電力システムにおけるセキュリティ対策「NERC CIP」(後編):「電力」に迫るサイバーテロの危機(7)(3/4 ページ)
NERC CIPで理解しておくべきこと
前ページで紹介した3つのポイントを踏まえて、米国の電力会社の実際の取組みの内容をまとめると、以下の通りとなる。
米国の電力会社のセキュリティ対策とは、定期的なポリシー更新や教育を実施することで、社内の「ガバナンス」を効かせつつ、世の中の脅威状況を知るため「社外から情報収集」を行った上で、現状の電力システムのセキュリティ状態を監視、「状況認識」することで、早期のインシデント対応を行い、レジリエンス(回復性)を実現することである
ここでいうレジリエンスとは「サイバー攻撃を受けて被害を受けたとしても、停電を最小限にし、かつなるべく早く復旧する」ことを意味しており、近年、特に重要インフラのセキュリティではよく言われるようになった。つまり、可用性を重視するため設備の更新が難しく、攻撃の対象となる脆弱性が残りやすい性質をもつ重要インフラでは、サイバー攻撃を受ける前提で、いかに早く攻撃を察知して対処し、サービス低下を最小限にするかが課題となっている。実際、米国の電力会社では、サイバー攻撃を台風や火災などの災害と同様に捉えて「被害を受けるものだ」という認識に立って対策を実施している。
そして、NERC CIPは、この3点を実現するための基礎的なルールを提供している。例えば「ポリシー策定&教育部門」で行う教育の内容や頻度は、NERC CIPの項目である「CIP-004-05 人的管理とトレーニング」を充たしている必要がある。また「インシデント対応部門」は「CIP-008-05 インシデント報告と対応計画」に従わなければならない。NERC CIPはドキュメント作業が大変という問題はあるが、義務的なチェックリスト方式であるために、例えば、教育担当者は「社員教育の項目や頻度はどれくらいが適切か」などという問いを考えなくてよい分、楽な面もあるといえるだろう。
実際に電力会社が対策を行う場合は、NERC CIPだけではセキュリティ対策として十分でないので、その他のガイドラインを参考としながら、CISOを中心に各社の経営リスクに応じたセキュリティポリシーを策定して運用している(図3)。
図3 電力会社のセキュリティポリシー構成 出典:「Copyright © ITmedia, Inc. All Rights Reserved.
人気記事トップ10
- 「蓄電コンクリート」を実用化へ、會澤高圧コンクリートとMITが連携
- 建材一体型の太陽光発電システムを本格販売、カネカと大成建設
- 「同時市場」での調整力は3商品に集約へ――広域機関からの最終報告
- 塗布するだけで空調設備を省エネに、マクニカが遮熱断熱塗料の販売を開始
- タンデム型のペロブスカイト太陽電池で効率26.5%、ベンチャー企業のPXPが達成
- 太陽光パネルを垂直設置できる「ソーラーフェンス」、Yanekaraが販売開始
- 水素と化石燃料の差額を支援する「値差支援制度」、価格面などの詳細案が明らかに
- 2024年度の「供給計画」から考える、10年後の電力需要と供給力の変化
- 万が一を想定した「計画停電」への備え、2024年度以降の実施スキームが公表
- 「ペロブスカイト太陽電池」の開発動向、日本の投資戦略やコスト目標の見通しは?
ITmediaはアイティメディア株式会社の登録商標です。