電力自由化やスマートメーター普及など、より効率的な電力供給が進む一方、「サイバーセキュリティ」が電力システムの重要課題になりつつある。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを解説する。第7回は前回に引き続き北米の電力会社のセキュリティ対策の標準「NERC CIP」について紹介する。
第6回:「電力システムにおけるセキュリティ対策『NERC CIP』(前編)」
電力システムにおけるサイバーテロの脅威と、その対策についてさまざまな角度で紹介していく本連載。前回は、電力システムに対するセキュリティ対策例として、米国において、大規模発電設備および送電設備に義務的に適用される「NERC CIP ver.5※1)(以下、NERC CIP)」について紹介した。
その中で、NERC CIPは、いわゆる情報セキュリティのガイドラインとは異なり、電力の安定供給を主眼においたものであり、対応すべき項目がチェックリスト方式で示されている点が特徴であることを示した。今回は、NERC CIPを運用する上での電力会社における体制面がどのようになっているのかについて説明する。
※1)NERC CIP(ナーク・シーアイピー):NERC(北米電力信頼度協議会)が作成している標準のことを指す
図1は、ある米国の大規模電力会社のセキュリティ関連の組織体制の例である。筆者が米国で複数社ヒアリングした限りでは、組織の階層構造が異なっていたり、1つの部署で複数の機能を兼ねていたりする違いはあるが、図1に示した組織体制は、米国の電力会社では典型的なものだといってよい。図2には、図1にある主な部門/役職とその役割をまとめた。これらの役割のうち重要なものについて順に詳しく解説する。
主な部門/役職 | 役割 |
---|---|
CISO(最高情報セキュリティ責任者) | セキュリティ施策について経営リスク評価の観点からガバナンスを効かせる。取締役会議や最高経営責任者へのセキュリティ施策・予算の説明 |
セキュリティオペレーションセンター | 情報システム(制御システム含む場合もある)のセキュリティ監視 |
NERC コンプライアンス | NERC CIPの順守状況の管理、監査対応 |
ポリシー策定&教育 | 社内セキュリティポリシーの策定・更新や社員および重要サイバー資産を扱う取引先の定期的な教育の実施 |
脅威インテリジェンス&脆弱(ぜいじゃく)性情報管理 | ICS-CERT、E-ISAC等から得られる脅威情報の更新や制御システムに関する機器の脆弱性情報の管理 |
セキュリティイベント解析 | 社内のセキュリティイベントの解析 |
インシデント対応 | セキュリティインシデントが発生した時の対応 |
※2)ICS-CERT:米国土安全保障省の制御システム関連業界のCERT機関。インシデント対応や制御機器の脆弱性情報などを扱っている
※3)E-ISAC:電力業界におけるサイバーインシデントやベストプラクティスの情報共有を行うための組織。2015年にES-ISACからE-ISACに改名。
Copyright © ITmedia, Inc. All Rights Reserved.