サイバーセキュリティとは?電力分野の充実調査REPORT

今回の企画書は、コンピュータセキュリティ関連のソフトウェアとハードウェアのメーカーとしては世界一の規模を誇るマカフィーの制作です。

ブルース・ウィルス主演のヒット映画『ダイ・ハード2』では、ハッキングすることで発電所の電力を盗むハッカーが登場しますが、重要な社会的インフラである電力システムの安全性の確保は重要なITテーマでもあります。

社会インフラへのサイバー攻撃は、テロや紛争でも十分起こりうるリスクであり、EU等の取り組みは非常に参考になります。

 

発電施設に対するサイバー攻撃のリスクは高まっている

◆IPACSS2017「社会インフラ及び産業基盤のサイバーセキュリティ対策を担う人材育成、活用について考える」

◆三菱重工サイバー攻撃 中国が関与か

 

【目次】
1. 今回の企画書の特徴
2. 『平成30年度産業保安等技術基準策定研究開発等事業(電気分野におけるサイバーセキュリティ対策国際調査)
報告書』から学ぶ

0.表紙
1.調査の背景と目的
2.調査の内容と方法
3.調査結果
4.考察
5.提言

 

1. 今回の企画書の特徴

今回の企画書は、日本の電力分野におけるサイバーセキュリティについてあるべき姿が描かれています。ポイントとなるキーワードを、以下に記します。

・データのつながりから新しい付加価値を創出
・Connected Industries
・サイバー攻撃
・サプライチェーン
・スマートメーターシステムセキュリティガイドライン
・電力システムへのセキュリティレベルの維持向上
・EUのNIS指令
・スマートメータの設置
・OES のセキュリティ要件
・インシデント報告義務
・セキュリティポリシー

 

2. 『平成30年度産業保安等技術基準策定研究開発等事業(電気分野におけるサイバーセキュリティ対策国際調査)』から学ぶ

では、マカフィー株式会社が作成した企画書を以下具体的に見ていきましょう。

表紙

目次

1. 調査の背景と目的

経済産業省では、我が国の産業が目指すべき姿として、様々なデータの「つながり」から新たな付加価値を創出していく「Connected Industries」という概念を提唱し、その実現に向けた取組を推進している。

その一方で、「Connected Industries」を始めとするネットワーク化の進展は、悪意のある者にとって新たな攻撃の機会ともなっていくおそれがある。サイバー攻撃の起点は急激に拡大し、攻撃の手法も高度化しており、サイバー攻撃の脅威は、あらゆる産業活動に潜むようになっている。

今や、サプライチェーン全体、産業界全体の取組として、サイバーセキュリティ対策を強化していかなければならない。

電力分野でのサイバーセキュリティについては、産業構造審議会保安分科会電力安全小委員会電気設備自然災害等対策ワーキンググループ中間報告書(平成26年6月)において、セキュリティ対策の実効性を高めるために、国が中心となって、その枠組みを検討していくことが必要であるとの提言がなされ、平成26年度事業(平成26年度電気施設技術基準国際化調査(電気設備)以下、「H26国際化調査」という。)、平成27年度事業(平成27年度電気施設保安制度等検討調査(電気設備技術基準国際化調査)以下、「H27 国際化調査」という。)で諸外国のサイバーセキュリティ対策の調査を行った。

平成28年3月にはスマートメーターシステムセキュリティガイドライン、平成28年5月には電力制御システムセキュリティガイドラインを日本電気技術規格委員会(以下 「JESC3」という。)が策定し、平成28年9月には、これらのガイドラインを電気事業法下の技術基準と保安規程に取り込んだ。

また、平成29年3月には、民間の電気事業者間のサイバーセキュリティに関する情報共有及び分析を行う組織「電力ISAC」が設立される等、官民の間で様々なサイバーセキュリティ対策が行われてきたところである。 加えて、我が国の電力システムへのセキュリティレベルの維持向上を図るためには、既に我が国にある仕組みや、進行中の電力システム改革の流れと合わせる必要がある。そこで今回、電力自由化やセキュリティ対策が我が国よりも先行している欧州のサイバーセキュリティ対策の現状を調査し、セキュリティ対策の実効性を高める枠組みを検討した。

