サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）とその展開

サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）

経済産業省では、「産業サイバーセキュリティ研究会ワーキンググループ1（WG1）（制度・技術・標準化）」において、「Society5.0」、「Connected Industries」における新たなサプライチェーン全体のセキュリティ確保を目的としたサイバー・フィジカル・セキュリティ対策について議論を進め、サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）を策定しました。

CPSFは対策の枠組み（チェックポイント）を示すものであり、セキュリティ水準（対策の強度）を示すものではありません。守るべきものやリスクは産業分野によっても違いがあり、各産業分野の特性に応じたセキュリティ対策の検討が必要です。そこで、産業分野別SWGを設置してIndustry by Industryで検討を進めています。

また、「Society5.0」では、産業分野を横断した企業間のつながりやデータの流通、サービスの提供がなされることも事実です。そのため、産業分野別の課題や対策等を相互に持ち寄り、分野を横断して共通するセキュリティ課題の洗い出しやその対策について検討するため、分野横断SWGと3つのTFにおいて議論を行っています。

会議資料等については、産業サイバーセキュリティ研究会のWebページをご参照ください。

ビルSWG 

ビルサブワーキンググループでは、エレベーターや空調など多くの制御系機器を有するビル分野に関して、ビルオーナーを始め、建設会社、設計事務所、ビルに係わる各種設備機器のベンダ、制御システムセキュリティの有識者など、多数のステークホルダーが一堂に会し、ビルシステムに関するサイバーセキュリティ対策のガイドラインについて、議論を実施してきました。この議論の成果として、2019年6月、CPSFに基づいてビルシステムに対するサイバーセキュリティ対策についてまとめた「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（以下「共通編」）」第1版を策定しました。

第1版策定から4年が経過し、近年では、様々なデータの収集・利活用があらゆる分野で行われ、ビル分野でも機器やビル同士でデータ連携等が行われるスマートビル化が進展していることで、ビルシステムがサイバー攻撃を受ける可能性はより高まっています。そのため、サイバーセキュリティ対策の重要性が増していますが、導入済みのシステムの制約やコストの問題から、十分な対策が取られていないことも珍しくありません。

このような状況においては、事前対策でサイバー攻撃を受ける可能性を抑止するとともに、それでもサイバー攻撃（サイバーインシデント）を受けてしまった場合に、その損害を最小限に抑え、復旧にかかる時間とコストを削減するための取組（インシデントレスポンス）が重要となるところ、これまで議論されてきたインシデントレスポンスに係る内容を共通編に組み込み、第2版として公開しました。

第2版では、共通編本体にてインシデントレスポンスの概要の記述を追加するとともに、対策内容の詳細を「付属書　ビルシステムにおけるサイバー・フィジカル・セキュリティ対策　インシデントレスポンス・ガイドライン」として、取りまとめております。

インシデントレスポンスの記載が追加されることで、事前対策からサイバーインシデント発生時までの対応がカバーされることにより、日本国内のビルシステム全体のサイバーセキュリティ確保に向けた取組がますます進展することを期待しています。

• ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版 （2023年4月20日公開）

また、共通編ガイドライン（「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第１版」）に続き、ビルの個別のサブシステムに特化した内容をまとめた個別編ガイドラインの第一弾として、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（個別編：空調システム）第１版」を策定しました。

• ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（個別編：空調システム）第1版（2022年10月24日公開）
• ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（個別編：空調システム）第1版別紙

 

工場SWG

 

工場システムは、従来インターネット等のネットワークにはさらされないことを前提に設計されていましたが、ＩｏＴ化や工場ＤＸの流れで、工場等のネットワークがインターネット等のネットワークに繋がることで新たなセキュリティ上のリスク源が増大するとともに、クラウドやサプライチェーンにおいて接続された製造現場におけるセキュリティも考慮しなければならない状況となっています。一方で、このようなインターネット接続の機会に乏しいと思われる工場であっても不正侵入者等による攻撃を受けるケースも発生しています。さらには、サイバー攻撃が高度化・巧妙化する中で、標的型攻撃として特定の工場が狙われる場合もあれば、攻撃者の意図なくたまたま攻撃された先が工場である場合もあり、いかなる工場においても、サイバー攻撃を受ける可能性があることを前提に対策を講ずる必要性が増してきました。

このような状況を踏まえ、工場サブワーキンググループには、サイバーセキュリティの有識者、工場生産設備・機器メーカー、セキュリティ・ネットワークベンダー、ユーザー企業など、工場システムのステークホルダーが一堂に会し、工場システムのサイバーセキュリティ対策のガイドラインについて議論が重ねられました。その議論の成果として、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」を策定しました。本ガイドラインが活用・参照されることで、より多くの業界・業種で工場システムのセキュリティ対策が実施されたり、業界・業種の事情に応じたガイドラインが作成されたりすることで、産業界全体、とりわけ工場システムのセキュリティの底上げを図られることを期待しています。

