サイバー・フィジカル・セキュリティ対策フレームワーク|情報処理安全確保支援士試験 令和2年 秋期午前Ⅱ試験 問7

出典:令和2年秋期 午前Ⅱ 問7 分野:セキュリティ / 情報セキュリティ管理
経済産業省が"サイバー・フィジカル・セキュリティ対策フレームワーク(Version1.0)"を策定した主な目的の一つはどれか。
  • ア:ICTを活用し,場所や時間を有効に活用できる柔軟な働き方(テレワーク)の形態を示し,テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと
  • イ:新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し,求められるセキュリティ対策の全体像を整理すること
  • ウ:クラウドサービスの利用者と提供者が,セキュリティ管理策の実施について容易に連携できるように,実施の手引を利用者向けと提供者向けの対で記述すること
  • エ:データセンターの利用者と事業者に対して"データセンターの適切なセキュリティ"とは何かを考え,共有すべき知見を提供すること
解説

サイバー・フィジカル・セキュリティ対策フレームワークは、Society 5.0やConnected Industriesのように、サイバー空間とフィジカル空間が高度に融合する新たな産業社会を前提にしたセキュリティ対策の考え方です。

このフレームワークでは、新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを示し、必要となるセキュリティ対策の全体像を整理しています。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:ICTを活用し,場所や時間を有効に活用できる柔軟な働き方(テレワーク)の形態を示し,テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと
⇒テレワークにおける情報セキュリティ対策の考え方に関する説明です。サイバー・フィジカル・セキュリティ対策フレームワークは、テレワークの形態別対策ではなく、サイバー空間とフィジカル空間がつながる産業社会全体のリスクと対策を整理するものです。
ウ:クラウドサービスの利用者と提供者が,セキュリティ管理策の実施について容易に連携できるように,実施の手引を利用者向けと提供者向けの対で記述すること
⇒クラウドサービスの利用者と提供者の役割分担や管理策実施の手引に関する説明です。クラウド固有のセキュリティ管理に関する内容であり、サイバー・フィジカル・セキュリティ対策フレームワークの主目的ではありません。
エ:データセンターの利用者と事業者に対して"データセンターの適切なセキュリティ"とは何かを考え,共有すべき知見を提供すること
⇒データセンターのセキュリティに関する説明です。対象がデータセンターに限定されており、新たな産業社会におけるサプライチェーンやデータ連携を含むリスクを整理するサイバー・フィジカル・セキュリティ対策フレームワークとは対象範囲が異なります。
TSUNAGARU-ADVICE

まず押さえたいこと

サイバー・フィジカル・セキュリティ対策フレームワークは、新たな産業社会において、サイバー空間とフィジカル空間がつながることで生じるリスクを整理し、必要なセキュリティ対策の全体像を示すためのものです。ポイントは、新たなリスクを捉えるモデルと対策の整理にあります。

迷ったときの判断軸

テレワークの形態と対策を示すもの、クラウドサービスの利用者・提供者向け手引、データセンターのセキュリティ知見を示すものとは目的が異なります。サイバー・フィジカルという言葉が出てきたら、現実世界とサイバー空間がつながる産業社会のリスクを扱うフレームワークと判断しましょう。

科目Bにつなげるために

科目Bでは、IoT・サプライチェーン・クラウド・データ連携などが組み合わさったシステムで、どこにリスクがあるかを問われることがあります。このフレームワークは、企業内だけでなく、つながる社会全体でセキュリティを考える視点として整理しておきましょう。