こんにちは、さとうです。

2019年4月19日に経済産業省から
「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)Version1.0」
が公開されています。

このCPSFは、サイバー空間とフィジカル空間を含めたサプライチェーン全体のサイバーセキュリティ確保のためのセキュリティ対策の全体像を整理したものです。

CPSFのセキュリティ対策要件は、NISTのCSF(サイバーセキュリティフレームワーク Ver1.1)の考え方を全面的に取り入れつつ、IoTの観点を強化した内容となっています。



当フレームワーク(CPSF)の特徴は以下の通りと記載されています。
サイバー空間とフィジカル空間を高度に融合させることにより実現される「Society5.0」、様々なつながりによって新たな付加価値を創出する「Connected Industries」における新たなサプライチェーン(バリュークリエイションプロセス)全体のサイバーセキュリティ確保を目的として、産業に求められるセキュリティ対策の全体像を整理した

セキュリティ対策の必要性と適切な水準の対策例を示すことでコストの関係を把握できるようにする

グローバルハーモナイゼーションの実現に貢献する

上記②では、想定するリスク源、脅威、脆弱性、対策例までを導出するとともに、対策例も3段階のレベルを設けており、使いやすさに配慮されています。
また、上記③では、NISTのCSF1.1やISO27001などの国際的な規格との整合性も明示しており、他のセキュリティ規格との関連もわかりやすく記載されています。

CPSFのセキュリティ対策要件は、以下のカテゴリとなっています。

■セキュリティ対策要件
・資産管理(CPS.AM)
・ビジネス環境(CPS.BE)
・ガバナンス(CPS.GV)
・リスク評価(CPS.RA)
・リスク管理戦略(CPS.RM)
・サプライチェーンリスク管理 (CPS.SC)
・アイデンティティ管理、認証及びアクセス制御(CPS.AC)
・意識向上及びトレーニング (CPS.AT)
・データセキュリティ(CPS.DS)
・情報を保護するためのプロセス及び手順(CPS.IP)
・保守(CPS.MA)
・保護技術(CPS.PT)
・異常とイベント(CPS.AE)
・セキュリティの継続的なモニタリング(CPS.CM)
・検知プロセス(CPS.DP)
・対応計画(CPS.RP)
・伝達(CPS.CO)
・分析 (CPS.AN)
・低減(CPS.MI)
・改善(CPS.IM)


実際の対策の例としてCPS.CM-3を見てみましょう。
セキュリティ対策要件は、インシデント、リスク源(脅威、脆弱性)の対応関係も記載されています。

■CPS.CM-3に対応する想定インシデント、リスク源(脅威、脆弱性)の一例
・想定インシデント:自組織で管理している領域から保護すべきデータが漏洩する など
・脅威:システムにおけるセキュリティ上の脆弱性を利⽤したマルウェア感染 など
・脆弱性:[システム]早期にセキュリティ上の異常を素早く検知し、対処するような仕組みがシステムに実装されていない など

※上記の想定インシデントやリスク源に対応する対策要件はCPS.CM-3だけでなく複数あるのですが、ここではCPS.CM-3のみを対象に見ていきます。

■対策要件ID:CPS.CM-3
【対策要件】
・指示された動作内容と実際の動作結果を比較して、異常の検知や動作の停止を行うIoT機器を導入する。
・サイバー空間から受ける情報が悪質なコードを含んでおらず、許容範囲内であることを動作前に検証する。

CPS.CM-3に対応するCSFの要件は、DE.CM-4,DE.CM-5となっています。
 DE.CM-4:悪質なコードは、検出されている。
 DE.CM-5:不正なモバイルコードは、検出されている。

しかし、これだけだと対策として何をどこまで行えばよいのかわかりにくいです。
そこで、対策例が3段階に分類して記載されています。

■CPS.CM-3の対策例
<High-Advanced>
 ・IoT機器あるいはそうした機器を含んだシステムが、通常期待される結果とは異なる結果をもたらすような特定の攻撃(例︓コマンドインジェクション)に備え、ソフトウェアプログラムまたはアプリケーションからの出力情報を検証して、期待される内容と一致しているかを確認する。
 ・情報システムは、IDS/IPSによる悪質コードの検知ロジックを自動的に更新する。
 ・エンドポイント(特に、多様な機能を有するIoT機器、サーバ等)において、マルウェアに対する振舞い検知型の検出・修復ソフトウェアを導入することで、未知の脆弱性を突く攻撃コードの検知を実施する。
 ・情報システムは、自組織外から受信したファイルのリアルタイムスキャンを実行する。

<Advanced>
 ・情報システムは、IDS/IPSを通じて自身に対する悪質なコードが検出した場合、当該コードを遮断、隔離するか、管理者に通知する。
 ・エンドポイント(IoT機器、サーバ等)において、マルウェアに対するパターンファイル型の検出・修復ソフトウェアを導入することで、攻撃コードの検知を実施する。
 ・特に、機能が限定されているIoT機器において、ホワイトリスト型のマルウェア対策を実施することを考慮する。
 ※ 特にIoT機器や制御機器においては、マルウェア対策ソフトが利用可能なOSが使用されているとは限らないケースがある。組織は、調達時等に導入する機器がマルウェア対策ソフトに対応できるものかを確認し、対応可能なものを選定することが望ましい。マルウェア対策ソフトに対応する機器を調達することが困難な場合、ネットワーク上でマルウェアを検知する仕組みを導入・強化する等、代替的な対策を実施することが望ましい。

<Basic>
 ・情報システム及び産業用制御システムは、インプットとなるデータが指定されたフォーマットや内容に適合しているかどうかを確認することで、有効性を検証する。

上記のHighAdvancedの対策例を実装する際は、AdvancedとBasicの対策例もカバーする必要があります。そのため、Advancedの対策例を実装する際は、Basicの対策例もカバーする必要があります。

なお、対策例は、CSF以外にも以下のセキュリティ規格が関連づけられており、対策の根拠を確認する場合や対策の詳細を検討する際には参考になると考えられます。

-NIST SP 800-53 Rev.4(連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
-ISO/IEC 27001:2013 付属書A(情報セキュリティマネジメントシステム
-IEC 62443-2-1:2010(産業通信ネットワーク-産業制御系システムのセキュリティプログラムの開発)
-IEC 62443-3-3:2013(産業通信ネットワーク-システムセキュリティ要求事項とセキュリティレベル)


このように、CPSFは、IoTを含めたサイバーセキュリティ対策について、想定インシデントやリスク源、対策、対策例、関連するセキュリティ規格までつなげた形で理解できるような形になっており、多少複雑なところもありますが、わかりやすさを重視したものとなっています。

対策例は現時点の一例であり、今後のバージョンアップによって内容が変わる可能性も考えられます。
CPSFは自社のセキュリティ対策のレベル感を確認するための一つの指標になりますが、企業やシステムによって対象となるシステム環境や対策の内容は異なるため、あくまで最初の検討の目安として利用し、その後必ず自社独自の事情を考慮・調整することが望まれます


さとう