編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

ローカル5Gで必見の「CPSF」--つながる世界のためのセキュリティ対策を考える

佐藤雄一 (NTTデータ先端技術)

2020-07-07 07:15

 本連載では、これまでに、ローカル5Gの概要、ローカル5Gで想定されるサイバー攻撃について紹介してきました。今回は、サプライチェーンリスクとそれに対応するための「サイバー・フィジカル・セキュリティ対策フレームワーク(Cyber Physical Security Framework:CPSF)」を解説します。

サプライチェーンリスクとは(出典:NTTデータ先端技術)
サプライチェーンリスクとは(出典:NTTデータ先端技術)

ローカル5Gにおけるサプライチェーンリスク

 第2回では、「ローカル5G導入に関するガイドライン(総務省) 」(PDF)の「(9)セキュリティの確保」において、「サプライチェーンリスク対応を含む十分なサイバーセキュリティ対策」といった一言があることを確認しました。サプライチェーンリスク対応とは、何を求められているのでしょうか。

 そもそも、サプライチェーンリスクとはなんでしょうか。そこで、内閣サイバーセキュリティセンター(NISC)が公開した「サイバーセキュリティ2019 」(PDF)をみてみましょう。同書は、日本政府の情報セキュリティ政策を遂行する機関であるNISCが、2019年度の重点計画を盛り込んだ年次報告、計画書です。

従来のサプライチェーン・リスクは、自然災害等何らかの要因からサプライチェーンに障害が発生し、結果として事業の継続に支障を来す恐れがあるというリスクを主に想定していた。ITにおける新たなサプライチェーン・リスクとしては、サプライチェーンのいずれかの段階において、サイバー攻撃等によりマルウェア混入・情報流出・部品調達への支障等が発生する可能性も考慮する必要がある。また、サプライチェーンのいずれかの段階において、悪意のある機能等が組み込まれ、機器やサービスの調達に際して情報窃取・破壊・情報システムの停止等を招く可能性についても想定する必要がある。

 つまり、ローカル5Gにおけるサプライチェーンリスクとしては、IoT機器、IoT機器を利用したサービスを製造、流通する過程において、不正なプログラム、ファームウェアの組み込み、改ざんなどが行われるリスクを指すと言えるでしょう。

 工場の工作機械を使ったIoTシステムを考えてみましょう。工作機械を作るためには、物理的にはさまざまな部品、それを動作させるためのOS、プログラムが必要になります。OSはA社製、プログラムはB社、それを動かすハードウェアはC社で、データの格納先はクラウドベンダーのD社…、といった具合で、さまざまな企業が関わります。

 「情報漏えいを引き起こす不正なコードを仕込まれる」「脆弱性がある古いOSを利用している」「アプリケーションのシステム管理者のデフォルトのパスワードがすぐに思いつくものだった」…といったように、故意、過失にかかわらず、脆弱性が仕込まれ、攻撃を受ける可能性のあるポイントが存在するため、1社だけがセキュリティ対策に注意していても、脆弱性のある製品になってしまう可能性があります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]