2. 調査の内容と方法

本調査では、サイバーセキュリティ対策の法的枠組みと具体的な対策の実施内容・基準(見直しの方法を含む)、及び実施状況の確認方法(確認主体、確認手法、確認の間隔等)を中心に、電力分野におけるサイバーセキュリティに関する国際的な動向等に関する調査を行った。調査方法としては、以下の3つである。

①文献やWEB等の公開資料(外国政府機関や国内外の企業等の報告書、国内外の専門誌等)の調査
欧州(EU、イギリス、ドイツ、フランス)と米国について調査を行った。

②有識者へのヒアリング調査
電力分野を含む重要インフラセキュリティに詳しい有識者2名にヒアリングを実施した。

③欧州関連政府機関、団体、企業等を訪問・ヒアリング調査
イギリス、ドイツ、フランスに訪問してヒアリング調査を行った。

3. 調査結果1

3. 調査結果2

3.1.1. EU

【1. NIS 指令(EU 2016/1148)】
EU加盟国に対するサイバーセキュリティに関する指令で、主に以下の項目の法制化を定めている
1. サイバーセキュリティ戦略の策定
2. 重要インフラ事業者の定義
3. 重要インフラ事業者のセキュリティ対策義務
4. 重要インフラ事業者のセキュリティ事故報告義務
5. 国家 CERT32の設立、及びCERT間の連携強化
【2. 重要インフラセキュリティ対策参照書】
NIS協議会が策定した、重要インフラ事業者がNIS指令の14条を実現するための最低限のセキュリティ対策一覧
【3. 特定セクター用NIS指令セキュリティ要件マッピング】
重要インフラの各セクター向けに、NIS指令の要件を他の標準とマッピングしたもの。電力も含まれている
【4.重要インフラ事業者向けNIS指令セキュリティ要件アセスメントガイド】
EU 諸国の重要インフラ監督官庁に向けた監査実施ガイド規制ではない

EUでは、重要インフラ防護の目的で、2016年7月にNIS指令が施行され、EU加盟国は、2018年5月9日までに、NIS指令に対応する法整備を国内で行うことが義務付けられることになった。

NIS指令においては、重要インフラ事業者(OES34)として、電力業界が規制対象になっており、その対象事業者は、表 3.1.1.2 のように定義されている。表中の「供給」事業者は、小売り事業者、発電事業者を含んでいる。欧州ではスマートメータの設置が小売業者の責任となる場合がある国があることが考慮されていると考えられる。

【エネルギー/電力】
最終消費者を除く電気事業者で、「供給」を担う事業者。「供給」とは電力を販売または再販する事業者を指す。

3.1.1. EU

NIS 指令の4部14章では、OESのセキュリティ要件とインシデント報告義務を規定しているが、対策については、リスク管理、防護、被害の最小化などを実現するための対策を実施する大方針が書かれているのみである。

NIS指令で創設された、各国の代表や欧州情報ネットワークセキュリティ庁(ENISA)のメンバーで構成される Cooperation Group(協議会)が策定した資料(重要インフラセキュリティ対策参照書)において、14章の大方針を実現するための最低限のセキュリティ要件(4分類11要件)がまとめられた(表 3.1.1.3)。

同じく4部15章では、14章の要件の効果的な実施を行うため、監督官庁は、事業者のシステムを評価するために必要なセキュリティポリシーなどを提供し、監督官庁または認定監査人が、そのポリシーが効果的に実装されているかを確認するためのセキュリティ監査を行うことが定められており、監査で問題があった場合には、事業者に対して、拘束力のある改善指示を行うこともある。

◆NIS指令におけるセキュリティ対策要件(表 3.1.1.3)
【1. 統制とエコシステム/Governance and Ecosystem】
・情報システムセキュリティ統制とリスク管理(Information System Security Governance & Risk Management)
・エコシステム管理(Ecosystem Management)
【2. 保護/Protection】
・情報セキュリティ構造(IT Security Architecture)
・情報セキュリティ運用管理(IT Security Administration)
・ID アクセス管理(Identity and access Management)
・情報セキュリティ保守(IT Security Maintenance)
・物理及び環境セキュリティ(Physical and environmental security)
【3. 防御/Defense】
・検知(Detection)
・コンピューターセキュリティ事故管理(Computer Security Incident Management)
【4.レジリエンス/Resilience】
・運用継続(Continuity of operations)
・危機管理(Crisis management)

