サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)、知っていますか?
経済産業省は、2019年4月18日に産業に求められるセキュリティ対策の全体像を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を発表しています。
これは、「Society5.0」、「Connected Industries」によって拡張したサプライチェーンの概念に求められるセキュリティへの対応指針となっています。
簡単にいうと「ネットの世界と工場等の物理的な世界が繋がり、企業同士も繋がっていくなかで、求められるセキュリティの全体像を整理した」ということになります。
現在、アメリカのNISTが作成しているNIST Cybersecurity Frameworkが世界のデファクトになってきているなか、日本がネットとフィジカルの領域を包括した新たなフレームワークを世界に発信したことは、大変意義深い取組であると考えます。
パブリックコメントの段階から英語版を作成し、世界からのコメントを受け付けていることからも、その熱意が分かります。
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)の内容
では、には、いったい何が書かれているのでしょうか?
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)は、三部構成となっています。
第1部 コンセプト
サイバー空間(ネットの世界)とフィジカル空間(物理的の現実世界)における2つの観点からもモデル化しています。
一つ目の切り口が三層構造であり、以下のとおり第1層(フィジカル空間)、第3層サイバー空間(ネットの世界)そして第2層(フィジカル空間とサイバー空間のつながり)でモデル化しています。
サイバー・フィジカル・セキュリティ対策フレームワークの概要(経産省)から引用
2つ目の切り口がセキュリティ対策を講じる上での適切な最小単位であり、組織、人、物、データ、プロシージャー、システムの6つの構成要素として整理されている。
第2部 ポリシー
第2部は、リスク源の洗いだしと対策要件の特定について書かれています。
第1部で紹介した三階層構造を使って分析対応を明確します。
サイバー・フィジカル・セキュリティ対策フレームワークの概要(経産省)から引用
第3部 メソッド(対策事例集)
企業などが、リスクアセスメントの結果に応じて、具体的な対策ができるよう第2章で紹介されている対策要件とNIST Cybersecurity FrameworkおよびISO/IEC27001の関係が対応表として整理されている。
既存のフレームワークや国際基準を使っている場合は、この対応表を確認することにより、このサイバー・フィジカル・セキュリティ対策フレームワークが求める対策要件との紐づけが可能である。
参考リンク先
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定しました (METI/経済産業省)
サイバー・フィジカル・セキュリティ対策フレームワークとは:『ビジネス2.0』の視点:オルタナティブ・ブログ (itmedia.co.jp)
【最新】経産省「サイバー・フィジカル・セキュリティ対策フレームワーク」を読み解く (nri-secure.co.jp)
【最終回】ビルシステムのセキュリティ業界の活性化に必要なこと:「サイバー・フィジカル・セキュリティ対策ガイドライン」詳説(13)(1/2 ページ) – BUILT (itmedia.co.jp)
コメント