電力システムにおけるセキュリティ対策「NERC CIP」（後編）：「電力」に迫るサイバーテロの危機（7）（2/4 ページ）

» 2016年01月29日 09時00分公開

CISOの役割とは

　まず、この組織体制の要ともいえるCISO（Chief Information Security Officer：最高情報セキュリティ責任者）から説明しよう。社内のセキュリティ関連の組織にガバナンスを効かせる役割として、NERC CIP順守の対象となる一定規模以上の電力会社のほとんど全てがCISOを置いている。ただし、CIO（Chief Information Officer：最高情報責任者）と兼務の場合もある。

　CISOは、通常VP（Vice President：副社長）クラスのボードメンバー（経営者層）が務めることが多い。いわゆる名誉職ではなく、IT（Information Technology：情報システム）、OT（Operation Technology：制御システム）の両方のバランスを取りつつ、会社全体の経営リスクを考慮して、セキュリティに対する投資、対策計画を決定する役割を果たす。

　重要インフラにおける情報セキュリティ対策は、単なる社内の問題ではなく、電力の安定供給という社会的責任に大きな影響を持つ。ひいては、会社の経営にも大きく影響するため、予算配分も経営リスク全体とのバランスを考えて行う必要がある。CISOは、取締役会議などの場で、CEO（Chief Executive Officer：最高経営責任者）など経営者層に年度のセキュリティ対策や予算について説明を行い、承認を得ることが重要な役割となっている。

NERCコンプライアンス部門とは

　次に、米国の電力会社に特有の組織であるNERCコンプライアンス部門について説明する。通常、電力会社はこのようなNERC CIP対応の専用部門を置いている。この部門は、前ページの図1のようにレポートラインとしてCISOの下にある場合もあれば、法務部門に含まれる場合もある。

　また、この部門はセキュリティの専門家ではなく、法律の専門家で構成されている。その理由は、NERC CIPはチェックリスト方式で順守しているかどうかを明確にしやすいことと、順守していない場合には罰金などのペナルティが課せられるため、法的な争いになる場合があるからである。つまり、米国の電力会社では、NERC CIP順守はセキュリティ対策として捉えられているのではなく、コンプラインアンス（法令順守）対策として認識されている。すなわち、会社としてのメインのセキュリティ対策は別の部門で検討されているのだ。

　この点をセキュリティ対策の実効性という観点で捉えた場合、複数の部門で同じシステムに対するセキュリティ対策を管理することになるので、無駄が発生しているともいえる。また、NERCからの監査に対応するため、NERC CIPを順守していることを示すドキュメント作成の仕事量が膨大であることも電力会社にとっては負担である。実際、中規模程度の電力会社にとってはNERC CIPの順守で精いっぱいで、自社のリスクを考慮したセキュリティ対策への人的／予算的リソースが足りないというような不満も聞かれた。

セキュリティに取り組む組織

　最後に、実際にセキュリティに対する取組みを実施する組織を説明しよう。米国の電力会社は、「以下の3つの観点を実現することを念頭において組織体制を構築している。実現する観点と対応する組織を「⇒」のあとに示した。


1．ガバナンス	⇒　「ポリシー策定＆教育部門」
2．社外からの情報収集	⇒　「脅威インテリジェンス＆脆弱性情報管理」
3．状況認識、レジリエンス（回復性）	⇒　「セキュリティオペレーションセンター」「セキュリティイベント解析」「インシデント対応」