2019年4月18日、経済産業省は「サイバー・フィジカル・セキュリティ対策フレームワークVer.1.0(以下「CPSF」)」を公表しました。
CPSFは、サイバー・フィジカル・システム(サイバー空間とフィジカル空間(現実世界)の双方に影響を与えうるシステム)のセキュリティ対策に必要となるコンセプト、ポリシー、具体的なメソッドを体系的にまとめたものです。
IoTシステム、工場システム、ビルシステム、コネクテッドカー、スマートホームなど、サイバー・フィジカル・システムに関連する業務に携わる方々は、CPSFを参照することで、必要となるセキュリティ対策のポイントを押さえられるようになっています。
その一方、添付資料を含めて262ページというボリュームやユニークな概念(「バリュークリエイションプロセス」「三層構造アプローチ」等)の使用によって、一読しただけではその内容や重要性の理解が難しい可能性もあります。
そこで本記事では、「CPSFとはそもそも何なのか?」「自社のセキュリティ対策にどのように役に立つのか?」という疑問を持つ方に向けて、CPSFに記載されている中でも特に重要な概念である「バリュークリエイション」「三層構造アプローチ」について説明した上で、策定の背景や基本的な構成、自社のセキュリティマネジメントへの具体的な使用例についても解説します。
そもそも、サイバー・フィジカル・セキュリティとは何なのでしょうか。「サイバーセキュリティ」なら聞いたことがあるが、「サイバー・フィジカル・セキュリティ」には馴染みがない。そんな方も多いのではないでしょうか。
CPSFのエグゼクティブサマリーには、以下のような記載があります。
サイバー空間とフィジカル空間が相互に作用しあうことは、サイバー攻撃がフィジカル空間に及ぼす影響も増大していくことを意味し、サイバー攻撃による被害は甚大なものになっていく可能性がある。
(『サイバー・フィジカル・セキュリティ対策フレームワーク』P1より引用)
従来のサイバーセキュリティにおいては、システム自体やそこで生成されるデータそのものを中心とした(つまりサイバー空間に閉じた)セキュリティに焦点をあてた対策を実施することが多くありました。
その一方で、サイバー・フィジカル・セキュリティにおいては、このようなサイバー空間における対策に加え、フィジカル空間(=現実世界)をも考慮に入れた対策を実施する必要があるということです。
フィジカル空間を考慮したセキュリティ対策が必要な例として、ビルシステムが挙げられます。
昨今のビルシステムでは、空調や水道の温度を制御する部分について、インターネットを経由したリモートでの監視やメンテナンスを実施するケースが増加しています。
そんな中、サイバー空間とフィジカル空間の双方に影響を与える攻撃事例も確認されています。
例えば、2016年11月、フィンランドの都市であるラッペーンランタのビルにおいて、空調や水道の温度を管理していたサーバがDDoS攻撃を受けた結果、ビルの暖房機能が停止してしまいました。11月の最低気温が氷点下を記録するフィンランドでの出来事であり、健康被害の可能性さえ考えられる事例です。
ビルシステムに限らず、サイバー・フィジカル・システムにおいては、サイバー空間における外部からの攻撃が、フィジカル空間に大きな影響を及ぼしかねません。
このような経緯を踏まえ、CPSFはサイバー空間とフィジカル空間双方のセキュリティに関する要点をまとめています。
以下ではまず、それらを理解するために重要な概念である「バリュークリエイションプロセス」「三層構造アプローチ」について解説します。
CPSFのコンセプトを端的に示すとすれば、「サイバー空間とフィジカル空間におけるつながりの信頼性を確保すること」と表現できます。ここで「つながり」と表現したものは、CPSFでは「バリュークリエイションプロセス(価値創造過程)」と呼ばれます。
従来、企業がモノを製造する際の流れ(例:調達→生産→物流→販売)はサプライチェーンと呼ばれてきました。近年では、このサプライチェーン全体でのセキュリティの重要性が認知され始めており、委託先管理を始めとする様々な観点からのセキュリティ対策が進められています。
委託先管理の3つのポイント|効率的かつ効果的な「あるべき姿」とは?
