メディア

【第11回】ビルシステムの“ネットワークセキュリティ監視サービス”をビジネス化するための鍵（上）：「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説（11）（1/2 ページ）

本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。今回から上下編で、「ビルシステムのセキュリティ監視サービス」のビジネス化を成功させるには？を主題に、実事例として森ビルとパナソニックの取り組みを採り上げる。

» 2020年08月29日 10時00分公開

[佐々木弘志／マカフィー，BUILT]

　前回は、海外のビルセキュリティ対策事例として、産業系ネットワークセキュリティ監視装置を利用して、セキュリティ監視だけでなく、システム運用の改善につなげているテーマパーク施設を紹介した。今回から、国内でのビルセキュリティ対策の事例として、ビルシステムにおけるネットワークセキュリティ監視サービスのビジネス化について、上下編の2回に分けて解説する。

　■ネットワークセキュリティ監視サービスのビジネス化に向けた課題とは？

　■監視サービスのビジネス化に向けた課題解決のアプローチとは？

1．ネットワークセキュリティ監視サービスのビジネス化に向けた課題

　今回、採り上げるのは、森ビルとパナソニックが共同で取り組む「ビルシステムのセキュリティ監視サービス」のビジネス化である※1。そもそもビルシステムのような制御システムは、可用性を重視するため、システム運用にできるだけ影響を与えないようなセキュリティ対策が求められる※2。

※1 森ビル佐藤芳紀氏、パナソニック平本琢士氏に、関連資料の提供をいただいた。佐藤氏は、IPA産業サイバーセキュリティセンターの第2期生として、以前BUILT主催のビルシステムにおけるサイバーセキュリティ対策座談会にもご参加いただいている（参照：ビルシステムにおけるサイバーセキュリティ対策座談会）

※2 詳細は本連載の第9回、第10回

　従って、ネットワークのセキュリティ監視が有力な対策となるが、個々のビルで監視ができる人材を確保するのが難しいという難題がある。そこで解決の一つとして、監視自体をアウトソースするというのは、至って自然な考えである。

　とはいえ、工場やプラントなどの重要インフラの制御システムのセキュリティ監視でさえもまだ一般的ではないなかで、ビルシステムのセキュリティ監視サービスをビジネス化するにはさまざまな問題がある。以下に、主なものを列挙した。

（1）　顧客であるビルオーナーに対して、セキュリティ監視の必要性をどのように訴求するか

（2）　ビルシステムにおける標準的な脅威とリスクが存在しない

（3）　自社ビルのシステム監視とは異なり、ビルシステムの構成が監視対象ごとに違う

　1は、ビジネス化の根本となる顧客ニーズの掘り起こしにもつながる。もちろん、実際にサービスインするまでには、価格の折り合いや運用をどうするかなど、他にもさまざまな検討材料が存在すると考えられるが、そもそもビジネスとして成立させるためには、まずは顧客のビルオーナーがその必要性や有効性を認識することが出発点である。

　2は、1を検討する上で、拠（よ）り所がないということを意味する。情報セキュリティの世界では、例えば、IPA（情報処理推進機構）が毎年公開している「情報セキュリティ10大脅威」※3を見れば、今、世の中でどのような脅威があり、ビジネスにどのようなリスクが生じるのかを顧客と共有できるし、対策ソリューションも標準化されている。

※3 IPA「情報セキュリティ10大脅威2020」

　一方、ビルシステムセキュリティの世界では、本ガイドラインにセキュリティ脅威やインシデント例の記載はあるもの、セキュリティ対策の検討については個別のビルシステムでリスクアセスメントを実施することが前提となっているため、標準的な脅威とリスクが明示されているわけではない。そのため、顧客とのコンセンサスを得るのが難しく、どのような監視サービスを提供すべきかを検討するための1次資料となる情報が不足しているのだ。

　また、同じくビジネス化に向けて、立ちはだかるのが3である。顧客のシステムに対してサービスを適用する際に、カスタマイズする項目が多すぎると、コストが掛かり過ぎてしまう。すなわち、ビルシステムの違いになるべく依存せず、サービスをどれだけ標準化できるかがビジネス化を成功させるための鍵となる。

ビルシステム総力特集：