こんにちは。はなくとです。
4月18日に経済産業省がサイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定し、公開しました。
経産省によると策定の目的は、
経済産業省では、サイバー空間とフィジカル空間を高度に融合させることにより実現される「Society5.0」、様々なつながりによって新たな付加価値を創出する「Connected Industries」における新たなサプライチェーン(バリュークリエイションプロセス)全体のサイバーセキュリティ確保を目的として、産業に求められるセキュリティ対策の全体像を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク」を策定しました。
出典:経済産業省
https://www.meti.go.jp/press/2019/04/20190418002/20190418002.html
とのことです。要はIoT時代に向けたセキュリティフレームワークといったところでしょうか。
上記出典先の「関連資料3. サイバー・フィジカル・セキュリティ対策フレームワークVer1.0のポイント」を読んでみたところ、このフレームワークで言っていることは、大きく3つあります。
①データの重要度に応じてセキュリティ対策をしましょう。
→データを暗号化しましょう。データ提供者の信頼性を確認しましょう。
②フィジカル空間(IoT機器でいいのかな)までサイバー攻撃されるようになったよ。
→接続先の認証をしっかりしましょう。安全なIoT機器使いましょう。
③企業のサプライチェーンが複雑になりました。
→企業間のマネジメントルールと役割分担しっかりしましょう。
おっ、どこかで聞いた話ばかりだぞ。思った方はセキュリティに詳しい方だと思います。
ポイントしか読んでいないのですが、特に目新しいことは書いてありませんでした。セキュリティ対策のポイントはある程度汎用化できるので仕方ないのかもしれません。
ただ、2018年に何かのセミナーでCSPF担当の方の講演を聞いたときに「海外の国や団体がコメントしたい!」と言ってきてると仰っていたので、全文を見ればどこかに目新しいことが書いてあるのかもしれません。
また、目新しいことは書いていないものの、そこに至るまでのプロセス(議論・調整)はかなり大変だったのではないかと思います(難しそうな3層構造の図とか)。
個人的な感想としては、こう言ってしまうと申し訳ないのですが、これまでに言われているセキュリティ対策を小難しく整理したフレームワークのような気がします(全文を読んでいないことを改めて申し上げておきます)。
おしまい。