バリュークリエイションプロセスは、このようなサプライチェーンをさらに拡張した概念です。
つまり、従来のサプライチェーンで考えられていた企業同士のつながりに加え、サイバー空間とフィジカル空間のつながりや、サイバー空間におけるデータのつながりについても、同時に考えていこうという概念です。
このように様々なつながりをバリュークリエイションプロセスとして考えるのは、サイバー空間とフィジカル空間が相互に作用し合うような社会においては、多くの企業、機器、データなどがより柔軟で動的に影響し合うことで新たな価値が生み出されるとされているからです。
サイバー・フィジカル・システムの例として、IoT機器等の活用によって快適な暮らしの実現を目指す、スマートホームを考えてみましょう。
スマートホームでは、住人が量販店やサービス事業者からセンサ等の機能をもつ機器を購入する(あるいは借りる)ことによって当該機器を自宅に導入し、機器から得られる環境データやカメラデータ等がサービス事業者によって分析されます。そして、それらの分析結果をネットワーク経由で住人にフィードバックすることで、住人個々のニーズにあったサービスが提供されます。
このような一連の仕組みは、住人や量販店、機器の製造メーカ、サービス事業者など多様な企業や個人の間のつながり、フィジカル空間上の環境情報を読み取ってサイバー空間上のデータに変換する機器、変換されたデータ同士のつながりなど、一連のバリュークリエイションプロセスによって可能になっています。
このように、サイバー空間とフィジカル空間が相互に影響し合う社会においては、バリュークリエイションプロセスを通じて、様々な価値が生み出されていきます。
図:スマートホームにおけるバリュークリエイションプロセス
『サイバー・フィジカル・セキュリティ対策フレームワーク』を参考にNRIセキュアが作成
しかし、便利なことばかりではありません。
バリュークリエイションプロセスは従来のサプライチェーンよりも複雑であり、柔軟で動的な「つながり」であるが故に、私たちが本来享受できるはずの利便性・快適さを脅かすリスクもいたるところに存在しています。
CPSFでは、このような利便性・快適さをもたらしているのは信頼性(製品やシステムが自らの意図したとおりに動くという確信の度合いに値する性質)だとし、バリュークリエイションプロセスにおいて信頼性を確保するためのセキュリティ対策を実施することこそ重要であると指摘しています。
先ほどのスマートホームの例では、どのような信頼性が存在しうるでしょうか。
例えば、以下が挙げられます。
①機器の製造メーカから販売店に対して、適切な機器が適切なプロセスで届けられること
②導入した機器が環境情報等を正しく読み取ってデータに反映すること(データの真正性)
③読み取られたデータが改ざんされないで適切に保護されること(データの完全性)
バリュークリエイションプロセス全体の信頼性を確保するためには、このような信頼性を担保するためのセキュリティ対策を実施することが重要になります。
ただ、ここで例として挙げた①〜③以外にも、スマートホームにおいて考えなければいけない信頼性や、それを確保するためのセキュリティ対策は山ほどあるように思われます。
また、あるセキュリティ対策によって確保できる信頼性と確保できない信頼性があるようにも感じられます。例えば、マネジメントルールの徹底(ISMS認証の取得等)は、組織のマネジメントに関連する信頼性を確保するためには一定の効果がありそうですが、フィジカル空間からサイバー空間へ情報を転写する機器自体の性能や、転写したあとのデータの適切な保護などに関連する信頼性を確保するには直接の効果は得られなさそうです
このように、ただバリュークリエイションプロセスを眺めているだけでは、どこにどのようなリスクが潜んでいるのかの洗い出しが難しく、それ故に、信頼性を確保するためのセキュリティ対策についても体系的に考えるのが困難です。
図:スマートホームのリスク源の洗い出し例
CPSFは、複雑なバリュークリエイションプロセスにおいてリスク源を適切に洗い出し、各リスク源に応じた信頼性や、それを確保するためのセキュリティ対策を整理するために、三層構造アプローチという方法を提唱しています。
三層構造アプローチでは、バリュークリエイションプロセスのリスク源を洗い出し、以下の三層に分類しています。
その上で、それぞれの層で確保されるのが望ましい信頼性の観点を「信頼性の基点」と定義して、各層の信頼性の観点に応じたセキュリティ対策を実施することで、バリュークリエイションプロセス全体のセキュリティが担保されるとしています。
実は、この三層構造アプローチに当てはめると、上のスマートホームの例で示した①〜③の信頼性及びそれらに対するセキュリティ対策は、それぞれ①→第1層、②→第2層、③→第3層と分類することが可能です。
