電力システムにおけるセキュリティ対策「NERC CIP」(後編):「電力」に迫るサイバーテロの危機(7)(1/4 ページ)
電力自由化やスマートメーター普及など、より効率的な電力供給が進む一方、「サイバーセキュリティ」が電力システムの重要課題になりつつある。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを解説する。第7回は前回に引き続き北米の電力会社のセキュリティ対策の標準「NERC CIP」について紹介する。
第6回:「電力システムにおけるセキュリティ対策『NERC CIP』(前編)」
電力システムにおけるサイバーテロの脅威と、その対策についてさまざまな角度で紹介していく本連載。前回は、電力システムに対するセキュリティ対策例として、米国において、大規模発電設備および送電設備に義務的に適用される「NERC CIP ver.5※1)(以下、NERC CIP)」について紹介した。
その中で、NERC CIPは、いわゆる情報セキュリティのガイドラインとは異なり、電力の安定供給を主眼においたものであり、対応すべき項目がチェックリスト方式で示されている点が特徴であることを示した。今回は、NERC CIPを運用する上での電力会社における体制面がどのようになっているのかについて説明する。
※1)NERC CIP(ナーク・シーアイピー):NERC(北米電力信頼度協議会)が作成している標準のことを指す
電力システムのセキュリティを確保するための組織体制とは?
図1は、ある米国の大規模電力会社のセキュリティ関連の組織体制の例である。筆者が米国で複数社ヒアリングした限りでは、組織の階層構造が異なっていたり、1つの部署で複数の機能を兼ねていたりする違いはあるが、図1に示した組織体制は、米国の電力会社では典型的なものだといってよい。図2には、図1にある主な部門/役職とその役割をまとめた。これらの役割のうち重要なものについて順に詳しく解説する。
図1 米国における電力会社のセキュリティ関連組織体制の例 出典:インテル セキュリティ| 主な部門/役職 | 役割 |
|---|---|
| CISO(最高情報セキュリティ責任者) | セキュリティ施策について経営リスク評価の観点からガバナンスを効かせる。取締役会議や最高経営責任者へのセキュリティ施策・予算の説明 |
| セキュリティオペレーションセンター | 情報システム(制御システム含む場合もある)のセキュリティ監視 |
| NERC コンプライアンス | NERC CIPの順守状況の管理、監査対応 |
| ポリシー策定&教育 | 社内セキュリティポリシーの策定・更新や社員および重要サイバー資産を扱う取引先の定期的な教育の実施 |
| 脅威インテリジェンス&脆弱(ぜいじゃく)性情報管理 | ICS-CERT、E-ISAC等から得られる脅威情報の更新や制御システムに関する機器の脆弱性情報の管理 |
| セキュリティイベント解析 | 社内のセキュリティイベントの解析 |
| インシデント対応 | セキュリティインシデントが発生した時の対応 |
※2)ICS-CERT:米国土安全保障省の制御システム関連業界のCERT機関。インシデント対応や制御機器の脆弱性情報などを扱っている
※3)E-ISAC:電力業界におけるサイバーインシデントやベストプラクティスの情報共有を行うための組織。2015年にES-ISACからE-ISACに改名。
Copyright © ITmedia, Inc. All Rights Reserved.
人気記事トップ10
- 「蓄電コンクリート」を実用化へ、會澤高圧コンクリートとMITが連携
- 建材一体型の太陽光発電システムを本格販売、カネカと大成建設
- 「同時市場」での調整力は3商品に集約へ――広域機関からの最終報告
- タンデム型のペロブスカイト太陽電池で効率26.5%、ベンチャー企業のPXPが達成
- 塗布するだけで空調設備を省エネに、マクニカが遮熱断熱塗料の販売を開始
- 太陽光パネルを垂直設置できる「ソーラーフェンス」、Yanekaraが販売開始
- 万が一を想定した「計画停電」への備え、2024年度以降の実施スキームが公表
- 水素と化石燃料の差額を支援する「値差支援制度」、価格面などの詳細案が明らかに
- 「ペロブスカイト太陽電池」の開発動向、日本の投資戦略やコスト目標の見通しは?
- 2024年度の「供給計画」から考える、10年後の電力需要と供給力の変化
ITmediaはアイティメディア株式会社の登録商標です。