study研究成果
施設セキュリティーガイドライン
2018/11/01[1] IEEE1888.3 注1 の標準化
GUTPでは、インターネット技術に基づいたオープンな施設の管理制御システムを実現するためのシステムアーキテクチャとこれを具現化する通信プロトコルとアプリケーション・インターフェース(API)の検討を行い、IEEE1888として、国際標準化に成功しました。 IEEE1888の技術仕様は、2008年から展開されたGUTPにおける東京大学 工学部2号館を実証実験場として、スマートビルの実現を試行錯誤した結果、産み出された成果物に基づいています。
IEEE1888は、2011年2月に国際標準化され、その後、4つの拡張機能の標準化を行いました。その中のIEEE1888.3は、サイバーセキュリティ対策に関する標準化で、2013年12月に承認されました。
IEEE 1888.3-2013 – IEEE Standard for Ubiquitous Green Community Control Network: Security
注1: https://standards.ieee.org/standard/1888_3-2013.html
[2] JDCC と 連携による 「建物設備システム レフェレンスガイド」
一方、2015年2月に、東京大学 教授 江崎浩(GUTP代表)が、理事・運営委員会委員長を務める一般社団法人 日本データセンター協会 (JDCC; Japan Data Center Council)注2で、データセンター施設のガイドラインに関する議論を行う「ファシリティー・インフラWG」を起動させました。これは、IEEE1888を前提としたものではなく、「データセンターの施設の効率的な設計・実装・運用を実現するためのガイドラインを作成する」ということを目的として設立されました。 別紙に、「ファシリティーインフラWG」のキックオフに関する JDCCによるプレスリリース注3 を掲載しました。本WGの主査は、GUTPのメンバー組織でもある(株)竹中工務店の後神洋介氏、副査は(株)竹中工務店 粕谷貴司氏、セコム(株)水戸和氏でした。 以下のような、時間軸で、レフェレンスガイドのリリースが行われました。 このレフェレンスガイドの検討にあたっては、IEEE1888に関するGUTPでの知見が広く参照されています。その成果物は、「建物設備システム レフェレンスガイド」として、以下のように リリースされました。
第1版: 2015年12月
第2版: 2017年10月
注2: http://www.jdcc.or.jp/
注3: http://www.jdcc.or.jp/news/article.php?nid=eccbc87e4b5ce2fe28308fd9f2a7baf3&sid=108
[3] 経済産業省 「産業サイバーセキュリティ研究会」への展開
経済産業省は、2017年12月に、「我が国の産業が直面する、深刻度を増しているサイバーセキュリティの課題を洗い出し、関連政策を推進していくために産業界を代表する経営者、インターネット時代を切り開いてきた学識者等から構成される「産業サイバーセキュリティー研究会」を設置しました 。注4 この研究会の下部委員会には、東京大学 教授 江崎浩(GUTP代表)が委員として参画、これまで、GUTPでの活動に基づいた発言や提案を行っています。
・ WG1: 制度・技術・標準化
・ ビルSWG注5
・ 電力SWG
各WGおよびSWGでの検討結果に基づき「サイバー・フィジカル・セキュリティ対策フレームワーク」が2018年度内に策定される予定となっています。
ビルSWGでの、ビル施設に関するサイバーセキュリティー対策に関する議論のベースとなったのが、GUTP/JDCCの連携によって策定した「建物設備システム レフェレンスガイド」になります。 これまで、このように、現実に即した実現可能な対策と、今後の方向性を整理したレフェレンスガイドは存在しなかったとの認識です。 竹中工務店の後神氏・粕谷氏に、具体的なドキュメントの編集作業を行う作業班にご参画いただき、第0版注6 を 2018年9月に公開することができました。 最終版の公開は、2018年度中に行われる予定になっています。
なお、本レフェレンスガイドは、ビルだけではなく、工場など「ファクトリー」にも適用可能との認識が行われ、最終版においては、「本レフェレンスガイドは、ビル施設だけではなく、工場・ファクトリーインフラにも適用可能である」ことは明記される予定です。
