連載
» 2020年01月28日 10時00分 公開

「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(4):ビルシステムに対する安全対策と“サイバーセキュリティ対策”の考え方の違いとは? (1/2)

本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。

[佐々木 弘志 / マカフィー,BUILT]

 前回は、本ガイドライン2章を中心に、ビルシステムの環境変化とリスクについて紹介した。では、このようなリスクに対応するためにはどう対策したらよいのか。今回以降、本ガイドライン3章の「ビルシステムにおけるサイバーセキュリティ対策の考え方」を参照しつつ、セキュリティ対策の考え方を紹介する。


 ■ビルシステムのサイバーセキュリティ対策の基本的な考え方とは?

 ■安全対策とサイバーセキュリティ対策の根本的な違いとは?


1.ビルシステムのサイバーセキュリティ対策の基本的な考え方とは?

 ビルシステムのサイバーセキュリティ対策も、その進め方の基本は、一般的なサイバーセキュリティ対策と同じである。つまり、サイバー攻撃などサイバーの問題に起因するビジネスリスクをマネジメント(管理)することだ。また、その管理手法は、「対象範囲の明確化、状況、基準の確定」→「リスクアセスメント」→「リスク対応」の繰り返しである。

 本ガイドライン3章にも、一般的なセキュリティリスクマネジメントの例として、2つの図が紹介されている(図1、2)。図1がサイバーセキュリティに限らず一般的なリスク管理に通用する考え方である。一方、図2がサイバーセキュリティのリスクマネジメントの例であり、おおむね図1と対応していることが分かるだろう。

 ビルシステムにおいても、その管理手法は同じであるが、例えば、「防災センターの端末から侵入する」とか、「空調システムのリモートメンテナンスを経由してマルウェア感染する」といった具体的な脅威シナリオの検討など、個別のプロセスにおいて、ビルシステムの特徴が反映される。

図1:リスクマネジメントの一般的なプロセス(PDCA を含む全体プロセス)(本ガイドラインから引用)
図2:リスクマネジメントの流れ(本ガイドラインから引用)
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.