重要インフラのサイバーセキュリティ、米国はどう法整備を進めたのか：電力業界のサイバーセキュリティ再考（2）（1/3 ページ）

IoTの活用やデジタル化の進展に伴い、今後、電力業界でもさらに重要度が高まっているサイバーセキュリティ対策。本稿では、日本より取り組みが先行している米国において、重要インフラのサイバーセキュリティ対策がどのように法制度化されたのかについて解説する。

[望月武志 デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員，スマートジャパン]

• 第1回「なぜいま重要なのか、電力業界のサイバー攻撃対策」

　連載の第2回となる今回は「歴史を振り返る」をテーマとし、重要インフラのサイバーセキュリティ対策が法制度として求められるようになってきた背景を、米国の電力セクターにおける経緯に基づき解説する。

　米国における電力事業の規制は、州政府と連邦政府とで権限が複雑に分かれているが、州をまたがる取り引きについては連邦政府、州内の取引については州政府というのが原則である。

　発電所の許認可は、火力発電所は州、水力発電所・再生可能エネルギーは連邦エネルギー規制委員会（Federal Energy Regulatory Commission：FERC）、原子力発電所は原子力規制委員会（The Nuclear Regulatory Commission：NRC）が行っている。送電線に関わる側面はFERCの管轄となっており、配電、小売は州の管轄となっている。

　一方で、米国における電力セクターのサイバーセキュリティ関連組織の構造は以下のようになっている。

米国における電力セクターのサイバーセキュリティ関連組織の構造　出典：デロイトトーマツ

　米国の電力セクターのサイバーセキュリティ対応は、連邦政府による重要インフラ保護（Critical Infrastructure Protection：CIP）の問題に対処する連邦法、規則、政策および大統領令などに基づいて、進められてきた。

　重要インフラ保護への対応は、1993年2月のニューヨーク世界貿易センター爆破事件と1995年4月のオクラホマ連邦政府ビル爆破事件という2つの出来事が大きく影響している。この2つの事件は、米国がテロの脅威にさらされていることを示す結果となり、連邦政府はその脆（ぜい）弱性と脅威の対応のために調査を開始。1996年7月には大統領令13010号（Executive Order：EO-13010）「重要インフラの保護」を公表した。それによって、設置された重要インフラに関する大統領委員会（Presidential Commission on Critical Infrastructure Protection：PCCIP）で、8つの重要インフラの分野が識別された。

• 電力システム（エネルギー省）
• ガス・石油の貯蔵と輸送（エネルギー省）
• 銀行・金融（財務省）
• 情報通信・テレコミュニケーション（商務省）
• 運輸（運輸省）
• 水道（環境保護局）
• 救急サービス：医療、警察、消防、レスキュー（緊急事態管理庁、厚生省）
• 政府サービス（法務省）

　1997年10月にPCCIPによって、大統領への報告書が発表された。この時PCCIPは、物理的なテロだけではなく、サイバー攻撃から重要インフラを保護するための強固な情報システムインフラの確立も要求している。さらに、民間企業と連邦政府のよりよい協力とコミュニケーションの必要性も求めている。

　1998年5月には、こうしたPCCIPの勧告に基づき、重要インフラを物理的攻撃およびサイバー攻撃の両方に備え、重大な脆弱性の排除をするために必要な措置を講ずること目的に、大統領令63号（Presidential Decision Directive-63：PDD-63）「アメリカの重要インフラの保護」が発行された。その中には重要インフラ事業者と連邦政府がサイバー攻撃に関する情報を共有・分析することを目的とした情報共有分析センター（Information Sharing and Analysis Center：ISAC）の発足も含まれており、電力セクターでは2000年10月にES（Electricity Sector）-ISAC、2001年11月にEnergy-ISACの運用が開始されている。

　ES-ISACのメンバー企業は、北米の電力会社、連邦の電力機関、独立系の電力業者、州や市の公益事業者、電力売買事業者などで構成されており、Energy-ISACは石油会社、天然ガス会社、電力会社、化石燃料の精製・輸送・貯蔵などに関わる企業で構成されている。この2つのISACはエネルギー省のPDD-63で規定された推進機関となっている。なお、ES-ISACは2015年9月にE-ISAC（Electricity Information Sharing And Center）に名称を変更している。

　2000年1月にこのPDD-63に従い、「情報システム保護のための国家計画（National Plan for Information System Protection Version 1.0）」が発表された。この計画の目標としては次の通りである。

• 重要インフラに対するサイバー攻撃による被害の最小化
• サイバー攻撃を受けた重要インフラの継続運用の確保
• サイバー攻撃の検知・分析し、攻撃の封じ込め、システムの早期復旧・再構築
• サイバー攻撃を国家レベルで回避、検知および対応可能とするための組織の確立
• 人材育成および法整備

　一方、1999年ごろからメールを利用したウイルス（Happy99、Melissa、LOVELETTERなど）が登場し、メールを通じて多くの被害をもたらしていた。2001年10月には、大統領令13231号（EO-13231）「情報化時代における重要インフラ保護」が発行された。これは2001年9月11日に発生した同時多発テロ事件を受けてではなく、PDD-63の活動のうち、重要インフラに対するサイバー上の脅威に焦点を当てていた。