SBT・NEC・CTJ、建物向けサイバーセキュリティ対策を提供開始

『Smart Secure Service』は、脆弱性診断サービスやセキュリティコンサルティングサービス、IoT-GWサービスと運用・監視サービスを組み合わせて、建物のスマート化によってより高いセキュリティ性能が求められる建物設備のライフサイクルにあわせて幅広いセキュリティ対策を提供するサービス。これにより、効率的な管理と高度な機能が求められる Society 5.0時代のスマートビルやスマートファクトリーの普及を支援する。

図1：『Smart Secure Service』で提供する４つのサービスメニュー

図２：建物のライフサイクルにあわせて最適なセキュリティ対策を提供

近年BA/FAシステムは、効率的なビル管理やビル利用者の利便性向上のために、建物内外の様々なシステムやIoT機器と連携することが増えている。それに伴い、BA/FAシステムを対象としたサイバー攻撃のリスクも大きくなっている。経済産業省が策定した「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」では、BA/FAシステムで活用される制御システムについて、ネットワークの汎用化や大規模化などによりITシステムと同様に日常的なサイバー攻撃のリスクがあることを指摘し、制御システムに関するセキュリティ標準であるIEC（国際電気標準会議）の規格をビルシステムのセキュリティ標準に考えるアイデアも示されている。

SBTとCTJは、2017年に竹中工務店との3社で実施した『竹中工務店所有ビルに対するビル設備脆弱性診断の実証実験』を機に、BAシステムのセキュリティ対策に取り組んでいる。その取り組みから、スマートビルの普及には建物設備のライフサイクルにあわせたセキュリティ対策が必要であると考え、『Smart Secure Service』はそこで得られた知見から、開発を進めたとのことだ。

『Smart Secure Service』は、第三者機関の立場で、汎用制御システムセキュリティ規格「ISO/IEC62443」「CSMS V2.0」やクラウドサービスセキュリティ規格「ISO27017/27018」等に準拠し、不正アクセスや外部デバイスによる誤動作、プログラム書き換え、ウイルス混入、情報漏えい等の脅威への対策をサービスとして提供する。

『Smart Secure Service』は、以下のサービスで構成しています。

・脆弱性診断サービス
制御システムに対する脆弱性診断、ペネトレーションテストを実施
不正アクセスや外部デバイスによる誤動作、プログラム置き換え、ウイルス混入などを想定したIoTデバイス、制御コントローラに潜む脆弱性の調査
・セキュリティコンサルティングサービス
企画/設計/施工/竣工段階ならびに、脆弱性診断、ペネトレーションテスト結果に基づくサイバーセキュリティ対策ガイドラインを策定
汎用制御システムセキュリティ規格「ISO/IEC62443」「CSMS V2.0」などに準拠（図3）
・IoT-GWサービス（図4）
ネットワーク中継型IoT-GWを中心にしたサイバーセキュリティ対策を実装
IoTデバイス自動検出、デバイス情報の特定など
・運用・監視サービス
ネットワーク・オペレーション・センター（NOC）と連携した24時間365日のシステム監視
ヘルプデスク
IoT-GW 保守

図３：『Smart Secure Service』各種標準規格適用範囲マップ

図４： IoT-GWサービスの提供イメージ