【第2回】セキュリティ業界と一般的な「ガイドライン」の“ズレ”とは？：「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説（2）（1/2 ページ）

本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。連載第2回は、一般に普及しているセキュリティのガイドラインの特徴について説明する。

[佐々木 弘志 ／ マカフィー，BUILT]

　前回の初回では、ガイドラインの必要性について確認した。今回は、前提として、一般に普及しているセキュリティのガイドラインの特徴について説明したあとで、ガイドライン全体を俯瞰（ふかん）し、各章のポイントを解説していく。

　■セキュリティのガイドラインの特徴

　■ガイドラインの全体像と各章のポイント

1．セキュリティのガイドラインの特徴

　ガイドラインの中身に入る前に、セキュリティ対策のガイドラインの特徴について触れておく。実は、ビル・建設業界の皆さんがイメージする「ガイドライン」と、セキュリティ業界における「ガイドライン」とはズレがあるのだ。その違いについて説明する。

　例えば、ビル業界で知られているガイドラインのひとつに、国土交通省による建設業の法令順守ガイドライン※1がある。これは、ビル建設時における元請け下請け間の取引適正化を図るため、建設業法の各条文の運用について、どのような行為が法令違反となるかを示し、適切な対応例を示しているものである。すなわち、「法規制」のような明確なルールがあって、それを実行するための手引き書が、「ガイドライン」だという認識ではないかと思う。

　しかし、その認識で、本ガイドラインを読むと、違和感を覚える人は多いだろう。なぜなら、本ガイドラインには、ビルシステムのセキュリティ対策要件は記載されているものの、それを実際にどうやるかまでは、書かれていなからである。

　これには、いくつか事情がある。まず、第1に、セキュリティ業界においては、明確な法規制というもの自体が存在しない場合が多い。したがって、ガイドラインは、義務ではないものの、事業者が参照する最上位のドキュメントとなるため、ガイドライン自身が、そもそもの対策の考え方やルールを示すことが必要であるということである。

　第2に、セキュリティ業界の場合は、常に攻撃者の存在を意識しなければならないということである。すなわち、セキュリティガイドラインは守り方を示すものであるが、あまり具体的に書きすぎると、攻撃者がそれを知った上で対策を回避しやすくなる。皆さんのビル保安においても、防犯センサーや監視カメラをどこに置いているといった情報を一般に公開することはないだろう。

　このセキュリティの「ガイドライン」の考え方は、セキュリティ業界の人にとっては常識だが、むしろ世間一般の「ガイドライン」の認識とはズレがある。まずは、この違いを伝えることで、本ガイドラインに対する皆さんの認識を修正したい。

※1 国土交通省が策定した建設業における法令順守のガイドライン（第５版）https://www.mlit.go.jp/common/001179283.pdf