【第8回】セキュリティ対策に必要な体制とプロセスとは？（新築の大規模ビル編）：「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説（8）（1/2 ページ）

本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。今回は、ガイドラインを参照しながら、大規模オーナーの新築ビルで、システムのセキュリティ対策を進めるための体制整備とプロセスを解説する。

[佐々木 弘志 ／ マカフィー，BUILT]

　前回は、制御システムのセキュリティ対策検討手法の一つ「CCE」を、代表的なビルシステム（暖房・給湯システム）に適用することで、個別のビルシステムのセキュリティ対策をどこまでやれば良いのか決定する方法を紹介した。今回は、本ガイドラインに戻って、3.5章以降から5章の記述を参照しつつ、新築の大規模ビルでシステムのセキュリティ対策を進めるための体制とプロセスについて説明する。

　■新築大規模ビルでセキュリティ対策のために必要な体制・プロセスとは？

　■新築大規模ビルでセキュリティ対策における留意事項とは？

1．新築大型ビルのセキュリティ対策で必要な体制／プロセスとは？

　前回、解説したセキュリティ対策検討手法（CCE）を用いることで、個別のビルのセキュリティ対策を決定するための技術的な武器を手に入れたことになるが、これはセキュリティ対策を進めるための全体プロセスの一部に過ぎない。実際には、ビルオーナーをはじめとした、ビルシステム関係者間の合意形成のもとに、セキュリティ対策を決定し、導入、運用していく必要がある。

　本ガイドラインの3.5章では、ガイドラインの想定する使い方として、「新築の大規模オーナービルにおける使い方」「既存の中規模テナントビルをクラウド移行する際の使い方」「既存ビルへのリスクアセスメントと対策立案での使い方」の3つのシーンに分けて、ビルシステム関係者の役割や進め方の記載がある。これらの記述を参考に、まずは、新規の大規模オーナービルのセキュリティ対策のための体制・プロセスについてまとめた（図1）。

　基本的な体制は、ビルオーナーがセキュリティレベルの決定や予算承認など、決定・承認者の役割を果たし、設計事務所以下、ゼネコン、サブゼネコン、個別システム事業者などのビルシステムに関わる事業者は、セキュリティ対策の検討、案出し、実装、管理引継ぎなどの実務者としての役割を果たす。

　ただし、セキュリティ対策の検討については、システム間の接続点や共通部分について検討が必要なこと、リスクアセスメントやリスク対応の検討において、セキュリティに知見のある人が必要となることから、セキュリティベンダーやコンサルティング会社に事務局業務を委託し、全体のとりまとめや技術的サポートを受けることが現実的な選択肢だろう。

　このような体制のもとに、「設計・仕様」⇒「建設」⇒「竣工検査」というビル建設の流れに沿った形で、セキュリティ対策の検討を行い、予算承認や実装計画の承認、セキュリティ対策実装、竣工検査におけるセキュリティ対策実装の確認を経て、それらの対策内容を、次のビル関係者である、ビル管理会社などに引き継ぐというのがセキュリティ対策のプロセスである。

図1：新規の大規模オーナービルのセキュリティ対策のための体制・プロセス　出典：本ガイドラインを参考に筆者作成

2．新築大規模ビルでセキュリティ対策における留意事項とは？

　本ガイドラインには、新規ビルについては、「全ての選択肢が選択可能であり、大規模ビルの建設コストを考えれば、サイバーセキュリティに当てるコストは、相対的には非常に小さいものと予想される。最低限実施すべきと考えられる対策については、基本的に全てを盛り込むことが望ましい」との記載があるが、ビルの目的や用途に応じて、セキュリティ対策のレベルが異なるため、何が最低限なのかは事前には分からない状態である。

　従って、ビルオーナーが、プロセス最初の段階で、セキュリティ対策のレベル感を決めるのは難しいと思われる。前回のCCEを用いた検討でも、「松」「竹」「梅」のようなレベル感を示したが、そのような具体的なリスク対応の方針がなければ、結局判断ができないため、検討を始める段階では、ビルオーナーの意向に沿ってセキュリティレベルを「仮決め」するという状態が現実的だろう。

　この仮決めのセキュリティレベルに応じて、設計事務所（または、セキュリティ検討の事務局）を中心に、セキュリティ対策の検討を行う。このプロセスにおいて、CCEを活用することができる。