経産省BASセキュリティガイドラインの必要性と策定の経緯:「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(1)(1/2 ページ)
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。
初回となる今回は、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(以下、本ガイドライン)」の中身に入る前に、本ガイドラインの必要性と策定の経緯について説明する。
■なぜ、今、ガイドラインが必要なのか?
■なぜ、経済産業省がビルのガイドラインを策定したのか?
■1.なぜ、今、ガイドラインが必要なのか?
本連載の対象読者で、セキュリティに詳しくないビルシステムの関係者にとっての最大の疑問は、どうしてわざわざ政府が音頭をとって、今、このタイミングで本ガイドラインを策定したのかということではないだろうか。
本ガイドライン内にも記載がある通り、ガイドラインは規制ではないので順守義務はない。何より、今まで、自分の関わるビルシステムではセキュリティ事故は起きていないのに、どうしてわざわざコストをかけてセキュリティ対策をする必要があるのか。要は、「自分」には関係ないなというのが本音ではないだろうか。
さすがに、近年は、サイバーセキュリティ対策を疎(おろそ)かにしたビジネスをすると、ひどい目に遭う事例(コインチェック※1、7pay※2)が続いているので、自分の関わるビルシステムに対しても、何かしらのセキュリティ対策は必要かもと、ぼんやり思っている方も中にはいるだろう。それにしても、どうせ各事業者がリスクに応じてセキュリティ対策する話なのだから、ガイドラインは参考程度にしかならないと思うかもしれない。
本ガイドラインの前書きに、そのような疑問に対する回答がある。なぜ、今、ガイドラインが必要となったのかの背景を、前書きの記述からまとめた(図1)。
図1を文章で説明すると次の通りだ。すなわち、「ビルシステムを取り巻く環境が変化した結果、海外ではビルシステムがサイバー攻撃を受け被害も発生しているので、対策が必要になってきた。しかし、ビル特有の事情として、ビルシステムに関わる関係者が多いため、一つの事業者だけでセキュリティ対策が完結するわけではない。従って、ビルシステムをライフサイクル含めて全体で捉えて、さまざまなビルの関係者が共通で参照できるガイドラインが必要である」というわけだ。
セキュリティ事故が起きていないから対策が不要だと思っている方は、本ガイドラインのサイバー攻撃事例を紹介した座談会を参照いただきたい。明日は我が身だと感じるだろう。
また、各自がリスクに応じて対策する話だと考えていた方も、ビルシステムのように、多様な関係者が関与する場合には、単独の事業者だけでシステム全体のリスクを評価するのは難しいので、各社が共通して参照できるサイバーセキュリティ対策が必要となることをご理解いただけると考える。
※1.不十分なセキュリティ対策により、580億円相当の仮想通貨がサイバー攻撃により流出した。https://www.itmedia.co.jp/news/articles/1801/30/news050.htm
※2.新規で立ち上げたモバイル決済サービスが、開始直後に、不十分なセキュリティ対策により不正アクセスを受け、利用者に被害発生。結果的に、サービス自体が終了に追い込まれた。https://www.itmedia.co.jp/mobile/articles/1907/17/news100.html
Copyright © ITmedia, Inc. All Rights Reserved.