電力網がサイバー攻撃されたらどうすべきか、先行する米国のセキュリティ対策事例：電力供給（2/3 ページ）

電力自由化やスマートメーターの普及など新たな電力システムの構築が進む一方で、サイバーセキュリティへの対策が重要視されている。現在、経済産業省の主導で進んでいる米国の事例を参考にしたセキュリティガイドラインの策定について、同ガイドラインの策定に関わるマカフィー サイバー戦略室の佐々木弘志氏が語った。

[陰山遼将，スマートジャパン]

リスクベース型のアプローチを組み合わせた対策を

　電力制御セキュリティに関するガイドラインについては2種類のアプローチがあるという。1つが守るべき項目が明確になっている「仕様詳細規定型（チェックリスト型）」で、もう1つがセキュリティリスクに焦点を当てて分析を行う「リスクベース型」だ（図2）。

図2 「仕様詳細規定型アプローチ」と「リスクベースのアプローチ」の概要（クリックで拡大）出典：マカフィー

　CIPは発電、送電設備向けのセキュリティガイドラインで、アプローチとしては仕様詳細規定型のガイドラインとなる。順守しない企業には罰金が科される仕組みだ。仕様詳細規定型のガイドラインは、導入する手法や機能などが明確である一方で、想定されるリスクを包含する形にはなっていないので、あくまでもベースラインとしての役割を果たす。佐々木氏は米国におけるCIPの位置付けについて「あくまでもベースとなるコンプライアンスという認識。最低限のコンプライアンスを守るだけでは、セキュリティ対策として十分ではない」と述べる。

　そこで佐々木氏がポイントとして挙げるのが、リスクベース型ガイドラインを組み合わせて活用するということだ。リスクベース型とは、システムが攻撃を受けた場合、どのような被害や影響が及ぶ可能性があるのかという「リスク」に基づき、それに応じた対策を行うアプローチだ。特に電力などの重要インフラについては、データの書き替えなどに関する「完全性」、どれくらい設備が停止する可能性があるかといった「可用性」を重視した対策を行う場合が多いという（図3）。

図3 リスクベース型アプローチの概要（クリックで拡大）出典：マカフィー