経済産業省 奥家氏が語る 「Society 5.0」時代のセキュリティリスクと対策の今【後編】

「サイバー・フィジカル・セキュリティ 対策フレームワーク（CPSF）のポイント」（経済産業省）（https://www.meti.go.jp/press/2019/04/20190418002/20190418002-1.pdf ）をもとにPwCが作成

セキュリティ対策の枠組みや対策例を提示するCPSF

丸山：
先ほどおっしゃられた通り、経済産業省は2019年4月、「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」を発表し、Society 5.0におけるセキュリティリスクと必要な対策を示しました^*1。あらためてポイントを教えていただけますか。

奥家：
CPSFは、Society 5.0における産業社会でのセキュリティ対策の枠組みを提示したものです。リスク源を適切に捉えるために産業社会を三層構造と6つの構成要素で捉え、それぞれに求められる対策の全体像を整理すると共に、産業界が自らのセキュリティ対策に活用できるよう、対策例をまとめています。

三層構造とは「企業間のつながり（従来型サプライチェーン）」「フィジカル空間とサイバー空間のつながり」「サイバー空間のつながり」のことであり、それぞれにおいて「機能（守るべきもの）」「セキュリティインシデント」「リスク源（構成要素ごとに整理）」と、その「対策要件」を整理しています。

丸山：
CPSFの発表以来、各産業分野で産官学協同のサブワーキンググループ（SWG）が立ち上げられ、それぞれの業界にあったCPSFベースのガイドラインが策定されていますよね。

奥家：
はい、セキュリティ対策を包括的に示したCPSFをもとに、ビル・電力・防衛・自動車・スマートホームといった各産業分野でSWGを立ち上げ、それぞれの業界にあったCPSFベースのガイドラインを策定しています。すでにビルと自動車のSWGでは、CPSFをベースに、協同でセキュリティ対策を講じていくというコレクティブな考え方を取り入れたガイドラインを策定しています。また、スマートホーム関連のビジネスを展開する住宅メーカーや家電メーカー、エネルギー会社などは、協力して「スマートホームの安心・安全に向けたサイバー・フィジカル・セキュリティ対策ガイドライン（案）」を策定し、意見公募手続（パブリックコメント）を先日行いました^*2。

丸山：
一方で、分野横断的な共通課題を検討するために、IoTセキュリティ、ソフトウェア管理手法、データマネジメントそれぞれのタスクフォース（TF）も設置されましたよね。

奥家：
そうですね。IoTセキュリティについて言うと、フィジカル空間とサイバー空間をつなぐIoT機器・システムは利用される環境が多岐にわたるため、その環境に合ったセキュリティ・セーフティ対策が不可欠であり、それを管理するツールが特に求められています。そうした産業界のニーズに応じ、IoTセキュリティのTF（「フィジカル空間とサイバー空間のつながり」の信頼性確保に向けたセキュリティ対策検討タスクフォース）は2020年11月、フィジカル空間とサイバー空間のつながりの信頼性の確保の考え方を整理した「IoTセキュリティ・セーフティ・フレームワーク（IoT-SSF）」を策定しました^*3。ちなみにソフトウェアTF（サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース）は、OSS（Open Source Software）の管理手法に関するベストプラクティス集の策定を進めており、2020年度内の第1版リリースを目指しています。

日本のセキュリティビジネスの強化に向けて

丸山：
国と産業界がセキュリティの取り組みをさらに強化していくためには、日本のセキュリティビジネス自体が強くなる必要があると考えます。日本には優れたセキュリティ人材が数多く存在し、なおかつ日本発の優れたツールをたくさん提供しています。しかし、日本企業は海外のセキュリティベンダーが提供しているツールを導入するケースが多い。日本発のセキュリティ人材とツールのさらなるマーケットインに向けて、どのような支援策をお考えですか。

奥家：
まずセキュリティツールについてですが、主にセキュリティエキスパートにPoC（概念実証）で試用・評価してもらう方法で普及に取り組んでいます。エキスパートの「前評判」を出すことで、マーケットインを支援するのです。経済産業省は独立行政法人情報処理推進機構と協働し、サイバーセキュリティに関する情報交換の場である「コラボレーション・プラットフォーム」を設けています*5。同プラットフォームにはベンダーやユーザー企業、研究開発期間などさまざまな方々が参加しているので、ここでエキスパートによるツールに対する評価を紹介し、マッチングをさらに活発化させたいと考えています。

次に人材についてですが、丸山さんがおっしゃる通り、日本にはハードウェアを含めた世界のハッキングコンテストで上位に入る「希有なホワイトハッカー」が存在します。彼らを世界に知らしめ、その能力をグローバルに活用できるよう、今後は海外のプロフェッショナルたちとも、よいかたちでマッチングさせていきたいと考えています。

丸山：
以前にフランスのベンダーと検証ツールについて話をしたことがあります。フランスは数学大国だけあって検証ツールを手掛けるスタートアップが多いのが特徴ですが、彼らは自社製品が日本のプロフェッショナルに使われていることを知って、喜んでいました。日本の技術力の高さは、世界でも十分に認められるレベルにあると思えた瞬間でした。

奥家：
うれしい限りですね。経済産業省として、日本のホワイトハッカーのレベルの高さを世界市場に訴求し、セキュリティビジネスの層をより一層厚くしていきたいと思います。

丸山：
日本発の高度なセキュリティ人材とセキュリティツールが、Society 5.0を支える大きな基盤となる。そんな未来を夢見て、私も日本のサイバーセキュリティを支援していきたいと思います。本日は貴重なお話をいただき、ありがとうございました。