ニュース
» 2018年08月29日 07時00分 公開

電力業界のサイバーセキュリティ再考(3):電力セキュリティ対策標準「NERC CIP」と、オバマ政権以降のセキュリティ政策動向 (1/2)

IoTの活用やデジタル化の進展に伴い、今後、電力業界でもさらに重要度が高まっているサイバーセキュリティ対策。本稿では、日本より取り組みが先行している米国において、北米の電力会社が行わなければならないセキュリティ対策を示した標準である「NERC CIP」について解説する。

[望月武志 デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員,スマートジャパン]

 NERC CIP(Critical Infrastructure Protection)とは、大規模発電および送電施設を対象としたサイバーセキュリティに関する義務的な標準である。前回紹介した2003年の北米大停電をきっかけに、「米国連邦エネルギー規制委員会(FERC)」から権限を委譲された民間団体の「北米電力信頼度協議会(NERC)」が策定を行っており、現在も北米の電力会社のセキュリティ対策の標準となっている。

 最初のNERC CIPサイバーセキュリティ標準Ver.1は、2006年3月に電力業界がVer.1を承認し、NERCがその基準を採択。その後、FERCが2008年1月にVer.1を採択するかたちで発行された。

 FERCは、2005年のエネルギー政策法(Energy Policy Act)より、基幹電力系統または電力網の信頼性を監視する権限を持つ。これにサイバーセキュリティの信頼性基準を承認する権限も含まれており、NERC CIP標準Ver.1は、「FERC Order No.706」として発行された。この最初の強制的なサイバーセキュリティ規制であるFERC Order No.706は、基本的なセキュリティ基準に重点を置いている。サイバー上重要な資産を定義して、資産ごとにコントロールクラスを制定。その管理プロセスを定義・文書化し、内容を順守することが義務付けられている。

 FERCはNERCに対し、懸案事項に対処するためにNERC CIPの内容について、定期的な更新を求めている。2009年9月にVer.2、2010年3月にVer.3、2012年4月にVer.4がFERCに承認された。Ver.4については、「FERC Order No.761」として2014年10月から施行される予定であった。しかし、NERCはVer.4の施行前である2013年1月にVer.5を提出し、FERCに承認を求めた。これは、アメリカ国立標準技術研究所(NIST)のリスク管理フレームワークを適用し、電力の安定供給に与える影響の大きさを、対象設備ごとに低、中、高の3段階で分類するという手法を加えたものだ。

 その結果、FERCはVer.4の採択を見送り、Ver.3からVer.5を適用できるようにロードマップを策定した。これを受け、2013年11月にVer.5を承認(「FERC Order No.791」を発行)した。2016年1月には、最新版となるVer.6がFERCに承認されている(「FERC Order No.822」)。最新版の主な改定内容は次の通りである。

  • 小規模の電力系統で使用される電子デバイスを保護対象とする
  • コントロールセンター間の通信ネットワーク機器を保護対象とする
  • 外部ルーティング可能な接続の定義の見直し

 だが、FERCはNERCに対して、リモートアクセスコントロールの有効性、リモートアクセス関連の脅威と脆弱性によるリスク、適切な軽減コントロールの評価について、調査するよう指示をしている。また、今回の改訂では制御システムのハードウェア、ソフトウェアおよびサービスのサプライチェーン管理の要件には対処していない。

 2016年7月にFERCはサプライチェーンのサイバーコントロール標準の開発を表明した。これはFERCがNERCに情報システムおよび関連する基幹電力系統のリスクを扱うサプライチェーンのリスク管理基準を策定するように指示し、基幹電力系統のサイバーセキュリティを改善するように求めたものだ。また、2015年12月のウクライナでの停電事故の脆(ぜい)弱性が生み出したと思われる、基幹電力系統の監視と制御を司る制御センターの保護に関するCIP基準を変更するための注意通告(Notice of Inquiry)を発行している。

 ドラフト版を含め、最新のNERC CIP標準Ver.6におけるセキュリティ対策項目は以下のとおりである。サイバーセキュリティに関する項目である「CIP-002」〜「CIP-013」を抜粋したが、CIP-001は労働者による生産妨害(サボタージュ)の報告、CIP-014は物理セキュリティに関する項目となっている。

 2017年8月のNERCコンプライアンス委員会の報告によると、2016年7月1日〜2017年7月1日までに発見された違反は、CIP-007で約150件、CIP-010で約90件、CIP-004で約80件となっており、年の推移でみると2014年(約800件)から2017年(約600件)の違反となっており、CIPのバージョンは異なるが、減少傾向である。また、2017年第3四半期(7月から9月)までに63件のCIP違反と他の信頼性基準を含め、4件の罰則通知があり、85万ドルの罰金が科せられている。

 2018年7月にNERCはサプライチェーンリスクの性質と複雑性を検討した報告書を18か月以内に採択するか否かを決議した。この報告書により、業界がサプライチェーンリスクにどのように対応できるかについての勧告を作成することとなる。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.