関連資料

○工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0
• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」概要資料
• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」付録E チェックリスト

○工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】

• 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】
• 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」【別冊：スマート化を進める上でのポイント】概要資料

関連資料（英訳版）

• The Cyber/Physical Security Guidelines for Factory Systems
• The Cyber/Physical Security Guidelines for Factory Systems [Appendix: Key Considerations for Promoting Smartification]

関連リンク

• スマート工場化でのシステムセキュリティ対策事例 調査報告書
• 産業用制御システム向け侵入検知製品等の導入手引書

スマートホームSWG

スマートホームでは、IoTに対応した住宅設備・家電機器などがサービスと連携することにより、住まい手や住まい手の関係者に便益が提供されることが期待されます。一方で、一般の家庭においてはIoT機器の導入や維持・運用に一貫した計画性がないことが多く、また誤使用が発生する可能性もあり、サービスによっては、サイバー空間における問題が想定外の開錠や閉じ込めといった現実空間における問題を引き起こす可能性があります。このような問題に対して、従来からの機器単体におけるサイバーセキュリティ対策に加え、住まいや住まい手の特性も含めて、多様なステークホルダーを交えた検討が不可欠です。

スマートホームサブワーキンググループでは、多様なステークホルダーを交え、スマートホームにおける安心で安全な暮らしを実現するための基本的な指針の考え方について検討を行ってきました。この議論を踏まえ、「スマートホームの安心・安全に向けたサイバー・フィジカル・セキュリティ対策ガイドライン」を策定しました。本ガイドラインでは、知識やバックグラウンドが様々なステークホルダーに対応するため、シンプルな対策ガイドから、具体的な対策要件や国際標準との対比まで、セキュリティ対策を階層的に整理しています。今後、本ガイドラインを活用することで、スマートホームにおける住まい手の安心・安全の確保に向けた取組が進展することを期待しています。

• スマートホームの安心・安全に向けたサイバー・フィジカル・セキュリティ対策ガイドライン Version 1.0（PDF形式2,176KB）（2021年4月1日公開）

なお、最新版については一般社団法人電子情報技術産業協会（JEITA）のウェブサイトをご確認ください。

• JEITAスマートホーム部会

ソフトウェアTF

近年、産業に占めるソフトウェアの重要性が高まっています。なかでも、ソースコードが一般に公開され、商用か非商用かを問わずソースコードの利用・修正・再配布が可能なオープンソースソフトウェア（OSS）については、汎用ライブラリ等を中心に、企業の商用製品・サービスにも積極的に採用されており、今やOSSを用いずに製品・サービスを構築することは困難です。

ソフトウェアTFでは、多くの企業がOSSを含むソフトウェアの管理手法、脆弱性対応等に課題を抱えている現状に対し、産業界での知見の共有が有効であるとの認識に至り、OSSの管理手法等に関して参考になる取組を実施している企業に対してヒアリング等による調査を実施し、事例集として取りまとめました。

本事例集では、OSS利活用するに当たって留意すべきポイントを整理し、そのポイントごとに各種事例を取りまとめています。本事例集を参考に、OSSの留意点を考慮した適切なOSS利活用が進み、産業界においてOSSのメリットを享受することで競争力向上につながることを期待しています。

• OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集（PDF形式6,678KB）（2022年8月1日拡充）
• Collection of Use Case Examples Regarding Management Methods for Utilizing Open Source Software and Ensuring Its Security (in English)（PDF形式7,124KB）

また、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」（ソフトウェア部品表）に着目し、企業による利活用を推進するための検討を進めてきました。今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しましたのでお知らせします。 本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけるサイバーセキュリティ能力の向上に繋がることが期待されます。

• ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0（PDF形式2,322KB）
• 「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料PDF（PDF形式849KB）
• 「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリスト（EXCEL形式12KB）
　
• ソフトウェア管理に向けたSBOMの導入に関する手引 Ver2.0（PDF形式4,683KB）
• 「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver2.0」 概要資料PDF（PDF形式849KB）

第2層TF 

フィジカル空間とサイバー空間をつなぐ機器・システム、つまりIoT機器・システムに対するセキュリティ対策は、IoT機器・システムに関連する課題の多様性だけでなく、その利用される環境の多様性も踏まえた対応が必要となります。

第2層TFでは、サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされる新たなリスクに着目し、リスク形態及びそうしたリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する「IoTセキュリティ・セーフティ・フレームワーク」を2020年10月に策定しました。

