電力システムにおけるセキュリティ対策「NERC CIP」(後編):「電力」に迫るサイバーテロの危機(7)(4/4 ページ)
電力自由化やスマートメーター普及など、より効率的な電力供給が進む一方、「サイバーセキュリティ」が電力システムの重要課題になりつつある。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを解説する。第7回は前回に引き続き北米の電力会社のセキュリティ対策の標準「NERC CIP」について紹介する。
NERC CIPの意義
ここまで、NERC CIPを運用する上での電力会社の組織体制について紹介してきた。最後に、これと同様のことを日本国内で実現する場合に、何が重要となるかについて考察したい。まず、CISOを設置する場合に、一番重要なのはガバナンスが効かせられるかどうかである。要は、CISOが「電力システムに対するセキュリティポリシー」を決めたときに各部署が従う体制ができるかどうかである。これができなければ、CISOはただのお飾りになってしまう。
実は、米国では、10年前にNERC CIPが実施されたときに、それが義務的な基準であったからこそ、各部署がCISOに従うような体制を作らざるを得なかったという経緯がある。現在であっても、米国の電力会社内で、制御システムの部門と情報システムの部門にはセキュリティの考え方に大きな差があるという話も聞く中で、NERC CIPがなければ、このような体制やセキュリティ対策は進まなかったのだろうと思う。
個人的な考えでいえば、義務的な標準があるよりは、任意の公開されたガイドラインを駆使して、各社が経営リスクに応じたセキュリティ対策を実施する姿が望ましいとは思う。しかし、それは電力システムセキュリティに対する「文化」がないところでは機能しないと考える。つまり、セキュリティ対策に必要性を感じず、強制力もない環境では、「何もしない」ことが最適解になってしまう。このような文化がないところに文化を創ろうとした場合には、ある程度の強制力が必要だろう。
その意味で、NERC CIPは、米国の電力システムのセキュリティ文化を創ることには大きな貢献をしたと感じる。実際、ヒアリングした電力会社には、大規模、中規模問わず、情報システムと制御システムの双方に通じたセキュリティ担当者が存在した。この事実こそが、NERC CIP対応の必要性から、各電力会社で対応した組織体制ができ、10年かけて人材育成が進んだことを示す大きな証拠だろう。つまり、結果的に、NERC CIP は米国電力業界におけるセキュリティ文化の基礎を築いたのだ。もちろん日本国内では、米国ほど電力会社の数が多くないため、同じ枠組みが必ずしも有効ではないだろうが、業界において、ある程度の強制力を働かせることが、結果的に電力システムのセキュリティ文化の形成につながるという点は参考にできると考える。
次回は、最終回として、世界的な流れおよび日本国内の動向も含めて、電力システムのセキュリティのこれからについて、筆者が思うところを紹介したい。
関連記事
- 電力システムにおけるセキュリティ対策「NERC CIP」(前編)
電力自由化やスマートメーター普及など、より効率的な電力供給が進む一方、「サイバーセキュリティ」が電力システムの重要課題になりつつある。本連載では、先行する海外の取り組みを参考にしながら、電力システムにおけるサイバーセキュリティに何が必要かということを解説する。第6回は北米の電力会社のセキュリティ対策の標準「NERC CIP」について紹介する。 - サイバー攻撃による停電がウクライナで発生、電力網に迫る危機
ウクライナの保安庁は、電力会社がサイバー攻撃を受け、停電が発生していたことを明らかにした。 - 電力大手も新電力も、既にサイバー攻撃の“的”にされている(前編)
サイバー攻撃で電気が止まる――。それが絵空事ではない状況になっている。サイバー攻撃の広がりが加速する中、“重要インフラ”についてのサイバーセキュリティが重要視されている。本稿では、名古屋工業大学 都市社会工学科で行われた「制御システムのサイバーセキュリティ」に関するワークショップの内容について紹介する。 - 電力網がサイバー攻撃されたらどうすべきか、先行する米国のセキュリティ対策事例
電力自由化やスマートメーターの普及など新たな電力システムの構築が進む一方で、サイバーセキュリティへの対策が重要視されている。現在、経済産業省の主導で進んでいる米国の事例を参考にしたセキュリティガイドラインの策定について、同ガイドラインの策定に関わるマカフィー サイバー戦略室の佐々木弘志氏が語った。 - 連載『電力』に迫るサイバーテロの危機
Copyright © ITmedia, Inc. All Rights Reserved.