では、次に、このような電力システムセキュリティにおける規制/ガイドライン策定の流れの中で、電力会社はどのようなセキュリティ対策を行っているのだろうか。連載では第5回から第7回にわたって説明してきた内容を中心に、欧米の電力会社の取り組みの現状を紹介する。各回の内容を順にまとめると以下の通りとなる。
1.の重要な点は、電力会社とベンダーとの責任分界点をはっきりさせるということである。規制/ガイドラインがないと電力会社はどのようなセキュリティ対策をどこまでやったらよいのかの指標が持てない。そのためどうしても曖昧な仕様となってしまいがちであり、その場合、ベンダー側に責任が偏りがちになってしまう。電力会社とベンダーとの健全な関係形成のためにも、電力会社側が具体的な仕様を示すことは重要である。
2.については、第6回で、米国の電力システムにおいて「電力の安定供給」を目的として策定された規制である「NERC CIP」※2)の取り組みを紹介した。NERC CIPは、順守を怠ると罰金が発生することもある規制であるが、項目がチェックリスト方式となっており、順守がしやすいのが特徴である。
※2)NERC CIP(ナーク・シーアイピー):NERC(北米電力信頼度協議会)が作成している標準のことを指す
3.も、主に規制が強い米国での取り組みとなる。一番のポイントは、電力システムのセキュリティが、情報システムや発電、送電のような各制御システム関連の部署だけの問題ではなく、経営リスクとして取り扱われている点である。従って、経営に関わるCISO(最高情報セキュリティ責任者)を中心に組織体制が組まれており、実施するセキュリティ対策も、2.で述べた義務的なものだけではない。順守が任意のガイドラインを活用しながら、経営リスクの度合いに応じたコストをかけて、セキュリティ対策が行われている。このように「電力システムセキュリティ」がビジネスとして成立し、関わる人たちのキャリアパスが確保された「文化」が米国で形成されているのは、NERC CIPが義務的な規制であったからこそであるのは、第7回で詳しく述べた通りだ。
Copyright © ITmedia, Inc. All Rights Reserved.