重要インフラのサイバーセキュリティ、米国はどう法整備を進めたのか：電力業界のサイバーセキュリティ再考（2）（2/3 ページ）

[望月武志 デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員，スマートジャパン]

9.11同時多発テロ事件が与えた影響

　しかし、2001年に9.11同時多発テロ事件が発生。これを受け、国土安全保障体制の再編を目的とする「2002年国土安全保障法（Homeland Security Act of 2002）」が発行され、2003年1月に国土安全保障省（Department of Homeland Security：DHS）が発足した。

　国土安全保障省は物理的なテロなどだけでなく、サイバーセキュリティも管轄している。9.11同時多発テロ事件は、直接的な物理的被害（ワールドトレードセンター崩壊など）だけではなく、金融、エネルギー、通信、運輸などの国民生活を支える重要インフラも、サイバー攻撃を含むテロから守ることができるのか――という点を政府に問うきっかけとなった。それまで重要インフラの防護については、PDD-63により設けられた商務省配下の組織で対応を実施していたが、さらなる防護体制の整備が求められたわけである。

　電力分野では翌年の2003年1月、実際にサイバー攻撃による被害が発生した。オハイオ州にあるデービス・ベッセ原子力発電所において、監視制御システムのネットワークにSQL Slammerワームが感染し、プロセスコンピュータが停止する事象が起こっている。さらに同年8月には北米で大規模な停電が発生した。これは当時、急速に拡大していたMSBlastワームが直接的あるいは間接的な原因となって連鎖的停電を引き起こしたのではないかと臆測を呼んだが、北米停電特別調査委員会は、停電は組織的・人為的なミスやコンピュータの障害が原因で発生したもので、ワームが原因ではないとの報告書を発表している。

　こうした状況の中、北米電力信頼性協議会（North American Electric Reliability Council：NERC）が2003年8月にサイバーセキュリティ標準を採択した。これは電力送電網の信頼性や電力市場の円滑な運営に欠かせない情報セキュリティへの対応を確実にするための必要条件をまとめたものである。このサイバーセキュリティ標準は2006年に向けての暫定版として採択したもので、毎年更新が行われた。この標準は加盟機関のコンプライアンスが義務付けられている。項目の一部は、サイバーセキュリティ方針策定、重要な資産の特定、アクセス・コントロールおよびその監視、物理的アクセス・コントロール、教育、情報保護、インシデント対応、復旧計画などである。

　なお、NERCは北米市場の電力システムの信頼性やセキュリティを確実にすることを目的として1968年に設立された組織。NERCは電力業界と連邦政府の間で重要インフラ問題に関する情報交換を調整する機能を担っている。NERCは米国とカナダで供給、利用される電力会社・機関のほとんどが加盟している。

PDD-63からHSPD-7へ

　2003年12月に国土安全保障に関する大統領指令7号（Homeland Security Presidential Directive-7：HSPD-7）を発行された。これは重要インフラ保護のための特定と、優先順位付けを目指す米国の国家政策を確立したものである。HSPD-7により、PDD-63は廃止された。HSPD-7はPDD-63の改訂版であり、ポスト9.11のDHS中心とした国家重要インフラ保護に置き換えることとなった。HSPD-7により、2004年7月までに連邦政府機関が所有、管理する重要インフラ保護計画がまとめられ、DHSによるレビューを受け、最終的にDHSがまとめる重要インフラ保護計画に反映することとされた。連邦政府機関ごとに対象とする重要インフラセクターは次のようになる。

• 農務省（農業と食糧）
• 保健福祉省（食糧）
• 環境保護局（上水道および下水道）
• エネルギー省（エネルギー（電力、ガス、石油）、但し商用の原子力施設は除く）
• 財務省（銀行および金融）
• 内務省（国家的モニュメントおよび象徴物）
• 防衛省（防衛産業基盤）
• 国土安全保障省（情報技術、通信、化学、運輸、ダム、政府施設、商業施設、
• 原子力施設（核物質と核廃棄物を含む）