NIS 指令内には、各業界のセキュリティ要件の詳細や監査の具体的な進め方については記載がない。しかし、EU諸国のNIS指令の実装をサポートする目的で、ENISAが、「特定セクター用NIS指令セキュリティ要件マッピング」と、「EU諸国の重要インフラ事業者監督官庁のための監査ガイド」を発行している。

法的権限のないENISAが発行するガイドのため、EU諸国に対する法的な拘束力はない。「特定セクター用 NIS 指令セキュリティ要件マッピング」では、電力業界を含むエネルギー業界や、交通業界などに対して、NIS指定のセキュリティ要件(4分類11 要件)と一般的な標準との対応表を示している。電力において参照する標準には、「NIST SP800-8238」「ISO2701939」「NERC CIP Ver.5」が主要なものとして取り上げられている(表3.1.1.4)。

3.1.1. EU

また、「EU諸国の重要インフラ事業者監督官庁のための監査ガイド」では、電力業界に限らず、EU諸国の監督官庁が、NIS指令の4部5章に規定された監査を実施するための方法と国際標準とのマッピングが示されている。

監査を受ける側のOESの自己評価ツールとしても活用できる。具体的な監査手順は、順に「事前監査/計画」「監査実行/実地調査」「監査後」の3フェーズに分けられる(表 3.1.1.5)。また、用いる監査フレームワークとして、「ISO27001」、「COBIT540」、「IEC6244341」が例として挙げられている。

◆EU 諸国の重要インフラ事業者監督官庁のための監査ガイドの3つの監査フェーズ
【1. 事前監査/計画】
・監査実施のための必要な情報収集・監査対象システムの設定(IT及びOT)、計画・成果物の定義など
【2. 監査実行/実地調査】
・採用した監査手法をもとに監査を実施し、システムの脆弱性を発見
【3. 監査後】
・発見された脆弱性の分析、原因をもとに、推奨対策とリスク軽減策および最終報告書を作成

3.1.2. イギリス

◆イギリスの電力業界向けサイバーセキュリティ対策の法規制等(表 3.1.2.1)
【1. NIS 規制 2018】
・NIS指令に伴うイギリス内での法律化。内容はNIS指令に順ずるが、業界ごとに重要インフラ事業者となるしきい値が定められている
【2. サイバー評価フレームワーク(CAF42)】
・NIS指令の4部14 章を実現するための施策として、イギリスにて独自策定したセキュリティ評価ツール採用した監査手法をもとに監査を実施し、システムの脆弱性を発見
【3. 下流ガスと電力業界向け監督官庁ガイド】
・ガス電力市場局のエネルギー業界向け監査手法についての説明。自己評価(2019/2/5)→改善プラン(2019/4/30)→監査日程検討(2019/Q3)→監査開始(2019/Q4)インシデント報告義務についても規定

イギリスの重要インフラ政策は、2016年に、政府通信本部(GCHQ)配下に国家サイバーセキュリティセンター(NCSC44)を創設し、政府内に分散していたサイバーセキュリティに関する機能(CESG45, CERT-UK, CPNI46など)を集約して以降、これまでの民間の自主性を尊重する方針から、政府の関与を強める方向へと変わってきている。

NIS指令の発効(2018年5月10日)にあわせて、イギリス政府は「NIS規制2018」を策定し、重要インフラ事業者に対するセキュリティ対策やインシデント報告の義務化など、EUのNIS指令に対応する法制化を行った。

「NIS規制 2018」において、電気事業者に対しても、NIS指令と同様に対象事業者が決められている(表 3.1.2.2)。NIS指令では、対象事業者のしきい値は設定されていなかったが、イギリスでは25万顧客にサービスを提供する事業者であることが基本的なしきい値となっている(顧客は、人口ではなく、契約数であることに注意)。

3.1.2. イギリス

イギリスでは、この「NIS規制2018」をもとに、NCSCから、重要インフラ事業者に対して、NIS指令の4部14章を実現するために、事業者が活用する評価ツールである「サイバー評価フレームワーク(CAF)」が発表された。NIS Cooperationの発表した「重要インフラセキュリティ対策参照書」と同様に、NIS指令を達成目的するための4項目と14指針を示しており、類似点が多くみられるが、個別の項目は同じではなく、NCSCが独自に作成したものである(表 3.1.2.3)。

