電力システムにおけるセキュリティ対策「NERC CIP」（前編）：「電力」に迫るサイバーテロの危機（6）（4/4 ページ）

[佐々木 弘志 ／ マカフィー，スマートジャパン]

チェックリスト方式の項目

　実際のNERC CIP ver.5における順守すべき項目の例を見てみよう。図3は電子的セキュリティ境界内の重要サイバー資産に対するセキュリティ対策を示したCIP-007-05から「ポートとサービス」の項を抜粋したものである。左から順に、要件番号である「パート」「該当するシステム」が定義され「要件」には具体的に行うべき対策が書かれている。

図3 NERC CIP Standard CIP-007-05 R1：「ポートとサービス」の要件の一部（クリックで拡大）出典：NERC CIP ver.5

　ここでは、必要なポートだけアクセス可能な状態とすることが規定されている。そして、最後の「方策」では、この要件を守ったことを示すための証拠例がいくつか書かれている。電力会社が、NERC CIPを順守しようとした場合、保有する「該当するシステム」に対して、CIP-002-05〜CIP-011-01の各「要件」に適合する対策を行い、その証拠として、「方策」欄にあるものか、それに準ずるものを提示すれば良いということになる。このようなチェックリスト方式と呼ばれる標準は、順守する電力会社としては、対策を実施したかどうかが明確に判断しやすいという利点がある。

まとめ

　今回紹介したNERC CIP ver.5は、いわゆる情報セキュリティのガイドラインとは異なり、電力の安定供給を主眼においたものだ。その安定供給に影響を与える重要システムを特定した上で、そのシステムに対する物理的、電子的アクセスに対する管理を行い、仮に攻撃を受けたとしても、適切なインシデント対応および復旧計画により、なるべく電力の安定供給を維持しようとすることを重視していることを示した。そして、NERC CIPは義務的な標準であることから、電力会社が順守しやすいように、守るべき項目が具体的であるチェックリスト方式となっていることを例とともに示した。

　次回は、NERC CIPを運用する上での電力会社における体制面がどのようになっているのかについて紹介する予定だ。

第7回：「電力システムにおけるセキュリティ対策『NERC CIP』（後編）」