図: 三層構造アプローチで考えるスマートホーム
『サイバー・フィジカル・セキュリティ対策フレームワーク』を参考にNRIセキュアが作成
表:各層の概要
『サイバー・フィジカル・セキュリティ対策フレームワーク』を参考にNRIセキュアが作成
このように、三層構造アプローチは、バリュークリエイションプロセスに潜むリスク源を洗い出すためのアプローチであり、このアプローチに基づいてバリュークリエイションプロセスを分析することで、「各層で守るべき信頼性は何なのか?」「それらの信頼性を確保するために必要になるセキュリティ対策は何なのか?」などについて効率的に整理することが可能になります。
ここまで、CPSFのコンセプトについて解説してきましたが、CPSFは下表のような構成になっており、これまで解説してきたようなコンセプトに沿ったセキュリティ対策を行うためのポリシーやメソッドについても記載されています。
表:CPSFの基本的な構成
『サイバー・フィジカル・セキュリティ対策フレームワーク』を参考にNRIセキュアが作成
そこでここからは、それらポリシーやメソッドの活用法について、いくつかの例をご紹介します。
まず、自社におけるリスクアセスメントのプロセスを検討することができます。
CPSFの「第Ⅱ部 ポリシー」には、JIS Q 31000:2019において規定されているような一般的なリスクマネジメントプロセスの手法に基づき、「分析対象の明確化」「想定されるセキュリティインシデント及び事業被害レベルの設定」「リスク分析の実施」「リスク対応の実施」の順に、下図のような事項が記載されています。
図:リスクマネジメントプロセスの手法
『サイバー・フィジカル・セキュリティ対策フレームワーク』を参考にNRIセキュアが作成
これらの手順を利用することで、各企業はリスクマネジメントプロセスに関する基礎的な内容を把握することができると考えられます。
次に、すでにセキュリティに関する規程が自社内に存在している、あるいはセキュリティ施策に取り組んでいる企業の場合は、それらの内容について関連標準等とどの程度整合性が取れているかを確認することができます。
CPSFの「第Ⅲ部 メソッド」及び「添付C」には、セキュリティ対策要件と具体的な対策例が、NIST Cybersecurity FrameworkVer.1.1の対応カテゴリに紐づくかたちで掲載されています。
【解説】NIST サイバーセキュリティフレームワークの実践的な使い方
また、要件や対策例ごとに、関連している標準等や参照ガイドラインがわかるようなレイアウトとなっています。これらを参考にすることで、自社の規程や実際に行っているセキュリティ対策について、関連する標準やガイドラインにどの程度対応しているのかを確認することができます。
なお、ここで参照されている他にも、各業界で個別に業界にとって重要視される規格や標準が存在している場合があるので、その点には注意が必要です。
表: CPSF「添付C」内容のイメージ
『サイバー・フィジカル・セキュリティ対策フレームワーク』を参考にNRIセキュアが作成
最後に、「添付E 用語集」を用いた、関連用語や概念に関する認識合わせです。
リスクマネジメント態勢や社内規程の整備などを実施する際、社内の様々な部署の方々を交えて議論をすることになります。その際、議論の対象となっているセキュリティ対策内容に関する用語や概念の定義が一致していないと、議論の内容が曖昧になるばかりでなく、対策内容も不十分となってしまうことが考えられます。
さらに、サイバー・フィジカル・セキュリティに関連するようなシステム(例:IoTシステム、工場システム等)について検討する場合、セーフティ(安全性)とセキュリティ双方に関して議論することになる可能性があるため、互いが使用する用語や概念については特に注意してすり合わせを実施する必要があります。
CPSFは、近年急速に進みつつあるサイバー空間とフィジカル空間の融合に伴うセキュリティリスクの発生に対応するために策定されたものです。
各企業はCPSFを用いることで、このようなセキュリティリスクを適切に管理するための議論に着手することができます。
もちろん、CPSFの本文でも繰り返し述べられている通り、企業に必要なセキュリティ対策は各産業や個々の企業ごとに異なっているため、CPSFに記載されている要件を満たすだけで万全のセキュリティ対策が実施できるとは限りません。また、たとえCPSFに記載されている対策を実施しようとしても、企業文化や既存システム・業務との関係上、対策実施が難しいことがあります。
そのような場合は、コンサルタント等の外部有識者のサポートを借りながら対策内容を検討することで、より適切な対策の実施が可能になるでしょう。