電力システムにおけるセキュリティ対策「NERC CIP」（後編）：「電力」に迫るサイバーテロの危機（7）（4/4 ページ）

[佐々木 弘志 ／ マカフィー，スマートジャパン]

NERC CIPの意義

　ここまで、NERC CIPを運用する上での電力会社の組織体制について紹介してきた。最後に、これと同様のことを日本国内で実現する場合に、何が重要となるかについて考察したい。まず、CISOを設置する場合に、一番重要なのはガバナンスが効かせられるかどうかである。要は、CISOが「電力システムに対するセキュリティポリシー」を決めたときに各部署が従う体制ができるかどうかである。これができなければ、CISOはただのお飾りになってしまう。

　実は、米国では、10年前にNERC CIPが実施されたときに、それが義務的な基準であったからこそ、各部署がCISOに従うような体制を作らざるを得なかったという経緯がある。現在であっても、米国の電力会社内で、制御システムの部門と情報システムの部門にはセキュリティの考え方に大きな差があるという話も聞く中で、NERC CIPがなければ、このような体制やセキュリティ対策は進まなかったのだろうと思う。

　個人的な考えでいえば、義務的な標準があるよりは、任意の公開されたガイドラインを駆使して、各社が経営リスクに応じたセキュリティ対策を実施する姿が望ましいとは思う。しかし、それは電力システムセキュリティに対する「文化」がないところでは機能しないと考える。つまり、セキュリティ対策に必要性を感じず、強制力もない環境では、「何もしない」ことが最適解になってしまう。このような文化がないところに文化を創ろうとした場合には、ある程度の強制力が必要だろう。

　その意味で、NERC CIPは、米国の電力システムのセキュリティ文化を創ることには大きな貢献をしたと感じる。実際、ヒアリングした電力会社には、大規模、中規模問わず、情報システムと制御システムの双方に通じたセキュリティ担当者が存在した。この事実こそが、NERC CIP対応の必要性から、各電力会社で対応した組織体制ができ、10年かけて人材育成が進んだことを示す大きな証拠だろう。つまり、結果的に、NERC CIP は米国電力業界におけるセキュリティ文化の基礎を築いたのだ。もちろん日本国内では、米国ほど電力会社の数が多くないため、同じ枠組みが必ずしも有効ではないだろうが、業界において、ある程度の強制力を働かせることが、結果的に電力システムのセキュリティ文化の形成につながるという点は参考にできると考える。

　次回は、最終回として、世界的な流れおよび日本国内の動向も含めて、電力システムのセキュリティのこれからについて、筆者が思うところを紹介したい。

第8回「電力システムにおけるセキュリティの現在とこれから」