またCAFでは、14指針を実現するために、14指針それぞれに合計39項目の対策が紐づいている。さらにその項目ごとに対策の実施例が示されているが、それらはあくまで実施例で、4項目14指針を実現するための手段として捉えられている。

◆NISの達成目的とNIS基本指針
【A. セキュリティリスク管理/Managing security risk】
・A1/ガバナンス (Governance)
・A2/リスク管理(Risk management)
・A3/アセット管理(Asset management)
・A4/サプライチェーン(Supply chain)
【B. サイバー攻撃に対する保護/Protection against cyberattacks】
・B1/サービス保護のためのポリシーと手順(Service protection protections and policies)
・B2/ID とアクセス管理(Identify and access control)
・B3/データセキュリティ(Data security)
・B4/システムセキュリティ(System security)
・B5/ネットワークとシステムのレジリエンス化(Resilient networks and systems)
・B6/要員意識啓発とトレーニング(Staff awareness and training)  
【C. サイバー攻撃の検知/Detect cyber security incidents】
・C1. セキュリティ監視(Security monitoring)
・C2. 自発的セキュリティイベント発見(Proactive security event discovery)

3.1.2. イギリス

CAFは、監督官庁ではない NCSCから発表されているため、規制ではないが、2018年11月に、電力業界(エネルギー業界)の規制官庁である Ofgemより発表された「下流ガスと電力業界向け監督官庁ガイド」では、重要インフラ指定を受けた電力会社(OES)に対して、CAFに従った自己評価を行い(2019年2月15日)、改善計画をOfgemに提出し(2019年4月30日)、Ofgemが監査及び点検スケジュールを立案し(2019年第3四半期)、監査及び点検を実施する(2019年第4四半期)という計画が示されている(図 3.1.2.4)。

また、ガイド内では、監査にあたっては、Ofgemまたは第三者の認定事業者(事業者リストは未定)が監査を実施する予定となっていて、監査費用やそれにかかる準備は電力会社が負担することになっている。

「H27 国際化調査」時点のイギリスでは、電力業界を含む重要インフラセキュリティ政策において、規制を行わず、事業者の自主性に任せる方向性を示していたが、2016年以降、セキュリティ機能をNCSCに集約し、NIS指令を受けて、Ofgemが電気事業者に関して監査・点検を行う発表をしていることから、政策の方向性に変化が見られており、今後の動向が注目される。

3.1.3. ドイツ

ドイツでは、NIS指令発効以前の2015年7月に、「ITインフラの安全性向上のための法律」が成立し、重要インフラ事業者(エネルギー、情報技術、通信、運輸、衛生、水、食糧、金融)に対して、サービス維持を目的としたセキュリティ対策の義務化が行われた。この法律において、BSIが中心となり、監督官庁と協力して、重要インフラ事業者に対するセキュリティ対策を推進することが定められた。重要インフラ事業者は、セキュリティ対策を実施しているかの監査や認証等を受けた結果をBSIに2 年ごとに報告すること、及びセキュリティインシデント発生時のBSIへの報告が義務付けられた。

その後、2016年4月には「BSI重要インフラを決定する法律」が成立し、対象となる重要インフラ事業者が定められた。ドイツの重要インフラ事業者を決定する基本的な考え方として、50万人(顧客ではないことに注意)にサービスを行っているかどうかがしきい値となっている。電気事業者もその考え方に基づいて対象となる事業者が決められている(表 3.1.3.2)。この時点で NIS指令は発効していなかったが、重要インフラ事業者の指定と、そのセキュリティ対策の義務化、セキュリティインシデントの報告義務が法制化されたため、その実施要件を充たしたといえる。

3.1.3. ドイツ

ドイツにおける電力業界のセキュリティ規制は、2011年4月に改正されたエネルギー法11条(1a)を法的根拠としている。このエネルギー法に基づき、BSIの協力のもと監督官庁であるBNetzAが策定した「ITセキュリティカタログ」が、電力送配電事業者の順守すべきセキュリティ対策である。

この「ITセキュリティカタログ」では、送配電サービス提供に影響を与える通信やデータ処理システムに対して、ISMS52(ISO/IEC27001)に沿ってセキュリティ管理のPDCAを回す仕組みを整えることに加え、具体的なセキュリティ対策として、ISO/IEC 27002 及びエネルギー業界向けの ISO/IEC27019 を実装することが順守対象となっている。

