原子力発電のサイバーセキュリティ対策、米国ではどう進んだのか：電力業界のサイバーセキュリティ再考（3）（3/5 ページ）

[望月武志 デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員，スマートジャパン]

NRCによる「REGULATORY GUIDE 5.71」の策定

　その後、NRCは「10 CFR Part 73.54」記載の要求事項を実施するための手引きとして、「Regulatory Guide 5.71　原子力施設のサイバーセキュリティ・プログラム（Cyber Security Programs for Nuclear Facilities）」を作成し、公開した。

　「RG 5.71」は原子力発電所向けに作成され、以下の機関によって公開されているサイバーセキュリティの基準・標準に基づいている。特にNIST SP800-53 Rev.3の章立てを参考にしている。

• 米国立標準技術研究所（National Institute of Standards and Technology, NIST）
• 米国国土安全保障省（U.S. Department of Homeland Security, DHS）
• 米国電気電子学会（Institute of Electrical and Electronics Engineers, IEEE）
• 国際計測制御学会（International Society of Automation, ISA）

　「RG 5.71」には、サイバーセキュリティ計画（CSP）を策定する際の手引きとして、原子力事業者が利用可能なテンプレートも含まれている。NRCは規制の策定にあたって、二重規制にならないように連邦エネルギー規制委員会（Federal Energy Regulatory Commission：FERC）と議論を行っている。

　米国の原子力発電所のサイバーに関わる関連組織は以下の図のようになる。

米国の原子力発電に関わるサイバー関連組織

原子力産業界によるサイバーセキュリティに関する取り組み

　原子力分野におけるサイバーセキュリティの対応が開始されたことから、米国の原子力発電業界は原子力発電所をNRCの要求事項に適合させることができるように、一連の手引きを作成した。

　手引きの1つが、米国原子力エネルギー協会（Nuclear Energy Institute, NEI）によって開発されたプログラム「NEI 04-04 Rev.1 」（原子力発電のためのサイバーセキュリティ・プログラム：Cyber Security Program for Power Reactors）だ。2005年12月（「RG 5.71」や「10 CFR Part 73.54」が公開される前）にNRCは、このプログラムを十分可能な手法であることを通知（承認）した（「NEI 04-04」は一般には非公開）。

　「NEI 04-04 Rev.1」の発行に続いて、原子力発電所の内部および外部からのサイバー攻撃に対する施設の安全性をより高めるため、原子力事業者は、セキュリティ強化の対象の特定・対策実施に取り組んだ。ただその中で、「Regulatory Guide 1.152」（原子力発電所におけるコンピュータの使用に関する基準：Criteria for Use of Computers in Safety Systems of Nuclear Power Plants）と「NEI 04-04, Rev.1」の記載内容に、差異があることが判明した。

　2006年10月、NRCとNEIおよび原子力発電業界の代表者は、この内容の差異を解決する方法について検討した。しかしながら、「NEI 04-04 Rev.2」の完成間際になって、「NEI 04-04 Rev.2」は、2009年3月に発出された「10 CFR Part 73.54」や2010年1月に発出された「RG 5.71」の要求事項に合致させるように作成されたのではなく、「Regulatory Guide 1.152」を参考にして作成されたことが判明した。このため、原子力発電業界では「10 CFR Part 73.54」や「RG 5.71」の要求事項に合致させるために「NEI 08-09」の策定を行い、2010年4月、NRCによる「RG 5.71」とは別に「NEI 08-09 Rev.6」（原子力発電所のサイバーセキュリティ計画：Cyber Security Plan for Nuclear Power ReactorsがNEIから発行された。

　「NEI 08-09 Rev.6」にも、レビューと認可を実施するために、サイバーセキュリティ計画をNRCに提出する際に原子力発電所で使用可能なテンプレートが提供されている。当該文書には「10 CFR Part 73.54」の規定された設備を守るために使用されるサイバーセキュリティ・コントロールといった添付資料も含まれている。「NEI 08-09 Rev.6」は「RG 5.71」と同様に米国の各省庁・機関により公開されているサイバーセキュリティの基準・標準に基づき、作成されている。

　NRCは「NEI 08-09 Rev.6」が、「10 CFR Part 73.54」に記載されている要求事項を満たし、原子力発電所のサイバーセキュリティ対応に耐え得ると判断し、NEIに通知した。その結果、「NEI 10-04　Rev.2」（サイバーセキュリティ規則に従うシステムと設備の特定：Identifying Systems and Assets Subject to the Cyber Security Rule）は、「10 CFR Part 73.54」の要求事項に従って保護されるべき重要システムおよび重要デジタル資産の特定に関する手引きとして、NEIから発行された。

　その後「NEI 10-09」（原子力発電所におけるサイバーセキュリティ・コントロールの実施：Addressing Cyber Security Controls for Nuclear Power Reactors）が作成され、サイバーセキュリティ・コントロールを実施するための手法に一貫性をもたせるようにした（「NEI 10-09」は一般には非公開）。

　2013年にNRCが「NEI 13-10 」（サイバーセキュリティ・コントロール・アセスメント：Cyber Security Control. Assessments）を承認した。これは、原子力事業者の重要デジタル資産（Critical Digital Assets：CDAs）に対するサイバーセキュリティー・コントロールの実施に、結果ベースのアプローチを導入するための指針を提供するため、NEIによって開発されたものである。なお、最新版は2017年2月に発行されたRev.5になる。