経産省BASセキュリティガイドラインの必要性と策定の経緯:「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(1)(2/2 ページ)
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。
■2.なぜ、経済産業省がガイドラインを策定したのか?
次に、なぜ「経済産業省」が、ビルシステムのセキュリティガイドラインを策定したのかについて説明する。まずは、本ガイドラインの策定のもととなった産業サイバーセキュリティ研究会の設立の経緯から説明しよう。
産業サイバーセキュリティ研究会は、2017年12月に経済産業省主導のもとに設立された。設立時の資料※3を要約すると、この研究会の目的は、「Connected Industries※4の実現を推進し、さまざまなデータのつながりが生まれることで世の中が便利となるが、つながることが新たな攻撃の機会にもなるため、サプライチェーン全体、産業界全体の安全・安心を確保するための課題に取り組むこと」である。
この研究会のもと、課題別に3つのワーキンググループが設置された。その一つである「WG1:制度・技術・標準化」は、その名の通り、Connected Industriesのセキュリティに関する制度・技術・標準化を検討する場である。このWG1の成果として、サイバー空間と物理空間が融合したシステム(サイバー・フィジカルシステム)全体のセキュリティ対策の枠組みである「サイバー・フィジカル・セキュリティ対策フレームワーク(以下、CPSF)※5」が2019年4月に公開された※6。
このCPSFの最大の特徴は、「システム全体」を捉えているところである。すなわち、事業者が主体ではなく、システム全体が主体となっているため、システムに関わる多様な関係者が共通して参照するセキュリティ対策を示したものとなっているのだ。
さらに、CPSFは産業界共通のフレームワークであるため、実際の対策ガイドラインに落とし込むには、リスクや価値構造の異なる業界別の検討が必要だということで、WG1の配下に、5つのサブワーキンググループ(「ビル」「電力」「防衛産業」「自動車産業」「スマートホーム」)を設置して、それぞれの業界別のセキュリティ対策を検討することになった。
本ガイドラインは、このうちの「ビル」のサブワーキンググループの成果として、CPSFを参照して策定されたものである。CPSFの特徴に従って、本ガイドラインは、ビルシステム全体を対象としている(図2)。これは1のガイドラインの前書きの説明で示した、ビル特有の業界構造からくる要請に応えたものといえる。ここに至って、ようやく経済産業省と本ガイドラインがつながった。
本ガイドラインを策定した「ビル」のサブワーキンググループは、経済産業省主導のもと、ビルオーナーを始めとする多様なビルシステム関係者によって構成されているが、オブザーバーとして、他の省庁も参加しており、国土交通省はもちろんのこと、東京オリンピック・パラリンピックの関係組織も名を連ねている。従って、日本のビルシステム関係者全体の取り組みであるといえるであろう。
※3.https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/001_03_00.pdf
※4.https://www.meti.go.jp/policy/mono_info_service/connected_industries/index.html
※5.Cyber/Physical Security Framework(海外のIoTセキュリティ関連ガイドラインとの協調を目指し、英語版も同時リリース)
※6.https://www.meti.go.jp/press/2019/04/20190418002/20190418002.html
まとめ
以上のように本連載の第1回では、本ガイドラインの必要性と成立の経緯を説明した。
■なぜ、今、ガイドラインが必要なのか?
⇒ 環境変化と脅威の高まりによって、既に海外ではビルシステムへのサイバー攻撃による被害が発生している。
多様な関係者が存在するビルシステムには、共通して参照できるセキュリティ対策が必要である。
■なぜ、経済産業省がビルのガイドラインを策定したのか?
⇒ 経済産業省の政策である「Connected Industries」実現に向けた取り組みの一環である。ただし、ビルシステム関係者に加えて、国土交通省などもオブザーバーとして参加しているため、日本のビル関係者全体の取り組みといえる。
ビル関係者の方は、少しは「自分」に関係あると興味をもっていただけたかもしれない。次回は、ガイドライン全体を俯瞰し、各章のポイントを解説する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“ICSCoE”の育成プログラム修了メンバーが語る、ビルのセキュリティが抱える課題と対策には何が必要か?
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。
ビルシステムの“セキュリティ”導入に立ちはだかる業界の壁と、その先に目指す理想像
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが、講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。
スマートビルの3分の1はマルウェアに感染――ビルセキュリティ最新動向
ロシアのセキュリティ企業、Kasperskyはロシア・ソチで2019年9月19、20日に「Kaspersky Industrial Cybersecurity Conference」を開催し、スマートビルやスマートシティ、ICSのセキュリティを巡る最新動向を紹介した。
経産省ガイドラインに準じ、内外部からのサイバー攻撃に対応した三菱電機の「OTGUARD」
三菱電機は、ビルシステム向けのサイバーセキュリティソリューションの提供を開始した。経産省が2019年6月に策定したビルシステムに関するサイバーセキュリティのガイドラインにも準じ、外部からだけでなく、過失や故意による内部脅威も含めたサイバー攻撃の防御策として有効で、システムの脆弱性診断から改善提案までをワンストップでサポートする。