電力システムにおけるリスク分析の方法論:「電力」に迫るサイバーテロの危機(4)(2/3 ページ)
電力自由化やスマートメーター普及など、より効率的な電力供給が進む一方、「サイバーセキュリティ」が電力システムの重要課題になりつつある。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを解説する。第4回は、セキュリティガイドライン「NIST IR 7628」について紹介する。
2.リスクアセスメントの実施
このフェーズでは、1のユースケースシナリオの分析をもとに、スマートグリッドにおけるシステムの脆弱性の検討、リスクの影響度について検討する。
NIST IR 7628では、リスクアセスメントを実施するための対象システムを22個のカテゴリに分類している。その分類方法は、まず、スマートグリッドにおいてセキュリティ対策を考慮すべき構成要素(事業体を含む)を洗い出し、その要素間の論理的な通信(やりとり)についても洗い出して、大きな全体像を形成する(図1)。
その後、セキュリティ要件を決める上で似たインタフェースを持つものを分類して同じカテゴリに集約している。例えば、論理インタフェースカテゴリNo.18「メータリング装置間のインタフェース」(図2)は、メータリングに関する事業体、装置について、サブメーターとメーター間、PEV(プラグインハイブリッド車)メーターとエネルギーサービス事業者間における通信のリスクを分析するためのカテゴリであり、全体の構成図からメータリング装置のインタフェースに関わる部分が抽出されている。
これらの22個のカテゴリについて、図3に示したように、機密性、完全性、可用性に関するリスク分析が行われている。例えば、No.18の例では、メータリングに関する内容なので、先のAMIのユースケース分析でもあったように、完全性が「H」と最重視されており、機密性が「M」、可用性が「L」と定義されている(図3)。
Copyright © ITmedia, Inc. All Rights Reserved.