重要インフラのサイバーセキュリティ、米国はどう法整備を進めたのか：電力業界のサイバーセキュリティ再考（2）（3/3 ページ）

[望月武志 デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員，スマートジャパン]

重要インフラの定義を決めた「国家インフラ保護計画」

　その後2006年にDHSは、「国家インフラ保護計画（The National Infrastructure Protection Plan：NIPP）」を発行した。これは2009、2013年に改訂されており、2009年にこの対象となる重要インフラセクターとして18分野が以下のように指定されていたが、2013年に後述する大統領政策令21号（PPD-21）に合わせて、16分野に指定し直されている。

「国家インフラ保護計画（NIPP）」で重要インフラセクターとして指定されている16分野

　米国における重要インフラの定義は、製造業、化学産業、商業施設、政府施設など、幅広いジャンルが指定されている。分野を広く指定し、具体的な対策を行う施設や資源の優先順位などは、各分野（各主管省庁）で検討していく、という方針が取られていると考えられる。また、主管省庁の特徴として、国土安全保障省が指定されているものが多い（16分野中11分野）。これは、2002年の国土安全保障法により、国土安全保障省の設立にあたり、各省庁に分散していた組織が国土安全保障省に統合されたためである。

　また、電力セクター関しては、2006年にDOEが「エネルギーセクターにおける制御システムセキュリティ確保のためのロードマップ（Roadmap to Secure Energy Control System）」を発表している。このロードマップは2011年9月に改訂が行われている。この中では業界、ベンダー、学会、連邦政府機関が安全なエネルギー供給を開発していくための戦略的な枠組みの概要が示されている。

• セキュリティの文化の構築、醸成
• リスク評価および監視
• リスクを低減するための新しい防護措置の開発と導入
• インシデントマネジメント
• 持続的セキュリティの改善

　2007年5月にエネルギー政府調整協議会（DHS、DOE）は電力・ガス・石油の国家インフラ保護計画への提言として、分野別計画（Sector-Specific Plan：SSP）を策定した。SSPは2006年にDOEが発行したNIPPの改訂と合わせて、2010、2015年に改訂版が出されている。

　なお、現在、エネルギー分野をはじめ、化学分野、商業施設分野、通信分野、重要な製造業分野、ダム分野、防衛産業基盤分野、緊急サービス分野、金融分野、食糧および農業分野、政府施設分野、医療および公共衛生分野、情報技術分野、原子力施設など分野、交通および物流分野、上水道および下水道分野の分野別計画がDHSのサイトで公開されている。

　また、現在の米国におけるエネルギー重要インフラセクターのステークホルダーをまとめると、次のようになる。

米国におけるエネルギー重要インフラセクターのステークホルダー　出典：デロイトトーマツ

　2009年に就任したオバマ大統領は「サイバースペース政策」の見直しに着手し、連邦政府におけるサイバーセキュリティ政策と企画を担当するサイバーセキュリティ調整官を設置した。それ以降、連邦政府の重要インフラに関連するサイバーセキュリティに対しての具体的な取り組みは、2013年2月に出されることとなる大統領令13636号（EO-13636）および大統領政策令21号（PPD-21）まで待たなければならない。

　2013年2月までの電力セクターに関する動向としては、2010年1月にNISTが「フレームワークおよびロードマップ（NIST Framework and Roadmap for Smart Grid Interoperability Standards）」を発行し、その中でスマートグリッドの各種標準を開発する枠組みを公表。2009年9月に発行された「スマートグリッドのサイバーセキュリティ戦略と要件（DRAFT NIST IR 7628 Smart Grid Cyber Security Strategy and Requirements）」を、2010年8月にスマートグリッド向けのサイバーセキュリティ対策として刷新し「スマートグリッドのサイバーセキュリティに関するガイドライン（Guidelines for Smart Grid Cyber Security,NIST IR7628）」の第1版として発行した。

　また、2010年9月にDHSが「国家サイバーインシデント対応計画（National Cyber Incident Response Plan：NCIRP）」を策定。これに基づいたサイバー演習（Cyber Storm）が実施されている。NCIRPはこの後も改訂を行い、2016年12月に最新版が公表されている。さらにサイバーインシデント計画対応に基づき、2016年7月に大統領政策令41号（Presidential Decision Directive：PPD-41）により連邦政府の対応を規定する原則として定めることとなった。この中にはサイバーインシデントの深刻度判断基準が定められている。

　2011年9月にDOEは、国立標準技術研究所（National Institute of Standard and Technology：NIST）、北米電力信頼度協議会（North American Electric Reliability Council NERC）と連携して「電力業界におけるサイバーセキュリティリスク管理プロセス（Electricity Subsector Cybersecurity Risk Management Process）」ガイドラインのドラフトを発表し、2012年5月に公表された。このガイドラインは組織のすべてのレベルでサイバーセキュリティリスクを管理するためのアプローチとなっている。このガイドラインはNIST SP800-39（Managing Information Security Risk）を基礎として提供されている。

　ここまでは米国における重要インフラの一つの分野として電力分野のサイバーセキュリティの強化への取り組みを行ってきた。現在も連邦政府の取り組みは進展を続けており、それに沿った対応が求められることになる。

　次回は北米の電力会社が行わなければならないセキュリティ対策を示した標準であるNERC CIPについて解説する。

著者プロフィール

望月　武志（もちづき　たけし）

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員／デロイト トーマツ リスクサービス株式会社 シニアマネジャー

大手電力会社の技術職を長年務め、設備の運転・保守のシステム開発のプロジェクトに数多く携わり、電力インフラのサイバーセキュリティへの対応のため、制御システムのサイバーセキュリティ対策について、国内外の調査研究を行い、セキュリティの戦略立案／導入などに従事。現職ではプラント制御システムのセキュリティを主に担当。