注4: http://www.meti.go.jp/press/2017/12/20171226004/20171226004.html
注5: ビルSWGの委員には、GUTPのメンバーが多数参加している。
注6: 一般からのコメントをもらう RFC(Request For Comments)版の位置づけ
[4] 内閣府・経済産業省・総務省・防衛省「クラウドサービスの安全性評価に関する検討会」注7
クラウドおよびデータセンターの戦略的な利用は、省エネによる地球環境への貢献だけではなく、IT設備に必要な経費(人件費や設備費など)の削減、さらに、サイバーセキュリティーの向上に寄与することを、GUTPでは、JDCCと連携しながら、社会に発信してきました。 同様の認識は、米国連邦政府も認識し、FedRAMP (The Federal Risk and Authorization Management Program)注8 が、連邦政府の重要施策として導入・実施されました。
一方、内閣府 総合科学技術会議・イノベーション会議では、Society 5.0の実現に向けた施策の立案が行われ、東京大学 教授 江崎浩(GUTP代表)は、IT関係およびデータ連携関係に関する委員会の委員として、施策の立案に関する議論と提案を行ってきました。 特に、2017年度から2018年度に行われた「分野間データ連携基盤の整備に向けた方針」を議論・提言する「データ連携基盤サブWG」の座長を 東京大学 教授 江崎浩(GUTP代表) が務め、以下のような 提言を行うことができました注9 。
(1) 十分なサイバーセキュリティ対策を前提とする。
・ IoTですべてのヒトとモノがつながるSociety5.0では、サイバー攻撃の起点が増大するとともに、複雑につながるサプライチェーンを通じてサイバーリスクの範囲が拡大する。また、サイバー攻撃による影響がフィジカル空間まで達するリスクがある。データ流通市場の活性化が進み、大量のデータがグローバルサプライチェーンにおいて連携し、データの利用・再販が進むことを想定すると、ハイレベルなサイバーセキュリティ対策を備えた分野間データ連携基盤を構築することが重要である。
(2) 民間のデータセンターの活用
・ データセンターについては、その維持管理やサイバーセキュリティ対策に必要な人的リソースの継続的な確保が懸念される。また、最先端のICT技術の導入の観点からも、分野ごとのデータ連携基盤、分野間データ連携基盤は競争原理が働く民間企業が運営する最新のデータセンターを活用することが望ましい。
(3) 相互接続性の確保
・ 既に、様々なデータ、システムが稼働しているところであり、データフォーマット、語彙、メタデータ、APIなどを全面的に標準化ありきで進めるのではなく、相互接続性を優先し、変換機能など、技術的な解決手段によって、合理的に実現するべきである。 民間等の独自のデータ提供サービス構築等を阻害することなく、できるところから連携を進めていることが重要である。 また、ICT技術の進展に合わせて将来的な変更・アップグレードを前提とした考えのもとで、柔軟なシステム構築を目指すべきである。
このような背景のもと、内閣府・経済産業省・総務省・防衛省の連携による「クラウドサービスの安全性評価に関する検討会」が、2018年10月に起動されました。 本検討会では、政府が調達するクラウド基盤の要求条件を決めることになります。さらに、この要求条件は、重要インフラに適用する方針となっています。
この要求条件の中に、クラウドサービスを提供するデータセンターの施設に関するサイバーセキュリティ要件が必要でること、さらに、その要件は、経済産業省で作成する「ビルSWG」が作成するガイドライン、すなわち、GUTPおよびJDCCで作成した 施設に関するサイバーセキュリティレフェレンスガイドに基づいたものとなります。
注7: http://www.meti.go.jp/shingikai/mono_info_service/cloud_services/index.html
注8: https://www.fedramp.gov/
注9: http://www8.cao.go.jp/cstp/tyousakai/datarenkei/3kai/siryo1.pdf
以上