読み方：サイバーフィジカルセキュリティたいさくフレームワーク

サイバー・フィジカル・セキュリティ対策フレームワーク【CPSF】Cyber/Physical Security Framework

サイバー・フィジカル・セキュリティ対策フレームワークとは？

現実世界とデジタル世界が融合した産業環境を守るためのセキュリティガイドライン。経済産業省が2019年に策定したもので、サプライチェーン全体を対象に、企業が講じるべき対策の方向性を整理した実務的な指針である。

現代の産業活動では、工場の制御装置やIoT機器がネットワークに接続され、デジタル上の操作が現実の機械の挙動に直結する仕組みが普及している。このような環境では、サイバー空間への攻撃が機器の誤作動や停止を招き、人命や社会基盤にまで影響が及ぶ恐れがある。従来の情報セキュリティはコンピュータやネットワーク内の情報保護が主眼だったが、このフレームワークでは物理的なシステムへの波及も含めて対策を考える。

対象はサプライチェーン全体である。部品メーカー、製造業者、物流会社、販売店など多くの企業が連鎖でつながる現代では、一社のセキュリティの弱点が取引先へ連鎖的に波及する。製品の設計から製造、販売、運用、保守、廃棄に至るまでの全段階を視野に入れ、調達時の確認や更新情報の共有も対策の対象に含まれる。

フレームワークの構造は三つの層で整理されている。第一層は「企業間のつながり」（各組織の情報セキュリティマネジメントの確立）、第二層は「フィジカル空間とサイバー空間のつながり」（センサーやデバイスと制御システム）、第三層は「サイバー空間におけるつながり」（クラウドやサーバによるデータの流通・処理）である。各層ごとに守るべき対象とリスクを明確にし、通信の認証・暗号化から機器の物理的保護、操作権限の制御まで、段階的な防御を組み合わせることで、単一の対策が破られても被害を抑える構成を採る。

特定の技術の導入を強制するものではなく、規模や業種を問わず組織が自社の現状を診断し、必要な対応を把握するための共通の枠組みである。技術的な対策にとどまらず、人的管理や組織体制の整備、取引先との情報共有の仕組みづくりも対象に含め、サプライチェーン全体のセキュリティ水準を底上げすることを目指している。