本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。今回は、ガイドラインの「ビルシステムにおけるサイバーセキュリティ対策の考え方」を引用しながら、セキュリティ対策の基本的な考え方を示す。
前回は、本ガイドライン2章を中心に、ビルシステムの環境変化とリスクについて紹介した。では、このようなリスクに対応するためにはどう対策したらよいのか。今回以降、本ガイドライン3章の「ビルシステムにおけるサイバーセキュリティ対策の考え方」を参照しつつ、セキュリティ対策の考え方を紹介する。
■ビルシステムのサイバーセキュリティ対策の基本的な考え方とは?
■安全対策とサイバーセキュリティ対策の根本的な違いとは?
ビルシステムのサイバーセキュリティ対策も、その進め方の基本は、一般的なサイバーセキュリティ対策と同じである。つまり、サイバー攻撃などサイバーの問題に起因するビジネスリスクをマネジメント(管理)することだ。また、その管理手法は、「対象範囲の明確化、状況、基準の確定」→「リスクアセスメント」→「リスク対応」の繰り返しである。
本ガイドライン3章にも、一般的なセキュリティリスクマネジメントの例として、2つの図が紹介されている(図1、2)。図1がサイバーセキュリティに限らず一般的なリスク管理に通用する考え方である。一方、図2がサイバーセキュリティのリスクマネジメントの例であり、おおむね図1と対応していることが分かるだろう。
ビルシステムにおいても、その管理手法は同じであるが、例えば、「防災センターの端末から侵入する」とか、「空調システムのリモートメンテナンスを経由してマルウェア感染する」といった具体的な脅威シナリオの検討など、個別のプロセスにおいて、ビルシステムの特徴が反映される。
Copyright © ITmedia, Inc. All Rights Reserved.