経済産業省が「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を策定しましたね。。。
こんにちは、丸山満彦です。
経済産業省が、「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を策定しましたね。。。2020.03.31に意見募集をした結果を反映したものになりますね。。。
「サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされる新たなリスクに着目し、リスク形態及びそうしたリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する」のが目的の一つですかね。。。
「発生したインシデントの影響の回復困難性の度合い」X 「発生したインシデントの経済的影響の度合い(金銭的価値への換算)」の2軸での整理が新しいですね。
その上で求められるセキュリティ・セーフティ要求の観点、つまり「セキュリティ・セーフティを確保するための手法」を第3の軸として設定する。その内容は、
- 運用前(設計・製造段階等)におけるフィジカル・サイバー間をつなぐ機器・システムの確認要求
- 運用中のフィジカル・サイバー間をつなぐ機器・システムの確認要求
- 機器・システムの運用・管理を行う者の能力に関する確認要求
- その他、社会的なサポート等の仕組みの要求
となるということのようです。。。
海外のウェブでも紹介されていますが、”only available in Japanese”と書かれています。パブコメ版の時は英語によるリリースと文書があったので、今回のVer1.0についても早く英語版が公表できると良いですね。。。
● 経済産業省
・2020.11.05 IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました
・・[PDF] IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)Ver1.0
1.背景・趣旨
...
サイバー空間とフィジカル空間が高度に融合した「Society5.0」、「Connected Industries」では、サイバー空間とフィジカル空間の境界において、情報が正確に変換されること、つまり転写機能の正確性を確保することが極めて重要となります。
フィジカル空間とサイバー空間をつなぐ機器・システム、つまりIoT機器・システムに対するセキュリティ対策は、IoT機器・システムに関連する課題の多様性だけでなく、その利用される環境の多様性も踏まえた対応が必要となります。
そのため、第2層TFでは、サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされる新たなリスクに着目し、リスク形態及びそうしたリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する「IoTセキュリティ・セーフティ・フレームワーク」(以下、「IoT-SSF」という。)の策定を進めてきました。
...
この度、上記WG1及びSWG、第2層TFでの議論を踏まえ、IoT-SSFを策定しました。IoT-SSFを活用することにより、フィジカル・サイバー間をつなぐ機器・システムに潜むリスクを踏まえて、機器・システムのカテゴライズを行い、カテゴリ毎に求められるセキュリティ・セーフティ要求の観点を把握し、カテゴリ間で比較することが可能となります。これにより、別々のプロセスで検討した場合であっても、新たな仕組み・サービスに対応したそれぞれの機器・システムに求めるセキュリティ・セーフティ対策の観点・内容の整合性を一定程度確保することができると考えております。
...
3.参考
- パブリックコメントの結果
- 産業サイバーセキュリティ研究会WG1(制度・技術・標準化)
- 分野横断サブワーキンググループ
- 『第2層:フィジカル空間とサイバー空間のつながり』の信頼性確保に向けたセキュリティ対策検討タスクフォース
■ 参考(報道等)
● Data Guidance
・2020.11.05 Japan: METI releases IoT security and safety framework
● Gov base
・2020.11.05 IoT Security Safety Framework (IoT-SSF) has been formulated
コメント
● BSA
・2020.05.29 Japan: BSA Comments on the Draft of IoT Security Safety Framework
・・[PDF] BSA Comments on the Draft of IoT Security Safety Framework
パブリックコメント時
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.04.01 経済産業省 パブコメ 「IoTセキュリティ・セーフティ・フレームワーク(案)]
目次
1. 本フレームワークの必要性
1-1 CPSF における第2層(フィジカル空間とサイバー空間のつながり)
1-1-1 CPSF 概論
1-1-2 第2層の位置づけ
1-2 本フレームワークの目的
2. 本フレームワークの想定読者
3. 本フレームワークの基本構成
3-1 基本構成の背景にある考え方
3-2 フィジカル・サイバー間をつなげる機器・システムに潜むリスクの整理
3-2-1 第1軸:発生したインシデントの影響の回復困難性の度合い
3-2-2 第2軸:発生したインシデントの経済的影響の度合い(金銭的価値への換算)
3-2-3 フィジカル・サイバー間をつなげる機器・システムのカテゴライズ
3-3 求められるセキュリティ・セーフティ要求の整理
3-3-1 第1の観点:運用前(設計・製造段階等)におけるフィジカル・サイバー間をつなぐ機器・システムの確認要求
3-3-2 第2の観点:運用中のフィジカル・サイバー間をつなぐ機器・システムの確認要求
3-3-3 第3の観点:機器・システムの運用・管理を行う者の能力に関する確認要求
3-3-4 第4の観点:その他、社会的なサポート等の仕組みの要求
4. 本フレームワークの活用方法
5. リファレンス
« 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書 | Main | NYDFS - Twitter Investigation Report ニューヨーク州金融サービス局 ツイッター調査報告書 @2020.10.14 »
Comments