編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

ローカル5Gのセキュリティを強化する「CPSF」--使い方から検討ポイントまで

佐藤雄一 (NTTデータ先端技術)

2020-07-14 07:15

 ローカル5Gをテーマにした本連載も今回で最終回です。今回は、2019年に経済産業省が発表した、「サイバー・フィジカル・セキュリティ対策フレームワーク(Cyber Physical Security Framework:CPSF)」(PDF)を解説します。

 前回、CPSFは、従来の情報システムだけでなく、IoTを意識した作りとなっていると説明しました。ITの世界となるサイバー空間だけにとどまらず、現実世界の物理的な脅威への波及、サプライチェーンリスクの意識などの特徴を解説しました。

 今回は、CPSFを使ってどう分析するかを解説したいと思います。

現実世界も意識した対策を(出典:NTTデータ先端技術)
現実世界も意識した対策を(出典:NTTデータ先端技術)

分析の進め方

 進め方としては、「JIS Q 31000:2010」や「JIS Q 27001:2014」などの一般的なリスクマネジメントの手法と同様です。

 つまり、(1)分析対象を明確化、(2)想定される被害を設定、(3)リスク分析の実施、(4)リスク対応の実施――という流れになります。やり方自体は一般的なリスク分析と同じですので、情報セキュリティマネジメントシステム(ISMS)を取得している組織の方などであれば、流れは理解しやすいかと思います。

分析対象を明確化

 分析するにあたって、まずは、分析の範囲を決めることが最初のステップとなります。

 独立行政法人情報処理推進機構(IPA)は、2018年の「制御システムのセキュリティリスク分析ガイド 第2版」(PDF)において、CPSFの手法として以下3つを記載しています。

  1. 分析範囲の決定と資産の明確化
  2. システム構成の明確化
  3. データフローの明確化

 要は、どこに何があるのか、そして、データがどこに流れていくのか、を抑えましょうということですね。

 ここで注意してほしいのが、CPSFの項目を利用したアセスメントをする場合、「実施主体」を明確にしておく必要があるという点です。

 CPSFは「バリュークリエイションプロセス全体のセキュリティ確保」という目的があるため、自組織だけではなく、委託先、提携する企業などのステークホルダーを考慮した項目があります。そのため、組織の主体をハッキリさせないと、

  • 「誰から見て委託先なのか」
  • 「どこまでを責任範囲とするのか」
  • といった観点が、ブレやすい傾向にあります。対象がブレると、後続の作業で、「誰にとっての被害なのか」「誰が対応すべきなのか」が曖昧になり得るので注意が必要です。

    ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

    特集

    CIO

    モバイル

    セキュリティ

    スペシャル

    NEWSLETTERS

    エンタープライズ・コンピューティングの最前線を配信

    ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
    ITビジネス全般については、CNET Japanをご覧ください。

    このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
    Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
    [ 閉じる ]