原子力発電のサイバーセキュリティ対策、米国ではどう進んだのか:電力業界のサイバーセキュリティ再考(3)(2/5 ページ)
罰則を伴うサイバーセキュリティ規則「10 CFR Part 73.54」の登場
2006年、NRCは原子力施設のサイバーセキュリティ規則の策定を開始した。当初、当該規則は、「10 CFR Part 73.55」(放射線に係わる破壊行為に対する、原子力施設で承認される業務の核物質防護に関する要求事項:Requirements for Physical Protection of Licensed Activities in Nuclear Power Reactors Against Radiological Sabotage)」の一部として作成されていた。しかしながら、サイバーセキュリティの要求事項を、将来、原子力発電所以外の原子力施設に適用可能にするため、「10 CFR Part 73.54」としてサイバーセキュリティ規則を発行することが決定された。
その後、2009年3月に「10 CFR Part 73.54」(デジタル・コンピュータおよびコミュニケーション・システム・ネットワークの保護:Protection of Digital Computer and Communication Systems and Networks)を発行した。これは、原子力事業者に、原子力発電所の緊急安全対策機能を含む安全に関するデジタルコンピュータと、コミュニケーションシステム・ネットワークがサイバー攻撃から保護されるよう、信頼性を確保することを要求するものである。
この連邦規則が発行されたことにより、原子力事業者はサイバーセキュリティが規制要件となり、運転許可の取り消しなどの罰則が科せられることとなった。
NRCでは新たな規制要件に対し、規制要件を提案する際に「バックフィットの適用により安全性の向上、国民の健康と安全の保護に相当の効果が認められること」「その効果に見合うコストで実現できること」について検証することを求めている。
バックフィットとは、新規制や安全基準が施行された際に、既設のシステムや設計などを新しい要件に合わせて改造することを義務付けるルール。NRCのサイバーセキュリティ規則もバックフィット規則の検証を経た上で発行されている。
NRC「10 CFR Part 73.54」の要求事項とは?
「10 CFR Part 73.54」の要求事項に従う各原子力事業者は、デジタルコンピュータとコミュニケーションシステム・ネットワークを、設計基礎脅威(Design Basis Threat,DBT)に該当するサイバー攻撃から適切に保護しなければならない。
具体的には、以下に関係するデジタルコンピュータとコミュニケーション・システム・ネットワークを保護するように要求されている。
- 安全に関係する機能及び安全上重要な機能(Safety-related and important-to-safety functions)
- セキュリティ(核物質防護)機能(Security functions)
- サイト外とのコミュニケーションを含む緊急安全対策機能(Emergency preparedness functions, including offsite communications)
- 安全機能あるいは緊急安全対策機能に悪影響を与える支援システムと設備(Support systems and equipment which, if compromised, would adversely impact safety, security, or emergency preparedness functions)
「10 CFR Part 73.54」では、原子力事業者は、上記システムおよびネットワークを、以下の危険性を有するサイバー攻撃から守ることが要求されている。
- 健全な、あるいは機密のデータが書き換えられたり、破壊されたりする危険性
- システム・サービスやデータへのアクセスが拒否される危険性
- OSやネットワーク、設備に悪影響を与える危険性
この他、「10 CFR Part 73.54」に記載されているサイバーセキュリティ・プログラム要求事項の実施内容を盛り込んだサイバーセキュリティ計画(Cyber Security Plan : CSP)を策定・実行・維持することを要求している。同規則には、CSP内に要求事項に対する具体的な取り組みの内容を記載しなければならず、同時に、当該要求事項に影響を与える原子力発電所特有の条件を考慮することも求めている。さらに、CSPにはサイバー攻撃に対するインシデント対応・復旧の対策も盛り込まなくてはなならい。具体的には、以下の項目を実施するための対策をCSPに記載する必要がある。
- サイバー攻撃に対して適時に検知・対応する能力の維持
- サイバー攻撃に起因する事象の緩和
- ぜい弱性を攻撃されたプログラムの修復
- サイバー攻撃によって悪影響を受けたシステムやネットワーク、設備の復旧
Copyright © ITmedia, Inc. All Rights Reserved.
人気記事トップ10
- 「蓄電コンクリート」を実用化へ、會澤高圧コンクリートとMITが連携
- 建材一体型の太陽光発電システムを本格販売、カネカと大成建設
- 「同時市場」での調整力は3商品に集約へ――広域機関からの最終報告
- タンデム型のペロブスカイト太陽電池で効率26.5%、ベンチャー企業のPXPが達成
- 太陽光パネルを垂直設置できる「ソーラーフェンス」、Yanekaraが販売開始
- 塗布するだけで空調設備を省エネに、マクニカが遮熱断熱塗料の販売を開始
- 万が一を想定した「計画停電」への備え、2024年度以降の実施スキームが公表
- 水素と化石燃料の差額を支援する「値差支援制度」、価格面などの詳細案が明らかに
- 「ペロブスカイト太陽電池」の開発動向、日本の投資戦略やコスト目標の見通しは?
- 使用済み太陽光パネルを国内販売&再利用、オリックス環境らが本格展開
ITmediaはアイティメディア株式会社の登録商標です。