サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の三層構造

経済産業省は2019年4月18日、「Connected Industries」における新たなサプライチェーン（バリュークリエイションプロセス）全体のサイバーセキュリティ確保を目的として、産業に求められるセキュリティ対策の全体像を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」を策定しました。

サイバー空間とフィジカル空間を高度に融合により、多様なニーズにきめ細かに対応したモノやサービスを提供し、経済的発展と社会的課題の解決を両立する超スマート社会「Society5.0」と、様々なつながりによって新たな付加価値を創出する「Connected Industries」においては、サプライチェーンが従来の定型的・直線的なものから、より柔軟で動的なものに変化しています。

経済産業省では、このような新たな形のサプライチェーンを『価値創造過程（バリュークリエイションプロセス）』と定義し、「Society5.0」、「Connected Industries」によって拡張したサプライチェーンの概念に求められるセキュリティへの対応指針として、『サイバー・フィジカル・セキュリティ対策フレームワーク』の策定を進めてきています。

今後、CPSFの実装に向けて、各産業分野において、産業構造や商習慣などの観点から守るべきもの、許容できるリスクが異なるという実態を踏まえ、CPSFを主要な産業分野に展開し、各産業分野で求められる具体的なセキュリティ対策の検討を推進していくとしています。

また、産業横断的な対策が求められる『データ区分に応じたセキュリティ対策』、『転写機能を持つ機器・システムに求められるセキュリティ対策』、『OSS（オープンソースソフトウェア）を含むソフトウェアの管理手法等』についてタスクフォースを設置し、検討を進めていくとしています。

CPSFの全体概要は以下のとおりで、リスク源と対応する方針を整理しています。

出所：経済産業省 サイバー・フィジカル・セキュリティ対策フレームワーク 2019.4

CPSFにおける信頼性の確保の考え方は、

各構成要素について必要なセキュリティ要件が満たされていることを確認し(信頼の創出)、確認した主体以外の者による照会ができるようにし(信頼の証明)、それを繰り返し行い、広く共有して信頼のチェーンを構築、維持することで、バリュークリエイションプロセス全体のセキュリティを実現することになる

としています。

三層構造モデルへの落とし込みでは、各層の特性及び機能・役割を理解した上で分析範囲及び資産を整理しています。

出所：経済産業省 サイバー・フィジカル・セキュリティ対策フレームワーク 2019.4

第3回 産業サイバーセキュリティ研究会では、「産業サイバーセキュリティの加速化指針 ～アクションプランの深化・拡大～」も示しています。