【第6回】BASセキュリティ対策をどこまでやるか検討するための手法「CCE」とは何か?:「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(6)(2/2 ページ)
本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。第6回は、専門家頼みになりがちなセキュリティ対策で有効な方策について検討してみたい。
4つの検討ステップから成るCCEの検討手法
CCEは大きく4つの検討ステップに分かれている(図2)。まずステップ1で検討するのは、対象のビルシステムにおいて「発生してほしくない事象」を洗い出すことだ。ここでは、サイバーセキュリティのことは考慮せず、単に発生してほしくない事象を検討する。ビルシステムであれば、「長期停電によるビルシステムの停止」「火災による人命被害」などが挙げられる。そして、洗い出した事象の優先順位付けを行う。
次のステップ2では、それらの事象を引き起こす関連システムを洗い出す。ステップ3では、ステップ1の事象をステップ2のシステムを用いて発生させるには、どのようなサイバー攻撃が考えられるかを検討する。最終段階のステップ4で、ステップ3のサイバー攻撃に対応するセキュリティ対策を検討するのだ。
CCEの優れた点は、途中のステップに「リスク値」のような確率を示す検討がなく、「発生してほしくない事象」と「セキュリティ対策」の紐づけがわかりやすいことだ。つまり、ビルシステム関係者間で、「ビルの安心・安全を守るためには、このセキュリティ対策が必要だ」という意識を共有しやすい。
また検討の優先順位付けをステップ1で行っていることも大事な点だ。「発生してほしくない事象」の優先順位がそのままセキュリティ対策の優先順位に反映されるため、セキュリティの専門知識がなくても、納得感が得られやすい利点がある。
■まとめ
第6回は、個別のビルシステムのセキュリティ対策をどこまでやるのかの検討手法について紹介した。
■個別のビルシステムのセキュリティ対策検討が難しい理由は?
⇒ ビルシステムのリスクアセスメントでは、情報システムと同様な手法での「リスク値」の算定が難しく、実施するセキュリティ対策の根拠づけが難しいため。
■個別のビルシステムのセキュリティ対策をどこまでやるのかを検討する手法とは?
⇒ 「発生してほしくない事象」を洗い出して、優先順位付けを行い、それらの事象が起こらないようにするのに必要な対策を検討する手法(CCE)がある。この手法の利点は、セキュリティの専門家でなくても理解できる「発生してほしくない事象」で優先順位付けを行い、かつその事象と「セキュリティ対策」とが「リスク値」を介さず結びついているため、ビルシステム関係者間の共通認識を得やすいところにある。
次回は、具体的な例をあげて、CCEの使い方について詳しく紹介する。
★連載バックナンバー:
「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説
■第5回:ビルシステムならではの“リスクポイント”と特有の事情
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
【第5回】ビルシステムならではの“リスクポイント”と特有の事情
本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。第5回は、ビルシステムならではのセキュリティリスクポイントとビル特有の事情について考察を進める。
【第4回】ビルシステムに対する安全対策と“サイバーセキュリティ対策”の考え方の違いとは?
本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。今回は、ガイドラインの「ビルシステムにおけるサイバーセキュリティ対策の考え方」を引用しながら、セキュリティ対策の基本的な考え方を示す。
【第3回】ビルシステムの環境変化と迫り来る脅威
本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。第3回は、ビルシステムに対して起こりうるセキュリティリスクについて検討していく。
【第2回】セキュリティ業界と一般的な「ガイドライン」の“ズレ”とは?
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。連載第2回は、一般に普及しているセキュリティのガイドラインの特徴について説明する。
経産省BASセキュリティガイドラインの必要性と策定の経緯
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。
“ICSCoE”の育成プログラム修了メンバーが語る、ビルのセキュリティが抱える課題と対策には何が必要か?
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。
ビルシステムの“セキュリティ”導入に立ちはだかる業界の壁と、その先に目指す理想像
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが、講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。
スマートビルの3分の1はマルウェアに感染――ビルセキュリティ最新動向
ロシアのセキュリティ企業、Kasperskyはロシア・ソチで2019年9月19、20日に「Kaspersky Industrial Cybersecurity Conference」を開催し、スマートビルやスマートシティ、ICSのセキュリティを巡る最新動向を紹介した。