2019年6月17日

経済産業省では、産業分野別のサイバーセキュリティ確保の一環として、エレベーターや空調など多くの制御系機器を有するビル分野に関して、ビルシステムに関するサイバーセキュリティの確保を目的に、そのサイバーセキュリティ対策の着眼点や具体的対策要件を体系的に整理した「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版」を策定しました。

1.背景・経緯

経済産業省では、平成29年12月、我が国の産業界が直面するサイバーセキュリティの課題を洗い出し、関連政策を推進していくために「産業サイバーセキュリティ研究会」を開催しました。また、平成30年2月7日には、研究会の下に「WG1(制度・技術・標準化)」を立ち上げ、「Society5.0」、「Connected Industries」における新たなサプライチェーン全体のセキュリティ確保を目的として、「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」の検討を開始しました。これを受け、産業分野別のサイバーセキュリティポリシーの検討の一環として、「ビルサブワーキング
グループ」を設置し、平成30年2月28日の第1回会合からビルシステムに関するサイバーセキュリティ対策についての議論を行ってきました。

ビルサブワーキンググループでは、エレベーターや空調など多くの制御系機器を有するビル分野に関して、ビルオーナーを始め、建設会社、設計事務所、ビルに係わる各種設備機器のベンダ、制御システムセキュリティの有識者など、多数のステークホルダーが一堂に会し、ビルシステムに関するサイバーセキュリティ対策のガイドラインについて、これまで9回に渡る議論を実施してきました。検討にあたっては、その途中結果をドラフト版にまとめて「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(β版)」として公開し、一般から幅広く御意見をいただくともに、ビルシステムのサイバーセキュリティ対策に関する海外での検討動向調査やビルシステム関係者の意識調査なども実施し、さらに産業界全体のサプライチェーン・サイバーセキュリティ確保のための枠組みを示すCPSFとの整合性の整理なども実施しました。そして、これらの検討結果をまとめた「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版(案)」について、平成31年3月11日から4月9日にかけてパブリックコメントを実施し、あらためて、一般からの御意見を幅広くいただくともに、ガイドラインのブラッシュアップを実施しました。

この度、これまでの議論及び修正等の作業を踏まえ、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版」を策定しました。これは、ビルシステムに対するサイバーセキュリティ対策についてまとめたガイドラインであり、世界的に見ても先進的な取組です。ビルシステムの分野は、BEMS(ビルエネルギーマネジメントシステム)対応、クラウド化、IoT活用など、外部ネットワークとの接続機会が増加し、「Society5.0」に向けて急速にその姿を変えつつあります。サイバーセキュリティ対策はますます重要性を増しており、今後、本ガイドラインを活用することで、新たに建設が行われる最新設備を備えたビルを皮切りに、ビルシステム全体のサイバーセキュリティ確保に向けた取組が進むことを期待しています。

2.ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版の概要

本ガイドラインは、ビルシステムに対して考えられる脅威について、場所ごと、機器ごとに分類し、それぞれの場所や機器について考えられるインシデント、リスク源、その対策要件をポリシーレベルで整理しています。また、その対策ポリシーを引き継ぐ形で、ビルやビルシステムのライフサイクルに展開し、ライフサイクルの各フェーズごとに取るべき対応策を整理する形でまとめています。これにより、ビルシステムの調達、構築、運用を行う実際の現場での思考に近い形で利用できることを目指しています。また、ビルを含む制御システムへのサイバー攻撃が実際に発生している現状や、そのための対策を整理しているガイドラインの考え方の説明も記述しており、ビルシステムのサイバーセキュリティ対策が求められている現状についての啓発や、対策実施に向けた基本的な考え方の教育等にも利用できることを目指しています。
本ガイドラインの構成は以下に示すとおりです。

  • 1. はじめに
    • 1.1. ガイドラインを策定する目的
    • 1.2. ガイドラインの適用範囲と位置づけ
    • 1.3. 本ガイドラインの構成
  • 2. ビルシステムを巡る状況の変化
    • 2.1. ビルシステムを含む制御システム全般の特徴と脅威の増大
    • 2.2. ビルシステムにおける攻撃事例
    • 2.3. ビルシステムにおけるサイバー攻撃の影響
  • 3. ビルシステムにおけるサイバーセキュリティ対策の考え方
    • 3.1. 一般的なサイバーセキュリティ対策のスキーム
    • 3.2. ビルシステムの構成の整理
    • 3.3. ビルシステムの特徴
    • 3.4. ビルシステムにおけるサイバーセキュリティ対策の整理方針
    • 3.5. ガイドラインの想定する使い方例
  • 4. ビルシステムにおけるリスクと対応ポリシー
    • 4.1. 全体管理
      • 1.構成情報/管理情報
      • 2.バックアップデータ/事業継続
      • 3.会社/要員の管理
      • 4.体制構築等
    • 4.2. 機器ごとの管理策
      • 1.ネットワーク(クラウド、情報系NW、BACnet等)
      • 2. 防災センター(中央監視室)
      • 3.機械室/制御盤ボックス
      • 4.配線経路(MDF室、EPS、天井裏ラック)
      • 5. 末端装置が置かれる場所
  • 5. ライフサイクルを考慮したセキュリティ対応策
    • (別紙一覧表、構成は4章と同一)
    • 付録 用語集、他

関連資料

関連リンク

担当

商務情報政策局サイバーセキュリティ課長 奥家
担当者: 加畑、津國
電話:03-3501-1511(内線 3964~6)
03-3501-1253(直通)
03-3580-6239(FAX)