【第2回】セキュリティ業界と一般的な「ガイドライン」の“ズレ”とは？：「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説（2）（2/2 ページ）

本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。連載第2回は、一般に普及しているセキュリティのガイドラインの特徴について説明する。

[佐々木 弘志 ／ マカフィー，BUILT]

2．ガイドラインの各章のポイント

　本ガイドラインを全体的に俯瞰して、各章のポイントについて解説する。まず、本ガイドラインの章構成の全体像を（図1）に示した。付録も含めた、本ガイドラインの全体の章構成と概要については、（表2）にまとめた。

本ガイドラインの全体章構成の俯瞰図　（本ガイドラインから筆者作成、図中の表はガイドライン別紙より抜粋）

　「はじめに」では、本ガイドラインの目的・対象範囲・対象読者などを示しており、また本ガイドラインが義務ではないこと明記するなど、ガイドラインを読むうえでの前提が記されている。

　2章では、ビルシステムを取り巻く環境について、具体例を挙げて説明している。ビルシステムが、近年のネットワーク化、相互接続化、インターネット対応が進むことによってサイバー攻撃を受ける機会が増えていることの説明や、その結果として、海外で発生したビルシステムに対するサイバー攻撃の実例など、そもそもなぜビルシステムにセキュリティ対策が必要となっているかが丁寧に説明されている。

　3章以降は、本ガイドラインのセキュリティ対策についての説明がされている。3章、4章、5章と順に対策内容がブレイクダウンされていくと考えればよい。本ガイドラインのセキュリティ対策の大きな特徴としては、2点の重要なポイントがある。

　1点目は、第1回でも述べた本ガイドラインの目的である「多様なビルシステム関係者が共通して参照」できるように、ビルシステム全体のセキュリティ対策の要件についてまとめてある点である。しかし、全体像だけでは、各事業者が何をすれば良いのかがわからない。

　したがって、2点目の特徴としては、5章の対策要件は、ビルシステムのライフサイクル（設計・仕様、建設、竣工検査、運用、改修・廃棄）に沿って、まとめてあることが挙げられる。これによって、例えば、建設事業者は、5章（別紙）の表の「建設」「竣工検査」のカラムを重点的に読んで、それぞれのセキュリティ対策要件を実現するための対応策を実行すれば良いということになる。つまり、本ガイドラインは、ビル関係者が共通して参照するものでありながら、その役割分担も明示されているものなのである。

本ガイドラインの章構成と内容の概要　（本ガイドラインから筆者作成）

　以上のように第2回では、セキュリティのガイドラインの特性と本ガイドラインの全体像と各章のポイントを説明した。

　■セキュリティのガイドラインの特徴

⇒　セキュリティガイドラインは、法規制順守のための手順書というよりは、対策の考え方と要件を示したものであり、具体的な実装手順は書かれていない。

　■本ガイドラインの全体像と各章のポイント

⇒　本ガイドラインは、セキュリティ対策の考え方と対策要件を示したものである。事業者ではなく、ビルシステム全体を主体においていること、ビルのライフサイクルとビル関係者を意識した構成となっている点が特徴的である。

　これで、本ガイドラインの中身を詳しく説明するための準備が整った。次回は、本ガイドラインの個別の章についての解説を加える。

著者Profile

佐々木 弘志／Hiroshi Sasaki

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP。制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産業省 情報セキュリティ対策専門官（非常勤）、2017年7月からは、IPA産業サイバーセキュリティセンターのサイバー技術研究室の専門委員（非常勤）として、産業サイバーセキュリティ業界の発展をサポートしている（2019年10月現在）。