電力システムにおけるセキュリティ対策「NERC CIP」(前編):「電力」に迫るサイバーテロの危機(6)(4/4 ページ)
電力自由化やスマートメーター普及など、より効率的な電力供給が進む一方、「サイバーセキュリティ」が電力システムの重要課題になりつつある。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを解説する。第6回は北米の電力会社のセキュリティ対策の標準「NERC CIP」について紹介する。
チェックリスト方式の項目
実際のNERC CIP ver.5における順守すべき項目の例を見てみよう。図3は電子的セキュリティ境界内の重要サイバー資産に対するセキュリティ対策を示したCIP-007-05から「ポートとサービス」の項を抜粋したものである。左から順に、要件番号である「パート」「該当するシステム」が定義され「要件」には具体的に行うべき対策が書かれている。
ここでは、必要なポートだけアクセス可能な状態とすることが規定されている。そして、最後の「方策」では、この要件を守ったことを示すための証拠例がいくつか書かれている。電力会社が、NERC CIPを順守しようとした場合、保有する「該当するシステム」に対して、CIP-002-05〜CIP-011-01の各「要件」に適合する対策を行い、その証拠として、「方策」欄にあるものか、それに準ずるものを提示すれば良いということになる。このようなチェックリスト方式と呼ばれる標準は、順守する電力会社としては、対策を実施したかどうかが明確に判断しやすいという利点がある。
まとめ
今回紹介したNERC CIP ver.5は、いわゆる情報セキュリティのガイドラインとは異なり、電力の安定供給を主眼においたものだ。その安定供給に影響を与える重要システムを特定した上で、そのシステムに対する物理的、電子的アクセスに対する管理を行い、仮に攻撃を受けたとしても、適切なインシデント対応および復旧計画により、なるべく電力の安定供給を維持しようとすることを重視していることを示した。そして、NERC CIPは義務的な標準であることから、電力会社が順守しやすいように、守るべき項目が具体的であるチェックリスト方式となっていることを例とともに示した。
次回は、NERC CIPを運用する上での電力会社における体制面がどのようになっているのかについて紹介する予定だ。
関連記事
- 「電力」に迫るサイバーテロの危機
- サイバー攻撃からスマートメーターシステムをどう守るのか
電力自由化やスマートメーター普及など、より効率的な電力供給が進む一方、「サイバーセキュリティ」が電力システムの重要課題になりつつある。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを解説する。第5回は、スマートメーターシステムのセキュリティ対策例について紹介する。 - 電力大手も新電力も、既にサイバー攻撃の“的”にされている(前編)
サイバー攻撃で電気が止まる――。それが絵空事ではない状況になっている。サイバー攻撃の広がりが加速する中、“重要インフラ”についてのサイバーセキュリティが重要視されている。本稿では、名古屋工業大学 都市社会工学科で行われた「制御システムのサイバーセキュリティ」に関するワークショップの内容について紹介する。 - 電力網がサイバー攻撃されたらどうすべきか、先行する米国のセキュリティ対策事例
電力自由化やスマートメーターの普及など新たな電力システムの構築が進む一方で、サイバーセキュリティへの対策が重要視されている。現在、経済産業省の主導で進んでいる米国の事例を参考にしたセキュリティガイドラインの策定について、同ガイドラインの策定に関わるマカフィー サイバー戦略室の佐々木弘志氏が語った。
Copyright © ITmedia, Inc. All Rights Reserved.