サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)で全体像をつかめ
もはやサイバー攻撃対策は入口で防御するだけでは足りず、侵入をいかに早く検知するか、損害をいかに最小化するか、そしていかに早く復旧するかが重要になっている。経済産業省が立ち上げた産業サイバーセキュリティ研究会では4つのアクションプラン、3つの指針を提示している。
2019年4月にはサプライチェーンのセキュリティ確保を目的として、「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を発表した。「Society 5.0」におけるセキュリティ対策の全体枠組みを提示するものとなる。発表前には英語版も公開してパブリックコメントを求めるなど国際的な協調も意識している。
これまでのサプライチェーン構造は部品から製品まで、それぞれの企業が定型的・固定的につながり、価値を生み出していた。しかし「Society 5.0」ではフィジカルとサイバーが融合し、より柔軟で動的なサプライチェーン構造となる。同時にサイバー攻撃がフィジカル空間へも影響するというリスク対応も必要となる。
CPSFでは産業社会を三層構造(フィジカル空間、フィジカル空間とサイバー空間の接点、サイバー空間)と6つの構成要素(ソシキ、ヒト、モノ、データ、プロシージャ、システム)で捉え、それぞれにおける信頼の基点、リスク源、対応方針などを提示している。
特徴的なのはフィジカル空間とサイバー空間の接点に着目していることだ。フィジカル空間にあるセンサーでデータを取り、サイバー空間でデータ分析を行う時、この間でデータの「転写」が行われている。しかしこの転写が正しく行われているか確認する技術や国際標準がない。そのため接続相手を正しく認証し、安全なIoT機器を導入するなどの対策が必要でることなどが示されている。
奥家氏はこう話す。「IoTシステムの本質は何かと言えば、それは、フィジカルとサイバーの間の“境界”を形成していることです。この境界で起きていることを守らなくてはなりません。それは何かといえば、フィジカルとサイバーの空間の間で情報を交換するために行われる転写という機能をいかに守るかということです。オーナーだけでは無理、ベンダーが加わっても無理です。みんなで共通のプリンシパルを持ち、信頼性を確保していかなくてはなりません」
CPSFをより具体的にイメージし、実装を推進していくため、セクター別(ビル、電力、防衛、自動車、スマートホームなど)にサブワーキンググループが構成されている。なかでもビルが先行して活動している。2020年のオリンピック・パラリンピックで攻撃が懸念されているためだ。
分野横断的にはタスクフォースで検討を進めている。第三層(サイバー空間)で信頼性の基点となるのはデータなので、データ区分に応じたセキュリティ対策要件や水準、それに対応したデータの完全性や真正性などの確認手法を検討している。
データのマネジメントは実際にはソフトウェアが行うため、OSSを安全に活用するための手法やソフトウェアの脆弱性管理手法などに着目する。第二層(フィジカルとサイバーの間の転写)では信頼性確保に求められる要件を整理し、業界の自己適合宣言や認証をどう確認するかやセキュリティ対策のあり方などについて検討を行う。
