Society5.0の到来で、サイバー空間とフィジカル空間が融合することによって、これまでにはなかったさまざまな新たな価値(モノやサービス)が提供されることになります。
サプライチェーンは、従来の形(例:調達→生産→物流→販売)から、サイバー空間とフィジカル空間のつながりや、サイバー空間のデータのつながりを考える必要がある形へと変化していくことになります。このような新たな形のサプライチェーンは、『価値創造過程(バリュークリエイションプロセス)』と定義されています。
製品を製造して消費者に販売するまでが従来のサプライチェーンだとした場合、バリュークリエイションプロセスでは、消費者の使用データの収集やシステムのアップデートなどを通じて消費者との関係が継続します。サイバー空間とフィジカル空間の接点のすべてがサイバー攻撃の対象となると考えられ、工場のシステムに加えて、製品そのものに対する攻撃、個人情報などのデータを蓄積した本社に対する攻撃が行われる危険性があります。
このような新たなサプライチェーンの概念に求められるセキュリティへの対応指針として、政府は『サイバー・フィジカル・セキュリティ対策フレームワーク』(CPSF)を策定しました。
CPSFは、ISMSやCSFのフレームワークの内容を包含しつつ、サイバー空間とフィジカル空間双方のセキュリティ対策に対応したフレームワークとなっています。
・新たな産業社会に変化したからこそ新たに対応が必要な対策
・それぞれの組織に応じてセキュリティ対策を選定することが可能
従来のサプライチェーンに対するセキュリティの考え方では、セキュリティ対応を行っている組織間の取引であれば、サプライチェーン全体の信頼性が確保される「組織マネジメントの信頼性」に基点が置かれていました。
しかしながら、 Society5.0では、従来のサプライチェーンのように、組織のマネジメントの信頼性に基点を置くことだけでは、バリュークリエイションプロセスの信頼性を確保することが困難となります。IoT機器を使用した場合、フィジカル空間のさまざまな情報はデジタル化され・サイバー空間へ取り込まれ、新たな価値が生み出されます。その一方で、マネジメントルールを徹底しただけでは、サイバー空間に取り込んだデータの適切な保護といった信頼性を確保することはできなくなります。
バリュークリエイションプロセスの信頼性を確保するためには、セキュリティ上のリスク源を的確に洗い出し、対処方針を示すためのモデルが必要になります。そのため、CPSFでは、バリュークリエイションプロセスが発生する産業社会を3つの層、バリュークリエイションプロセスに関与する構成要素を6つに整理し、CPSFの基本構成としました。3つの層でリスク源を洗い出し、6つの構成要素で各リスク源に対する対策要件および具体的な対策例を示します。
図41. 層構造モデルと各層における信頼性
(出典) 経済産業省「サイバー・フィジカル・セキュリティ対策フレームワークの概要」をもとに作成
