【続・座談会】“ICSCoE”の育成プログラム修了メンバーが再結集！コロナ禍でセキュリティ意識はどう変わったか？：ビルシステムにおけるサイバーセキュリティ対策座談会 2.0【前編】（3/4 ページ）

ここ数年、IoTの進化に伴い、ビルや施設に先端設備やデバイスを接続し、複数棟をネットワーク化することで、“スマートビル”実現に向けた遠隔制御や統合管理が大規模ビルを中心に普及しつつある。とくに、新型コロナウイルスの世界的な災禍で生まれた副産物として、あらゆる現場でリモート化／遠隔化が浸透したことが強力な追い風となっている。しかし、あらゆるデバイスが一元的につながるようになった反面、弊害としてサイバー攻撃の侵入口が増えるというリスクも高まった。脅威が迫る今、BUILTでは、ICSCoEの中核人材育成プログラムの修了生で、ビルシステムに関わる業界に属するメンバーを再び招集。前回の座談会から、コロナショックを経て2年が経過した現在、ビルの運用・維持管理を取り巻く環境がどのように変化したか、東京五輪後のニューノーマルを見据えたサイバーセキュリティ対策の方向性はどうあるべきかなどについて、再び意見を交わす場を設けた。

[川本鉄馬, 石原忍，BUILT]

経産省のガイドラインと解説書の業界での反応

マカフィー 佐々木氏「ガイドラインは“マルチステークホルダー”を意識している」

マカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP 佐々木弘志氏

　前回の座談会は、経産省のガイドラインが公開された直後のタイミングで開催した。一定の期間が経過した今では、ガイドラインは業界にどのように受け止められているのだろうか。

　IPAの情報産業サイバーセキュリティセンター サイバー技術研究室での専門委員としての肩書もあり、中核人材育成プログラムの講師を務めたマカフィー サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP 佐々木弘志氏は、経産省のガイドラインは、同省のCPSF（サイバーフィジカルセキュリティ対策フレームワーク）における一種の実用例として位置付けられているとした。

　ガイドラインの優れた部分として、佐々木氏は「“マルチステークホルダー”を意識して作られていること」を挙げる。ビルシステムで発生するインシデントでは、多くのステークホルダーがそれぞれ異なった立場で関わることになる。そうした事態を当初から意識して作成しているガイドラインには、各人が対応すべき範囲を明確に示している。

　ビルシステムに限らずだが、サイバーとフィジカルが一体となった「サイバーフィジカルシステム」では、基本的にマルチステークホルダーの環境となる。佐々木氏は、ガイドラインがビルのセキュリティにとどまらず、マルチステークホルダー環境となる他の産業でも、意識を高める影響を与えていることを触れた。

　こうしたガイドラインの内容をより分かりやすく解説するために、ICSCoEの中核人材育成プログラム2期生が策定した「解説書」については、森ビルの佐藤氏が「ステークホルダー間のレファレンスとして機能しており、ベンダーとのやりとりで“共通言語”の役割を果たしている」とした。

　しかし、ガイドラインを実務に落とし込んだ解説書は、ともすれば攻撃者に利用される危険性を孕（はら）んでいる。ALSOK 熊谷氏は、「悪用を防ぐために公開範囲をシビアに制限したり、問い合わせてくる企業には必要な部分の補足をしたりしている」と、適切な管理下で運用していると説明。ちなみに、「オリンピック施設を建築するにあたり、設計の参考にしたい」との要望もあったとのことだ。