電力システムセキュリティのガイドラインとは？：「電力」に迫るサイバーテロの危機（3）（1/2 ページ）

電力自由化やスマートメーター普及など、より効率的な電力供給が進む一方、「サイバーセキュリティ」が電力システムの重要課題になりつつある。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを解説している。第3回では、電力セキュリティにおけるガイドラインと、米国・欧州・日本の現状について紹介する。

[佐々木 弘志 ／ マカフィー，スマートジャパン]

第1回：「今、電力システムにセキュリティが必要とされている4つの理由」

第2回：「電力システムに迫るセキュリティ脅威とは？」

　電力システムにおけるサイバーテロの脅威と、その対策についてさまざまな角度で紹介していく本連載。第2回では「電力システムがオープン化することで発生するセキュリティ脅威とはどのようなものなのか」を例を挙げて紹介したが、第3回の今回は、こうした脅威に対して、対策の進んでいる米国、欧州の取り組みを紹介するとともに、第1回で紹介した日本国内での取り組みにも新たな動きがあったので、併せて紹介する。

米国の電力システムセキュリティガイドラインとは？

　米国は、日本と異なり、3000もの電力事業者が存在し、発電から配電までの過程において、複数の事業者が関わっていることが通常である。そのため、電力システムに関わる事業者の一定レベルのセキュリティ確保の目的で、早くから電力システムにおけるサイバーセキュリティガイドラインの取り組みがなされてきた。

　「NERC（North American Electric Reliability Corporation: 北米電力信頼度評議会）」によって策定された「NERC CIP（Critical Infrastructure Protection：重要インフラ防護）標準」は、2005年の「Ver.1」策定当初から電力の安定供給の確保を目的にしており、大規模発電施設と送電関連施設を保持する事業者に対して順守が義務付けられているものである。しかも、違反した事業者に対しては罰金を科すという厳しい標準となっている。現在は「Ver.3」が有効となっているが、「Ver.5」に向けた対応が電力事業者において進められている。

　米国では、このNERC CIPに加えて、他にも電力システムに関するガイドラインが策定され、実際に活用されている。表1に代表的なものをまとめた。

表1：米国の電力システムセキュリティガイドライン一覧　出典：「平成26年度電気施設技術基準国際化調査（電気設備）（PDF）」より抜粋

NIST：National Institute of Standards and Technology　米国国立標準技術研究所

DoE：Department of Energy　 米国エネルギー省

ES-C2M2：Electricity Subsector Cybersecurity Capability Maturity Model

　これらのガイドラインのアプローチは、大きく「チェックリスト」と「リスクベース」に分類される。順守内容が明確なチェックリスト方式では、攻撃者が電力システムのセキュリティ対策を推測でき、回避がしやすいため、実際の資産に対するリスク分析を行った上で適切なセキュリティ対策を施すリスクベースのアプローチが、近年では重要視される傾向にある（関連記事）。

　また、NERC CIPは、大規模停電を念頭においた標準であり、配電を対象にしていない。そのため、配電設備を持つ電力会社は、表1にある「NIST IR 7628」など順守義務のないガイドラインを積極的に活用して、自社の設備のセキュリティ水準を高めている。

　NERC CIPのように順守義務のある標準は、電力事業者にとっては負担であるのは確かだ。しかし、社内に情報システムとは異なる性質を持つ「電力システムのセキュリティを確保する体制」を作らざるを得なくなるため、日本ではまだ少ない「電力システムとセキュリティの両方を理解する人材」の育成につながっている点は見逃せないところだ。