連載
» 2016年01月29日 09時00分 公開

電力システムにおけるセキュリティ対策「NERC CIP」(後編)「電力」に迫るサイバーテロの危機(7)(3/4 ページ)

[佐々木 弘志 / マカフィー,スマートジャパン]

NERC CIPで理解しておくべきこと

 前ページで紹介した3つのポイントを踏まえて、米国の電力会社の実際の取組みの内容をまとめると、以下の通りとなる。

米国の電力会社のセキュリティ対策とは、定期的なポリシー更新や教育を実施することで、社内の「ガバナンス」を効かせつつ、世の中の脅威状況を知るため「社外から情報収集」を行った上で、現状の電力システムのセキュリティ状態を監視、「状況認識」することで、早期のインシデント対応を行い、レジリエンス(回復性)を実現することである

 ここでいうレジリエンスとは「サイバー攻撃を受けて被害を受けたとしても、停電を最小限にし、かつなるべく早く復旧する」ことを意味しており、近年、特に重要インフラのセキュリティではよく言われるようになった。つまり、可用性を重視するため設備の更新が難しく、攻撃の対象となる脆弱性が残りやすい性質をもつ重要インフラでは、サイバー攻撃を受ける前提で、いかに早く攻撃を察知して対処し、サービス低下を最小限にするかが課題となっている。実際、米国の電力会社では、サイバー攻撃を台風や火災などの災害と同様に捉えて「被害を受けるものだ」という認識に立って対策を実施している。

 そして、NERC CIPは、この3点を実現するための基礎的なルールを提供している。例えば「ポリシー策定&教育部門」で行う教育の内容や頻度は、NERC CIPの項目である「CIP-004-05 人的管理とトレーニング」を充たしている必要がある。また「インシデント対応部門」は「CIP-008-05 インシデント報告と対応計画」に従わなければならない。NERC CIPはドキュメント作業が大変という問題はあるが、義務的なチェックリスト方式であるために、例えば、教育担当者は「社員教育の項目や頻度はどれくらいが適切か」などという問いを考えなくてよい分、楽な面もあるといえるだろう。

 実際に電力会社が対策を行う場合は、NERC CIPだけではセキュリティ対策として十分でないので、その他のガイドラインを参考としながら、CISOを中心に各社の経営リスクに応じたセキュリティポリシーを策定して運用している(図3)。

photo 図3 電力会社のセキュリティポリシー構成 出典:「経済産業省 平成26年度電気施設技術基準国際化調査(電気設備)」より抜粋

Copyright © ITmedia, Inc. All Rights Reserved.