ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

1. 背景・経緯

経済産業省では、平成29年12月、我が国の産業界が直面するサイバーセキュリティの課題を洗い出し、関連政策を推進していくために「産業サイバーセキュリティ研究会」を立ち上げ、平成30年2月7日には、研究会の下に設立した「WG1（制度・技術・標準化）」にて、「Society5.0」、「Connected Industries」における新たなサプライチェーン全体のセキュリティ確保を目的として、「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」の検討を開始しました。これを受け、産業分野別のサイバーセキュリティポリシーの検討の一環として、「ビルサブワーキンググループ」を設置し、平成30年2月28日の第1回会合からビルシステムに関するサイバーセキュリティ対策についての議論を行ってきました。

ビルサブワーキンググループでは、エレベータや空調など多くの制御系機器を有するビル分野に関して、ビルオーナーを始め、建設会社、設計事務所、ビルに係わる各種設備機器のベンダ、制御システムセキュリティの有識者など、多数のステークホルダーが一堂に会し、ビルシステムに関するサイバーセキュリティ対策のガイドラインについて議論を重ね、これらの議論結果及びパブリックコメントでの意見を踏まえて、平成31年6月に「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（共通編）」第1版を策定しました。

第1版策定から約4年が経過し、近年では、様々なデータの収集・利活用があらゆる分野で行われ、ビル分野でも機器やビル同士でデータ連携等が行われるスマートビル化が進展していることで、ビルシステムがサイバー攻撃を受ける可能性はより高まっています。そのため、サイバーセキュリティ対策の重要性が増していますが、導入済みのシステムの制約やコストの問題から、十分な対策が取られていないことも珍しくありません。

このような状況においては、事前対策でサイバー攻撃による被害を抑止し、それでもサイバー攻撃（サイバーインシデント）を受けた際に、その損害を最小限に抑え、復旧にかかる時間とコストを削減するための取組（インシデントレスポンス）について、サブワーキンググループでの議論の成果を共通編に組み込み、第2版として策定することとしました。インシデントレスポンスの記載が追加されることで事前対策からサイバーインシデント発生時までの対応がカバーされることにより、日本国内のビルシステム全体のサイバーセキュリティ確保に向けた取組がますます進展することを期待しています。

2．ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版の概要

第2版では、インシデントレスポンスの概要等の記述を追加するとともに、対策内容の詳細を「付属書　ビルシステムにおけるサイバー・フィジカル・セキュリティ対策　インシデントレスポンス・ガイドライン」として、共通編本体の後ろにまとめました。第2版の構成は以下に示すとおりです。

• 1. はじめに
  • 1.1. ガイドラインを策定する目的
  • 1.2. ガイドラインの適用範囲と位置づけ
  • 1.3. 本ガイドラインの構成
• 2. ビルシステムを巡る状況の変化
  • 2.1. ビルシステムを含む制御システム全般の特徴と脅威の増大
  • 2.2. ビルシステムにおける攻撃事例
  • 2.3. ビルシステムにおけるサイバー攻撃の影響
• 3. ビルシステムにおけるサイバーセキュリティ対策の考え方
  • 3.1. 一般的なサイバーセキュリティ対策のスキーム
  • 3.2. ビルシステムの構成の整理
  • 3.3. ビルシステムの特徴
  • 3.4. ビルシステムにおけるサイバーセキュリティ対策の整理方針
  • 3.5. ガイドラインの想定する使い方例
• 4. ビルシステムにおけるリスクと対応ポリシー
  • 4.1. 全体管理
    • １．構成情報／管理情報
    • ２．バックアップデータ／事業継続
    • ３．会社／要員の管理
    • ４．体制構築等
  • 4.2. 機器ごとの管理策
    • １．ネットワーク(クラウド、情報系NW、BACnet等)
    • ２. 防災センター（中央監視室）
    • ３．機械室／制御盤ボックス
    • ４．配線経路（MDF室、EPS、天井裏ラック）
    • ５. 末端装置が置かれる場所
• 5. ライフサイクルを考慮したセキュリティ対応策
• 6. インシデント発生時の対応策
  • 6.1. インシデントレスポンスの概要
    • １．準備段階
    • ２. 識別段階
    • ３．封じ込め段階
    • ４．クリーンアップと回復段階
    • ５. フォローアップ段階
  • （別紙一覧表、構成は4章と同一）
  • 付録 用語集、他
• 付属書　ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン

関連資料

• ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版 （PDF形式：2,864KB）
• ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版別紙（PDF形式：388KB）※第2版への改定に伴う第1版からの変更なし
• ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版 （PDF形式：3,940KB）

関連リンク

• 産業サイバーセキュリティ研究会WG1（制度・技術・標準化）
• ビルサブワーキンググループ

商務情報政策局 サイバーセキュリティ課
電話：03-3501-1253
FAX：03-3501-6239