電力システムにおけるリスク分析の方法論：「電力」に迫るサイバーテロの危機（4）（3/3 ページ）

[佐々木 弘志 ／ マカフィー，スマートジャパン]

3．ハイレベルセキュリティ要件仕様の確定

　最後のフェーズでは、2で行った論理インタフェースカテゴリの分類に対して、それぞれどのようなセキュリティ要件が必要かを定義している。NIST IR 7628のセキュリティ要件は「NIST SP800-53 rev.4」「NERC CIP Standard」など他のセキュリティガイドラインや標準に示された要件を参照し、スマートグリッド用に追加、変更したものである。そして、縦軸に19分類計182個のセキュリティ要件、横軸に22の論理インタフェースカテゴリーを取って、それぞれのセキュリティ要件のリスクに応じた適用条件を、論理インタフェースごとに定義している。この一部を抜粋したものが図4である。この図の見方を説明する。

図4 22の論理インタフェースカテゴリに対するセキュリティ要件の影響レベルに対する適用表の一部（クリックで拡大）出典：NIST IR 7628 rev.1 （※）初版と分析結果が異なることに注意

　例えば、図中の枠で囲ったSG.SC-5について説明しよう。このセキュリティ要件は、「Denial-of-Service（DoS） Protection（サービス停止に対する保護）」であり、論理インタフェースカテゴリごとのリスク分析に応じた適用条件が示されている。表中の「H」は、対象のシステムに対して自身でリスク分析を行った結果が「H」のときのみこのセキュリティ要件が適用されるという意味である。同じく「M」は、リスク分析の結果が「M」以上のとき、空欄はこのセキュリティ要件の適用の必要はないという意味だ。例えば、No.18では空欄となっている。空欄となっている理由の説明はないが、No.18の例では、DoSの保護をしなかった結果、失われる可用性が「L」となっていたので、このセキュリティ要件は不要と判断したと考えられる。

　このように、NIST IR 7628を活用すると、まず、セキュリティ対策をしたいシステムに近いものを22の論理カテゴリインタフェースから探して、そのシステムに対して、自身で行ったリスク分析の結果をもとに、図4のマトリックスを使うことで、182個のセキュリティ要件のうち、どれをどのような条件で活用すれば良いかを理解できる。すなわち、リスクに応じたセキュリティ対策を行うための良いガイドラインとなっているというわけだ。そのため、費用対効果の高いセキュリティ対策を効率よく選択することができる。

電力会社でも使用事例あり

　今回紹介したNIST IR 7628は、対象システムにどういう脅威、リスクがあるのかを分析し、費用対効果の高いセキュリティ対策を行うための1つの方法論である。このようなリスクベースのセキュリティガイドラインは、対策が明確に書かれているチェックリストのようなガイドラインと比べると活用が難しい面もあるが、各社が抱える資産が持つリスクの程度に応じたセキュリティ対策を実施できるため、筆者が訪問した米国の電力会社では、実際に活用されていた。

　NIST IR 7628は、任意のガイドラインであるため、強制力はないが、その分自由に活用することができる。このようなガイドラインの方法論は、日本国内の取り組みにおいても参考にすべき点があると思われる。

　次回以降は、このようなガイドラインの存在を踏まえて、電力システムに対する具体的なセキュリティ対策について紹介していく。