電力システムセキュリティのガイドラインとは？：「電力」に迫るサイバーテロの危機（3）（2/2 ページ）

[佐々木 弘志 ／ マカフィー，スマートジャパン]

欧州の電力システムセキュリティガイドライン

　欧州の電力システムの特徴として、運用はそれぞれの国の電力会社によって行われているものの、国境が陸続きのため電力系統がつながっているという点が挙げられる。従って、電力システムのセキュリティについても、欧州連合（EU:　European Union）の枠組みを中心に規定されている。しかし、各国の事情が異なるせいか、米国ほどの具体的なセキュリティガイドラインは規定されておらず、ハイレベルな要件のみが示されているのが現状だ。

　最近の動きとして、EUの政策執行機関である欧州委員会（EC：European Union）が2013年2月に発表したサイバーセキュリティ戦略の中で、ENISA（European Network and Information Security Agency：欧州ネットワーク・情報セキュリティ庁）に対して、加盟国のエネルギーインフラのサイバーセキュリティとレジリエンス（回復性）を強化するように指示していることが挙げられる。

　また、国レベルの最新の動きとしては、2015年7月にドイツにおいて、電力を含む重要インフラ事業者に対して、最低限のサイバーセキュリティ対策の実施を義務付ける法案が可決された。重要インフラ事業者は2年以内のセキュリティ対策の実施、及びドイツ政府の情報セキュリティ機関の認可の取得が求められ、違反した事業者には最大10万ユーロ（約1360万円）の罰金が課されることとなる。ただし、この枠組みでは、事業者の負担コストが大きすぎるなどの批判もあるため、他国に波及するかどうかは未知数である。

日本国内のセキュリティガイドライン最新動向

　本連載の第1回では、日本電気技術規格委員会（JESC）にて「電力制御システムセキュリティガイドライン（仮称）」の策定を行う情報専門部会を設置され、ガイドライン策定が始まったことを紹介した。

　その後、2015年7月に、経済産業省は「スマートメーター制度検討会セキュリティ検討ワーキンググループ」の報告書の中で、スマートメーターシステム（図2がその検討範囲）における統一的なセキュリティガイドラインの策定を進めることを発表した（関連記事）。

図2 スマートメーターシステムの構成要素（クリックで拡大）出典：資源エネルギー庁

　この報告書において注目すべきは、「スマートメーターシステムにおいても大規模停電のリスクを考慮した対策を行う必要がある」と明記されており、電力の安定供給に関わる部分に関しては「最低限のセキュリティ対策を標準対策要件として義務化する」としている点である。先に見た米国の取り組みでも、配電に関するセキュリティ対策は義務化されていなかった点を考えると、画期的な取り組みといえるだろう^※）。

※）「セキュリティ検討ワーキンググループ報告書の概要」（PDF）

　もう1つの注目すべき点は、ガイドラインの具体性である。報告書別添の資料を見ると、このガイドラインの標準対策要件に盛り込むべき事項として、組織の体制や役割などのマネジメント要件のみならず、暗号鍵の管理、侵入検知、セキュリティログ管理から、物理セキュリティに至るまで、かなり具体的なセキュリティ対策にまで踏み込んで示されている。

　また「小売全面自由化（2016年4月めどで実施）までに各事業者において、統一的なガイドライン（初版）に基づいた対策が行われるよう関係者において取組を進める」との記載があり、同じく2015年度中に策定が予定されている「電力制御システムセキュリティガイドライン（仮称）」と合わせて、電力各社は急ピッチの対応を迫られるものと思われる。

電力システムに向けたセキュリティガイドライン策定が世界中で進む

　今回紹介したいくつかの取り組みは2015年に入ってからのことであり、今まさに世界中で、電力システムに関するガイドラインに関連した対策が進行中である。これらの動向に共通していえることは、電力のような重要インフラにおいては、政府が主導して、最低限のセキュリティ対策を義務化する方向に動いているということであろう。

　順守義務のないガイドラインでは、事業者間の対応にばらつきが出るため、国民の社会生活に影響の出る重要インフラに関しては、政府として関与していこうという流れが出来上がりつつある。特に、日本国内における電力システムのセキュリティガイドラインについては、重要インフラにおける取り組みの中でも、最も先行して実施されていることもあり、他の重要インフラ業界からも注目を集めるものと思われる。

　次回は、米国のガイドラインを参照しつつ、電力システムにおけるリスク分析の方法論について紹介する。