IoT-SSFを活用することにより、フィジカル・サイバー間をつなぐ機器・システムに潜むリスクを踏まえて、機器・システムのカテゴライズを行い、カテゴリ毎に求められるセキュリティ・セーフティ要求の観点を把握し、カテゴリ間で比較することが可能となります。これにより、別々のプロセスで検討した場合であっても、新たな仕組み・サービスに対応したそれぞれの機器・システムに求めるセキュリティ・セーフティ対策の観点・内容の整合性を一定程度確保することができると考えております。

• IoTセキュリティ・セーフティ・フレームワーク（IoT-SSF） Ver1.0（PDF形式882KB）（2020年11月5日公開）
• IoT-SSFの概要（PDF形式441KB）
• IoT Security Safety Framework Ver1.0 (in English)（PDF形式684KB）

 

また、IoT機器・システムのセキュリティに係る様々な主体に適用可能な「基本的共通基盤」ではあるIoT-SSFは抽象度が高い部分も含まれているため、「IoTセキュリティ・セーフティ・フレームワーク」をより活用しやすいものにすることを目的として、ユースケース集を2022年4月に作成しました。

• IoTセキュリティ・セーフティ・フレームワークVersion 1.0 実践に向けたユースケース集（PDF形式4,736KB）（2022年4月8日公開）
• IoTセキュリティ・セーフティ・フレームワークVersion 1.0 実践に向けたユースケース集（概要版）（PDF形式2,432KB）
• IoTセキュリティ・セーフティ・フレームワークVersion 1.0 実践に向けたユースケース集（簡易版）（PDF形式1,438KB）

 

そして、今後の更なるIoT-SSFの適用拡大に際して参考となる事例を蓄積するとともに、適用を通じてIoT-SSFの改善点を洗い出すことを目的として、IoT-SSFの適用実証を行いました。適用実証の結果は適用実証報告書、適用に際しての手順は適用手順書として取りまとめておりますので、IoT-SSFの適用の際にはご活用ください。また、社内外でIoT-SSFのプロモーションを行う際の資料も作成いたしました。

• IoTセキュリティ・セーフティ・フレームワークVersion 1.0 適用実証報告書（PDF形式3,639KB）（2023年4月10日公開）
• IoTセキュリティ・セーフティ・フレームワークVersion 1.0 適用手順書（PDF形式1,822KB）
• （参考１）IoTセキュリティ・セーフティ・フレームワークVersion 1.0 適用テンプレート
• （参考２）IoTセキュリティ・セーフティ・フレームワークVersion 1.0 適用ワークシート
• IoTセキュリティ・セーフティ・フレームワーク　プロモーション資料（PDF形式627KB）

 

第3層TF 

サイバー空間とフィジカル空間が高度に融合した産業社会においては、データがサイバー空間を自由に流通し、多様なデータが新たなデータを生み出して付加価値を創出することが可能になります。そうしたサイバー空間のつながりにおいては、データそのものが正しいことが重要な前提であり、付加価値の創出（バリュークリエイション）の基礎となるデータがバリュークリエイションプロセスの信頼性を確保するための基点となります。

データ自体に信頼性の基点を置いて包括的なセキュリティ対策を実施するためには、データのライフサイクル全体にわたってリスクを洗い出し、セキュリティ確保のための様々な措置を実施することが必要となります。

第3層TFでは、データを軸に置き、データのライフサイクルを通じて、その置かれている状態を可視化してリスクを洗い出し、そのセキュリティを確保するために必要な措置を適切なデータマネジメントによって実現することを可能とする「協調的なデータ利活用に向けたデータマネジメント・フレームワーク ～データによる価値創造の信頼性確保に向けた新たなアプローチ」を策定しました。

• 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ～データによる価値創造の信頼性確保に向けた新たなアプローチ Ver1.1（PDF形式4,258KB）
• 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ～データによる価値創造の信頼性確保に向けた新たなアプローチ Ver1.0（PDF形式3,399KB）
• 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ～データによる価値創造の信頼性確保に向けた新たなアプローチの概要（PDF形式1,833KB）
• Data Management Framework for Collaborative Data Utilization -A New Approach toward an Establishment of Trust in a Data-Driven Value Creation Ver1.0（PDF形式3,314KB）

より具体的かつ実際の運用に即した、データマネジメント・フレームワーク（DMF）のケーススタディとして、令和４年度（2022年度）に民間事業者の協力を得て適用実証を行いました。また、DMFに基づくリスクアセスメントを行う際の参考となるよう手順書を取りまとめましたのでご活用ください。

• 協調的なデータ利活用に向けたデータマネジメント・フレームワーク～データによる価値創造の信頼性確保に向けた新たなアプローチ～適用実証報告書（PDF形式3,999KB）
• 協調的なデータ利活用に向けたデータマネジメント・フレームワーク適用手順書（PDF形式376KB）

商務情報政策局 サイバーセキュリティ課
電話：03-3501-1511（内線）3964
FAX：03-3580-6239