ここまで述べてきたように、主に米国を中心とした海外では、電力システムにおける規制/ガイドラインが公開され、「電力システムセキュリティの文化」が形成されている。日本国内でも電力システムにおける規制/ガイドラインが公開予定であるため、各電力会社のセキュリティ対策に関する取り組みが進むと思われる。では、これから「電力システムセキュリティの文化」を電力業界として育てるにはどうしたらよいのだろうか。以下に、これまでの連載の内容を踏まえて、必要だと思われる項目を政策面と電力会社の取り組みに分けて示す。
政策面では、2016年4月に公開される規制/ガイドラインをいかに実効性のあるものにするかが大切だろう。そのために、定期的な更新、更新のために活用できる情報共有の仕組み、監査の仕組みが必要だと考える。それぞれの在り方については、必ずしも海外と同じである必要はなく、日本の状況に合わせて適切な仕組みを検討をすればよい。
電力会社においては、まず規制/ガイドラインに応じた組織改革が必要だろう。電力システム改革の進行において、分社化や組織再編が進む状況は、その改革の格好の機会であるとも考えられる。そして、電力システムを経営リスクとして捉える体制ができれば、自社の電力システムのリスクに応じた対策がとれることになる。そして、具体的なセキュリティ対策においてもベンダー任せではなく、自ら主導できるようになれば、海外でも競争力をもちうる電力システムの構築につながるだろう。
サイバーセキュリティを経営リスクとして捉えることができたときに有効となるのが、海外では進んでいるサイバー保険の活用である(図2)。このような考えは、部門レベルでセキュリティ対策を行っていては、決して出てこない発想である。実は、このサイバー保険の普及に不可欠なのが、規制/ガイドラインの普及である。通常セキュリティの専門でない保険会社が保険料を設定するのに、その会社のセキュリティ状態を測る指標として不可欠だからだ。従って、筆者は、サイバー保険の普及度合いが、日本国内の電力業界のセキュリティ成熟度を測る上での一つの指標になるのではないかと考えている※3)。
※3)電力業界に限った話ではなく、2015年の年末に経済産業省より公開された「サイバーセキュリティ経営ガイドライン」でも、セキュリティ対策を行ったあとの残留リスクの対応策として、サイバー保険の活用が挙げられている
Copyright © ITmedia, Inc. All Rights Reserved.