6月に経産省から、「ビルシステムにおけるサイバー・フィジカル・セキュリティガイドライン第1版」が発行されました。セキュリティの観点から、ビルシステムは最近急激に注目されつつあります。ビルのシステムも制御システムと同様にライフサイクルが長く、固有のプロトコルが利用され、人に密接に関わるというように似たような性格を持っているのです。しかもビルの制御システムもサイバー攻撃によってコントロールされるという事も実証されたり、実際のセキュリティインシデントが発生したりなのです。(例: MIT(Massachusetts Institute of Technology、マサチューセッツ工科大学)の学内ビルの照明ハッキング)
ビルシステムの場合、直接人の生活に影響を与えるため、例えば閉じ込められたり冷暖房コントロールを乗っ取られたりというような直接的な被害も容易に考えられます。もっと具体的にいうと、ビルの制御を乗っ取ると脅迫して身代金を要求される事が考えられます。
ビルシステムのセキュリティ対策を考えるとき、上記ガイドラインに記載してあるビルシステムの代表例を、IPAの「制御システムのセキュリティリスク分析ガイドライン」に記載している制御システムの代表例を比較してみたところ、とても構造が似ている事に気付きました。(実際リファレンスとしてIPAのリスク分析ガイドが掲載されています。)
ビルシステムのセキュリティ対策としても、その中心にあるのはリスク分析で、リスク分析によって有効な対策を考えることとされています。
したがって、ビルシステムも制御システムと同様のリスク分析手法を応用できると考えられます。
ビルのセキュリティリスク分析でも、効果の高い詳細リスク分析を低いコストと短時間で行いたいとお考えであれば、ぜひお声がけください。
