【続・座談会】“ICSCoE”の育成プログラム修了メンバーが再結集！コロナ禍でセキュリティ意識はどう変わったか？：ビルシステムにおけるサイバーセキュリティ対策座談会 2.0【前編】（3/4 ページ）

[川本鉄馬, 石原忍，BUILT]

経産省のガイドラインと解説書の業界での反応

マカフィー 佐々木氏「ガイドラインは“マルチステークホルダー”を意識している」

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP 佐々木弘志氏

　前回の座談会は、経産省のガイドラインが公開された直後のタイミングで開催した。一定の期間が経過した今では、ガイドラインは業界にどのように受け止められているのだろうか。

　IPAの情報産業サイバーセキュリティセンター サイバー技術研究室での専門委員としての肩書もあり、中核人材育成プログラムの講師を務めたマカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP 佐々木弘志氏は、経産省のガイドラインは、同省のCPSF（サイバーフィジカルセキュリティ対策フレームワーク）における一種の実用例として位置付けられているとした。

　ガイドラインの優れた部分として、佐々木氏は「“マルチステークホルダー”を意識して作られていること」を挙げる。ビルシステムで発生するインシデントでは、多くのステークホルダーがそれぞれ異なった立場で関わることになる。そうした事態を当初から意識して作成しているガイドラインには、各人が対応すべき範囲を明確に示している。

　ビルシステムに限らずだが、サイバーとフィジカルが一体となった「サイバーフィジカルシステム」では、基本的にマルチステークホルダーの環境となる。佐々木氏は、ガイドラインがビルのセキュリティにとどまらず、マルチステークホルダー環境となる他の産業でも、意識を高める影響を与えていることを触れた。

　こうしたガイドラインの内容をより分かりやすく解説するために、ICSCoEの中核人材育成プログラム2期生が策定した「解説書」については、森ビルの佐藤氏が「ステークホルダー間のレファレンスとして機能しており、ベンダーとのやりとりで“共通言語”の役割を果たしている」とした。

　しかし、ガイドラインを実務に落とし込んだ解説書は、ともすれば攻撃者に利用される危険性を孕（はら）んでいる。ALSOK 熊谷氏は、「悪用を防ぐために公開範囲をシビアに制限したり、問い合わせてくる企業には必要な部分の補足をしたりしている」と、適切な管理下で運用していると説明。ちなみに、「オリンピック施設を建築するにあたり、設計の参考にしたい」との要望もあったとのことだ。