ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(β版)
経済産業省は2018年9月3日、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(β版)」を公表しました。
経済産業省では、産業分野別のサイバーセキュリティ確保の一環として、エレベーターや空調など多くの制御系機器を有するビル分野に関するステークホルダーが集まり、そのサイバーセキュリティ対策について議論する「ビルサブワーキンググループ」を設置し、本年2月から、ビルシステムに関するサイバーセキュリティ対策のガイドラインについて検討を行い、今回、ガイドライン(β版)を公表しています。
ビルのサイバーセキュリティについては、これまでは制御系がインターネットと切り離されていることや、ビル特有のプロトコルを使っているため攻撃の対象となりづらい、ビルシステムがマルチステークホルダーであり、システム全体を統合管理する体制を組織しづらい等を理由にして対策が遅れている傾向があったとしています。
しかしながら、サイバー攻撃のレベルの向上により、特有のプロトコルであることをもって攻撃の対象から外れることはなくなってきており、利便性の向上の観点からインターネットに繋がるケースが増えてきており、外部からの接続を前提にした設計も増加し、世界的に見てもビルを対象としたサイバー攻撃が発生しています。
一方で、ビルの特徴としてステークホルダーが多数存在しており、これらの関係するステークホルダーが参照できるセキュリティ対策のガイドラインが存在しておらず、サイバーセキュリティ対策を進める方向性が示されていない状況となっており、こうした問題意識から、平成30年2月、産業サイバーセキュリティ研究会WG1 の下に、ビルに関わる多数のステークホルダーが一堂に会し、それぞれの視点も考慮したビル向けのセキュリティ対策について議論を行うビルサブワーキンググループを設置し、検討を進めてきています。
本ガイドライン(β版)は、これまで、ビルサブワーキンググループで検討を進めてきたビルシステムのサイバー・フィジカル・セキュリティ対策の内容を整理したもので、今後、各事業者等の具体的な意見を聞きながら、より具体的に実装に活用できる内容にしていくとともに、サイバー・フィジカル・セキュリティ対策フレームワークの検討も参考にしながら、関連する国際規格や他の産業と比較して漏れている対策がないかなど、検討を進めていくとしています。
なお、目次は以下のとおりです。
出所:経済産業省 ルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(β版) 2018.9
場所からみたサイバーセキュリティリスクとライフサイクルをまたがって適用するべき対策は以下のとおりで整理しています。
出所:経済産業省 ルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(β版) 2018.9
ビルシステムにおけるリスクと対応ポリシーについては、以下の項目で整理をしています。
<全体管理>
1.構成情報/管理情報
2.バックアップデータ/事業継続
3.会社/要員の管理
4.体制構築等
<機器ごとの管理策>
1.ネットワーク(クラウド、情報系 NW、BACnet)
2.監視センター(中央制御室)
3.機械室/制御盤ボックス
4.配線経路(MDF 室、EPS、天井裏ラック)