- Column
- ツナガル社会を守るサイバーフィジカルセキュリティ
デジタル化の進展で高まる「IoTセキュリティ」と最新の政策動向
「IoTセキュリティフォーラム 2022 オンライン」より、経済産業省の奥田 修司 氏
デジタルトランスフォーメーションの重要性が認識されデジタル化が進むなか、サイバー空間とフィジカル空間をつなぐIoT機器でのセキュリティの確保が大きな課題になっている。経済産業省の奥田修司氏は講演において「IoTセキュリティ・セーフティ・フレームワーク」など関連政策について紹介した。
デジタル化を背景に、サイバー空間とフィジカル空間の融合が進んでいる。だが一方で、新たなセキュリティリスクへの対応が課題にもなっている。
経済産業省 経済産業省商務情報政策局 サイバーセキュリティ課 課長の奥田修司氏は「デジタル化を背景にした新たな働き方の浸透などにより今後、サイバーセキュリティの必要性は、業種や規模を問わず、あらゆる企業で高まっていく」と指摘する。
サイバー空間とフィジカル空間が融合するなかでの信頼性を確保するために経済産業省は種々の取り組みを進めている。産業界へのメッセージとして奥田氏が強調するのが「組織幹部のリーダーシップの重要性」だ。
例えばランサムウェア攻撃に対しては、「事業継続が難しくなる、暗号化でシステムが使えなくなるといったリスクに対する経営幹部の的確な判断が肝要になる。セキュリティ対策においてリーダーシップを発揮し、海外拠点を含めた展開が必要なことは、これまでの攻撃実態を見ても明らか」(奥田氏)だからだ。必要なセキュリティ対策として奥田氏は4つのポイントを挙げる。
ポイント1 :サプライチェーン全体でサイバーセキュリティ対策を徹底し、持続可能な体制を確立する。保有する情報資産と、外部のネットワークとどのように接続されているかの把握と対策が基本になる。
ポイント2 :感染が確認された場合は、専門機関やセキュリティベンダーの支援のもと適時、報告・相談・対応を実施する。
ポイント3 :中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する
ポイント4 :ITサービスなどの事業者は、製品/サービスのセキュリティ対策に責任を持つ
業種別や分野横断的なガイドラインとなるCPSFを提示
経産省は、業種別や分野横断的なガイドラインなどの作成にも取り組んでいる。その1例が、「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」である。
CPSFは、サイバー空間とフィジカル空間を3つの層に分けている。第1層:企業間のつながり(サプライチェーン)、第2層:フィジカル空間とサイバー空間のつながり、第3層:サイバー空間におけるつながり、だ。その上で、(1)組織、(2)人、(3)モノ、(4)データ、(5)プロシジャー(手続き)、(6)システムの6つの構成要素の別に必要なセキュリティ対策を示す。
CPSFをより具体的な内容にするため、産業分野別にサブワーキンググループを設置。さらに、分野横断の共通課題を検討するために3つのタスクフォース(TF)を置いている(図1)。
タスクフォースは、3つの層において各産業に共通な課題を検討する。例えば、第2層のフィジカル空間とサイバー空間のつながりについては、「『フィジカル空間とサイバー空間のつながり』の信頼性確保に向けたセキュリティ対策検討TF」が担当する。
今後は、「政府と産業界の協業を進めつつ、国際的なルール形成の推進に向けた取り組みや、サプライチェーン全体のセキュリティ向上に向けた取り組みを進めていく」(奥田氏)計画だ。