2018年7月の「第44回NITSL(The Nuclear Information Technology Strategic Leadership)」にて、原子力発電所のサイバーセキュリティ・プログラムのベンチマーク結果が公表された。米国では現在23の事業者により原子力発電所が運営されているが、このベンチ―マークの結果はその約半数の事業者からの回答によるものだ。
これらのサーベイ結果から、次の知見が得られた。
2018年8月20日、NRCは原子力発電所のサイバーセキュリティ・プログラムである「RG 5.71」の改訂1の提案を発出した。提案された改訂1は、現行のバージョンの不備に対応するために発行以来の運用経験から学んだ教訓が組み込まれたものとなっている。具体的には今回の改訂では、
などから得られた洞察を確認して作成されている。
この改訂では、RG 5.71の元となった「NIST Special Publications(SP)800-53」の最新版も考慮されている。NRCは2010年10月に発行された原子力発電所の放射線防護および原子力安全に関する周辺機器(Balance of Plant:BOP)に該当するシステム、機器を今回の改訂1の対象とした。この決定は、これまでFERCのサイバーセキュリティ規制でカバーされていたデジタル資産が、NRCのサイバーセキュリティ規則「10 CFR 73.54」の対象となったことを意味する。既に原子力事業者はこの計画を受け、サイバーセキュリティ計画を更新して、BOPシステムを組み込んでいる。
また、今回の改訂には2015年に発行された連邦規則「10 CFR part 73.77」とそれに関するガイダンス「RG 5.83」も対応されている。このルールは、NRCへの通知を必要とするサイバー攻撃の種類、通知を行う適時性、原子力事業者が通知を行う方法およびフォローアップ報告書をNRCに提出する方法を明確にする要件を確立している。この改訂には、サイバーセキュリティ・イベント通知のための、NRCの指針への言及が含まれる。
上記で説明したようにさまざまな規制を通じて、米国の各原子力発電所は、サイバー脅威からの保護を確実にするために、以下の措置を講じている。
原子力発電所では、制御システムの特性でもある機器(コンポーネント)の多種多様性やシステムの複雑性への対処が避けられない。「NEI 08-09 Rev.6」は商用原子力発電所に特化した基準であるが、米国原子力業界で汎用品の活用やコンポーネントの標準化が進む米国ですら、プラントごとの個性があるため、一様に適用、導入は難しくなっている。したがって、重要なデジタル資産の識別やアセスメントから着手しなければならないが、「NEI 08-09 Rev.6」に規定されている実施項目が600を超え、個々のコンポーネントレベルの資産ごとにアセスメントを行っていては膨大な工数がかかってしまう。そうした状況を解決するためにコンポーネントのグループ化や依存関係の整理、設備の重要性の整理、アセスメント範囲の絞り込みと限定を行うためのテクニックが不可欠となる。そのために米国原子力業界では「NEI 08-09 Rev.6」を補完する「NEI 13-10 Rev.6」の基準作りを行った。また、それに伴い、原子力システム、機器エンジニアリング領域と「NEI 08-09 Rev.6」の基準に深い造詣を持つ専門家のサポートも必要となっている。
規制、基準の適用は、一過性のものではなく、継続的にPDCAを回して、信頼性を担保しなければならない。そのために「RG 5.71」改訂1版の提案および「NEI 08-09」の補遺の検討及び承認が行われている。時間の経過とともに設備自体の仕様変更による交換が発生するが、同時にサイバー攻撃の手法も高度化していく。だからこそ、常に変化し続ける脅威に立ち向かっていく姿勢や体制が求められる。ぜい弱性が新たに発見されることもあるため、サイバーセキュリティ対応を持続的かつ効率的に運用してくことが必要である。
デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員/デロイト トーマツ リスクサービス株式会社 シニアマネジャー
大手電力会社の技術職を長年務め、設備の運転・保守のシステム開発のプロジェクトに数多く携わり、電力インフラのサイバーセキュリティへの対応のため、制御システムのサイバーセキュリティ対策について、国内外の調査研究を行い、セキュリティの戦略立案/導入などに従事。現職ではプラント制御システムのセキュリティを主に担当。
Copyright © ITmedia, Inc. All Rights Reserved.