経済産業省のガイドラインはベースラインアプローチ
経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」(以下、工場システムセキュリティ対策ガイドライン)を策定した背景には、サイバー攻撃による工場の被害が国内外で生じていることから、工場のサイバーセキュリティー対策の必要性を強く喚起する狙いがある。
記載されているのは啓蒙的な内容だけではない。対策を企画・実行するにあたり、参照すべき考え方やステップを「手引き」として示し、技術的な対策から運用・管理面の対策にまで踏み込んでいる。いくつかの“想定工場”を設定し、対策の実現を具体的に例示しているのも特徴だ。しかし、特定の業界・業種や製造する製品という観点で対象を限定したものではない。いざ実現しようとすると、ここに難しさがある。
サイバーセキュリティー対策の実現手段には、大きく2つの手法がある。「ベースラインアプローチ」と「リスクベースアプローチ」である。前者のベースラインアプローチは業界団体のガイドラインや標準規格などを参照し、組織として実現すべきセキュリティーの水準(ベースライン)を策定。これを基に、現実の乖離を埋めながらセキュリティーの“あるべき姿”を実現していくやり方だ。
一方、後者のリスクベースアプローチは組織を取り巻く様々なリスク要因を評価し、それをどのようにコントロールすべきかを考え、リスクを最小化していく取り組みのこと。迫りくるリスクとどう向き合うかを重視しており、より実践的な対策手法といえるだろう。
工場システムセキュリティ対策ガイドラインは、工場セキュリティーの“あるべき姿”を例示しており、ベースラインアプローチの色合いが濃い。
以降では、ガイドライン実行の課題を明らかにしつつ、リスクベースアプローチによるセキュリティー対策の具体的な実現方法を紹介したい。