイバー・フィジカル・セキュリティ対策フレームワーク(以下、CPSF)※5」が2019年4月に公開された※6

 このCPSFの最大の特徴は、「システム全体」を捉えているところである。すなわち、事業者が主体ではなく、システム全体が主体となっているため、システムに関わる多様な関係者が共通して参照するセキュリティ対策を示したものとなっているのだ。

 さらに、CPSFは産業界共通のフレームワークであるため、実際の対策ガイドラインに落とし込むには、リスクや価値構造の異なる業界別の検討が必要だということで、WG1の配下に、5つのサブワーキンググループ(「ビル」「電力」「防衛産業」「自動車産業」「スマートホーム」)を設置して、それぞれの業界別のセキュリティ対策を検討することになった。

 本ガイドラインは、このうちの「ビル」のサブワーキンググループの成果として、CPSFを参照して策定されたものである。CPSFの特徴に従って、本ガイドラインは、ビルシステム全体を対象としている(図2)。これは1のガイドラインの前書きの説明で示した、ビル特有の業界構造からくる要請に応えたものといえる。ここに至って、ようやく経済産業省と本ガイドラインがつながった。

 本ガイドラインを策定した「ビル」のサブワーキンググループは、経済産業省主導のもと、ビルオーナーを始めとする多様なビルシステム関係者によって構成されているが、オブザーバーとして、他の省庁も参加しており、国土交通省はもちろんのこと、東京オリンピック・パラリンピックの関係組織も名を連ねている。従って、日本のビルシステム関係者全体の取り組みであるといえるであろう。

図2:ビルシステム全体の標準モデル (本ガイドラインより抜粋)

※3.https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/001_03_00.pdf

※4.https://www.meti.go.jp/policy/mono_info_service/connected_industries/index.html

※5.Cyber/Physical Security Framework(海外のIoTセキュリティ関連ガイドラインとの協調を目指し、英語版も同時リリース)

※6.https://www.meti.go.jp/press/2019/04/20190418002/20190418002.html

まとめ

 以上のように本連載の第1回では、本ガイドラインの必要性と成立の経緯を説明した。

  • なぜ、今、ガイドラインが必要なのか?

→環境変化と脅威の高まりによって、既に海外ではビルシステムへのサイバー攻撃による被害が発生している。

多様な関係者が存在するビルシステムには、共通して参照できるセキュリティ対策が必要である。

  • なぜ、経済産業省がビルのガイドラインを策定したのか?

⇒経済産業省の政策である「Connected Industries」実現に向けた取り組みの一環である。ただし、ビルシステム関係者に加えて、国土交通省などもオブザーバーとして参加しているため、日本のビル関係者全体の取り組みといえる。

 ビル関係者の方は、少しは「自分」に関係あると興味をもっていただけたかもしれない。次回は、ガイドライン全体を俯瞰し、各章のポイントを解説する。

著者Profile

佐々木 弘志/Hiroshi Sasaki

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP。制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産業省 情報セキュリティ対策専門官(非常勤)、2017年7月からは、IPA産業サイバーセキュリティセンターのサイバー技術研究室の専門委員(非常勤)として、産業サイバーセキュリティ業界の発展をサポートしている(2019年10月現在)。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.