【第9回】既存ビルのセキュリティ対策で、押さえておくべきポイント「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(9)(2/2 ページ)

» 2020年06月29日 10時00分 公開
前のページへ 1|2       

2.既存ビルへのリスクアセスメントと対策立案での留意事項とは?

 まず、大前提として、既存ビル全般のセキュリティ対策を行うというのは、非常にハードルが高い。

 その理由は技術的なこともあるが、何より対策コストが捻出できないからである。前回説明した新築ビルシステムであれば、全体の予算感の中であらかじめ機器を導入することも可能だが、既存ビルの場合、数多くのデバイス・機器がビル全体に分散しているため、追加の機器を導入したり、機器をセキュアなものに置き換えたりするには、工事費用も含めて膨大なコストになってしまう。

 従って、現実味があるのは、前段の監視・制御のクラウド移行のような投資のタイミングか、あるいは設備更新のタイミングで、セキュリティ対策も合わせて徐々に見直していくことである。

 しかし、仮に設備投資・更新のタイミングであったとしても、既存機器の変更やセキュリティ保護を目的とした製品の導入は、システムの可用性に影響を与える可能性があるため、なかなか手を出しにくい。ベンダーもトラブルが増える可能性があるため、積極的に対策を提案しづらいのが実情だろう。

 つまり、「サイバー攻撃を止める、不審な通信を止める」といったシステム保護を目的とした対策は、可用性の観点から難しいのだ。従ってセキュリティ製品の導入は、システムに影響を与えにくい「監視」を中心としたものが優先される。これは、既存ビルにおけるセキュリティ対策検討の特徴の一つといえる。

 そして監視だけでは、実際のサイバー攻撃が止まるわけではないので、監視による異常検知やアラートなどへの対処のために、組織体制や運用手順・マニュアルの整備が必要となる。つまり、既存ビルでのリスクアセスメントやセキュリティ対策を立案するときには、新規ビルと比べると、セキュリティ製品導入のような技術的な対策(Technology)には制限があり、組織(People)や運用(Process)に対策が偏ってしまう(図2)。

 そうなると、ビル管理に関する人件費も含めた運用コストやセキュリティ監視をできる人材確保が課題となる。また、このような課題があるため、既存ビルのセキュリティ対策が進みにくいという側面もあるだろう。

図2:新規ビルシステムと既存ビルシステムのセキュリティ対策のウェイトの違いイメージ(筆者作成)

 第9回は、本ガイドラインを参照しながら、「既存の中規模テナントビルをクラウド移行」及び「既存ビルへのリスクアセスメントと対策立案」を進める際の留意事項について説明した。

■まとめ

 ■既存の中規模テナントビルをクラウド移行する際の留意事項とは?

インターネットの接続点だけではなく、監視員が常駐しなくなることによる運用手順の変更や、インターネット接続を想定していない個別のビルシステムへのリスクアセスメント及びそのリスク対応を実施すること。

 ■既存ビルへのリスクアセスメントと対策立案における留意事項とは?

設備投資・更新のタイミングで徐々に進めるのが望ましい。ただし、可用性の問題から、新規ビルと比べて、新たなセキュリティ対策機器の導入に制限があるので、機器の導入(Technology)は「監視」を中心に行い、ビルシステムのセキュリティ事故対応組織の設立及び人材教育(People)や事故対応手順の作成(Process)に重点を置いた対策を行うことになる。しかし、このような対策の実施には、運用コストや人材確保の観点で課題がある。

 今回で、本ガイドラインに関する説明は一通り終わったので、次回以降は、ビルシステムに対するセキュリティ対策の国内外の事例や実証実験などをガイドラインとの関係性も含めていくつか紹介していく。

著者Profile

佐々木 弘志/Hiroshi Sasaki

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP。制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産業省 情報セキュリティ対策専門官(非常勤)、2017年7月からは、IPA産業サイバーセキュリティセンターのサイバー技術研究室の専門委員(非常勤)として、産業サイバーセキュリティ業界の発展をサポートしている(2019年10月現在)。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.