電力網がサイバー攻撃されたらどうすべきか、先行する米国のセキュリティ対策事例電力供給(2/3 ページ)

» 2015年06月09日 13時00分 公開
[陰山遼将スマートジャパン]

リスクベース型のアプローチを組み合わせた対策を

 電力制御セキュリティに関するガイドラインについては2種類のアプローチがあるという。1つが守るべき項目が明確になっている「仕様詳細規定型(チェックリスト型)」で、もう1つがセキュリティリスクに焦点を当てて分析を行う「リスクベース型」だ(図2)。

図2 「仕様詳細規定型アプローチ」と「リスクベースのアプローチ」の概要(クリックで拡大)出典:マカフィー

 CIPは発電、送電設備向けのセキュリティガイドラインで、アプローチとしては仕様詳細規定型のガイドラインとなる。順守しない企業には罰金が科される仕組みだ。仕様詳細規定型のガイドラインは、導入する手法や機能などが明確である一方で、想定されるリスクを包含する形にはなっていないので、あくまでもベースラインとしての役割を果たす。佐々木氏は米国におけるCIPの位置付けについて「あくまでもベースとなるコンプライアンスという認識。最低限のコンプライアンスを守るだけでは、セキュリティ対策として十分ではない」と述べる。

 そこで佐々木氏がポイントとして挙げるのが、リスクベース型ガイドラインを組み合わせて活用するということだ。リスクベース型とは、システムが攻撃を受けた場合、どのような被害や影響が及ぶ可能性があるのかという「リスク」に基づき、それに応じた対策を行うアプローチだ。特に電力などの重要インフラについては、データの書き替えなどに関する「完全性」、どれくらい設備が停止する可能性があるかといった「可用性」を重視した対策を行う場合が多いという(図3)。

図3 リスクベース型アプローチの概要(クリックで拡大)出典:マカフィー

 

Copyright © ITmedia, Inc. All Rights Reserved.