7-4-1. CPSF(サイバー・フィジカル・セキュリティ対策フレームワーク)の概要
概要
Society5.0の到来に従い、サイバー空間とフィジカル空間が融合することで、これまでにはなかった様々な新たな価値(モノやサービス)が提供されることになります。
サプライチェーンは、従来の形(例:調達→生産→物流→販売)から、サイバー空間とフィジカル空間のつながりや、サイバー空間のデータのつながりを考える必要がある形へと変化していくことになります。このような新たな形のサプライチェーンは、『価値創造過程(バリュークリエイションプロセス)』と定義されています。
製品を製造して消費者に販売するまでが従来のサプライチェーンだとした場合、バリュークリエイションプロセスでは、消費者の使用データの収集やシステムのアップデートなどを通じて消費者との関係が継続します。サイバー空間とフィジカル空間の接点の全てがサイバー攻撃の対象となると考えられ、工場のシステムだけでなく、製品そのものに対する攻撃、個人情報などのデータを蓄積した本社に対する攻撃が行われる危険性があります。
このような新たなサプライチェーンの概念に求められるセキュリティへの対応指針として、政府は『サイバー・フィジカル・セキュリティ対策フレームワーク』(CPSF)を策定しました。
CPSFは、ISMSやCSFのフレームワークの内容を包含しつつ、サイバー空間とフィジカル空間双方のセキュリティ対策に対応したフレームワークとなっています。
目的と適用範囲
CPSFの主な目的は、新たな産業社会におけるバリュークリエイションプロセス全体の理解、リスク源の明確化、必要なセキュリティ対策全体像の整理を行うことです。従来のサプライチェーンに適用可能なセキュリティ対策に加えて、新たな産業社会の変化から生じる特有の対策も含まれています。
本フレームワークの適用範囲としては、新たな産業社会におけるバリュークリエイションプロセス全体となります。企業が本フレームワークを参考にし、自社の実態に合わせて、適切なセキュリティ対策を実施することが重要です。
従来のサプライチェーンに対するセキュリティの考え方では、セキュリティ対応を行っている組織間の取引であれば、サプライチェーン全体の信頼性が確保される「組織マネジメントの信頼性」に基点が置かれていました。
しかしながら、 Society5.0では、従来のサプライチェーンのように、組織のマネジメントの信頼性に基点を置くことだけでは、バリュークリエイションプロセスの信頼性を確保することが困難となります。IoT機器を使用した場合、フィジカル空間の様々な情報はデジタル化され・サイバー空間へ取り込まれ、新たな価値が生み出されます。その一方で、マネジメントルールを徹底しただけでは、サイバー空間に取り込んだデータの適切な保護といった信頼性を確保することはできなくなります。
バリュークリエイションプロセスの信頼性を確保するためには、セキュリティ上のリスク源を的確に洗い出し、対処方針を示すためのモデルが必要になります。そのため、CPSFでは、バリュークリエイションプロセスが発生する産業社会を3つの層、バリュークリエイションプロセスに関与する構成要素を6つに整理し、CPSFの基本構成としました。3つの層でリスク源を洗い出し、6つの構成要素で各リスク源に対する対策要件および具体的な対策例を示します。
3層構造モデル
各層における信頼性の基点は以下の通りです。
- 第1層では、企業(組織)のマネジメントの信頼性
- 第2層では、サイバー空間とフィジカル空間のつながりにおける、要求される情報の正確性に応じて適切な正確さで情報が変換される “転写”機能の信頼性
- 第3層では、サイバー空間のつながりにおける、データの信頼性
図40.3層構造モデルと各層における信頼性
(出典) 経済産業省「サイバー・フィジカル・セキュリティ対策フレームワークVer.1.0」を基に作成