【第7回】CCEを用いたビルのセキュリティ対策の検討例 vol.1:「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(7)(3/3 ページ)
本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。今回は検討手法のCCEを用いて、個別のビルシステムのセキュリティ対策をどこまで講じるのかについて論じる。
2.CCEをセキュリティ対策検討に用いるメリットとは?
ここまで説明してきたCCE活用の利点は大きく2つある。1つ目は、ステップ1の「発生してほしくない事象」とステップ4の「セキュリティ対策」が視覚的にスムーズに連結しており、セキュリティに詳しくないビルシステム関係者でも、必要なセキュリティ対策について理解がしやすい点だ。また、対策の優先順位付けも、「コスト」と「導入時のシステム影響」という分かりやすい指標で行うことができる。
もう1つは、CCEと本ガイドラインを使用することで、ビルシステム・機器の「リスク値」を求めるといった特別な専門知識を要することなく、セキュリティ対策を検討することができる点である。これによりステップ2の最後からステップ4を実施するセキュリティ担当者の負荷を下げることができる。
実は、ここまで説明してきたCCEの検討手法は、アイダホ研究所が開発したCCEの考え方をもとに、産業サイバーセキュリティセンター第1期卒業生(2018年6月卒)の米永雄慶氏により開発されたものである(米永式CCEメソッド)。そして、このメソッドをカリキュラムで学んだ、第2期卒業生有志によって作成された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン 〜ファーストステップガイド〜(座談会記事参照)」の分析手法にも反映されている。今回の記事作成にあたり、第2期卒業生有志からのご厚意で、関係者限りであるガイド内の図表の引用をさせていただいた。業界啓発のためのご協力に対して深謝したい。
■まとめ
第7回は、CCEを用いて、個別のビルシステムのセキュリティ対策をどこまで講じるのかを検討する具体的な例を示した。
■CCEの4つのステップを実際のビルシステムに適用する方法は?
⇒ ステップ1の「発生してほしくない事象」を起点にして、ステップ2ではFTA、ステップ3では、サイバー・キル・チェインを活用して、ステップ1の事象を発生させるようなサイバー攻撃の経路を検討し、ステップ4では、それぞれの経路の攻撃段階の成功を妨げるセキュリティ対策をマッピングする。セキュリティ対策の優先順位は、「コスト」と「導入によるシステムへの影響」をもとに、ビルシステム関係者で協議して決定する。
■CCEをセキュリティ対策検討に用いるメリットとは?
⇒ セキュリティに詳しくないビルシステム関係者でも、発生してほしくない事象とセキュリティ対策の関係が分かりやすい点。また、本ガイドラインと併用することで、セキュリティ担当者の負荷を下げることができる点。
次回は、本ガイドラインの内容に戻り、第3章の3.5以降から第5章までの内容についての解説を行う。
★連載バックナンバー:
「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説
■第6回:BASセキュリティ対策をどこまでやるか検討するための手法「CCE」とは何か?
■第5回:ビルシステムならではの“リスクポイント”と特有の事情
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ビルシステムの“セキュリティ”導入に立ちはだかる業界の壁と、その先に目指す理想像
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが、講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。
スマートビルの3分の1はマルウェアに感染――ビルセキュリティ最新動向
ロシアのセキュリティ企業、Kasperskyはロシア・ソチで2019年9月19、20日に「Kaspersky Industrial Cybersecurity Conference」を開催し、スマートビルやスマートシティ、ICSのセキュリティを巡る最新動向を紹介した。
【第5回】ビルシステムならではの“リスクポイント”と特有の事情
本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。第5回は、ビルシステムならではのセキュリティリスクポイントとビル特有の事情について考察を進める。
【第4回】ビルシステムに対する安全対策と“サイバーセキュリティ対策”の考え方の違いとは?
本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。今回は、ガイドラインの「ビルシステムにおけるサイバーセキュリティ対策の考え方」を引用しながら、セキュリティ対策の基本的な考え方を示す。
【第3回】ビルシステムの環境変化と迫り来る脅威
本連載は、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。第3回は、ビルシステムに対して起こりうるセキュリティリスクについて検討していく。
【第2回】セキュリティ業界と一般的な「ガイドライン」の“ズレ”とは?
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。連載第2回は、一般に普及しているセキュリティのガイドラインの特徴について説明する。
経産省BASセキュリティガイドラインの必要性と策定の経緯
本連載は、経済産業省によって、2017年12月に立ち上げられた「産業サイバーセキュリティ研究会」のワーキンググループのもとで策定され、2019年6月にVer.1.0として公開された「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」について、その背景や使い方など、実際に活用する際に必要となることを数回にわたって解説する。あまりセキュリティに詳しくない方でも分かるように、なるべく専門用語を使わずに説明する。
“ICSCoE”の育成プログラム修了メンバーが語る、ビルのセキュリティが抱える課題と対策には何が必要か?
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。