ドイツの全ての送配電電気事業者は、2018年1月31日までに、ドイツ認定評議会(DAkks53)が認定した認証機関より、監査を受け認証を取得し、BSIに証明書を提出することが求められた。

監査手法については、順守対象がISMSの標準であるため、一般のISMS監査に順ずるものと思われるが、制御システムにおける実施方法などの具体的な監査方法については、公開されていない。

注意すべきは、この「ITセキュリティカタログ」は、重要インフラ保護政策の一環である「ITインフラの安全性向上のための法律」とは別の施策であるため、例えば、年間電力消費量が 3,700 GWh 以上の送配電事業者は、BSIへ2年毎に、「ITセキュリティカタログ」の順守状況の報告(認証取得)や、BSIへのセキュリティインシデント報告の義務などが課せられる。

3.1.4. フランス

フランスでは、NIS指令発効以前の2013年12月に、国防戦略の一部として、法律「LOI n° 2013-1168」(別名:CIIP55法)が成立し、重要インフラ事業者(OIV)は、国防のためにセキュリティ対策を実施することと、国防安全保障局(SGDSN56)の配下にある ANSSI、他の州のサービス、または認定委託事業者による監査を受けることの義務が定められた。

具体的なセキュリティ対策や監査の方法についてはこの時点で決まっていないものの、適切なセキュリティ対策を行わなかった場合には、15万ユーロの罰金が課される旨の記載がある。

その後、2015年5月に発令された、政令「Décret n° 2015-351」では、OIV である事業者は、重要情報システムのリストを作成し ANSSIに提出し、その重要情報システムに影響を与える可能性のあるセキュリティイベントを検知する仕組みを導入することが義務付けられた。

この検知システムは、ANSSI、他の州のサービス、または認定委託事業者によって提供される。また、この政令では監査の手法についても CIIP法よりも詳しい記載があり、あるシステムに対する監査は最低1年の間隔をあけることや、監査人に対して、「セキュリティ監査に必要な情報(機器やソフトウェアの技術文書、ソフトウェアのコード等)」及び「システム分析のために、対象システム及びすべてのコンポーネントに対してアクセスする手段」を提供することが求められている。

CIIP法及び政令「Décret n° 2015-351」には、電気事業者特有の記載はないが、フランスでは、他の欧州の国のように電力自由化が進んでおらず、もともと完全な国営で現在でも大半の株式を国が保有するフランス電力(EDF59)が、フランス国内における発電、送電、配電のサービスの大半を担っており、最も重要な OIV 事業者の一つであることは間違いないと考えられる。

NIS指令に合わせて策定された、法「LOI n° 2018-113」、政令「Décret n° 2018-384」において、NIS指令に順ずる内容が記載されており、対象となる電気事業者の定義も行われているが(表3.1.4.2)、他国のようなしきい値の指定はない。

3.1.4. フランス

参考までに、SGDSN が2017年1月に公開しているレポート60によると、重要インフラ事業者の総数は12セクター253事業者、重要情報システムの登録数は 1,381となっており、エネルギー事業者(電力、石油、ガス)は31事業者となっている。

ANSSIは、重要インフラ事業者向けに20カテゴリに及ぶ「サイバー衛生対策(Cyber Hygiene measures)61」を公開しているが、20カテゴリの紹介のみで具体的な対策の詳細の記述はない。

また、電気事業者に特化したセキュリティ対策や監査の手法については、現時点では公開されていない。しかし、法と政令では、かなり厳しい監査の実施の記載があるため、何らかの方法で監査実施をしているものと思われる。

◆フランスの重要インフラセキュリティ対策「サイバー衛生対策項」(Cyber Hygiene measures)
・情報保証ポリシー(Information assurance policies)
・ネットワークマッピング(Network mapping)
・セキュリティ保守(Security maintenance)
・セキュリティ認定(Security accreditation)
・ログ取得(Logging)
・ログ相関分析(Logs correlation and analysis)
・検知(Detection)
・セキュリティインシデント処理運用(Security incidents handling)
・セキュリティ警告処理運用(Security alerts handling)
・危機管理(Crisis management)
・ID特定(Identification)
・認証(Authentication)
・アクセス制御と権限管理(Access control and privileges management)
・管理者アクセス制御(Administration access control)
・管理システム(Administration Systems)
・システムとネットワークの区分分け(Segregation in systems and networks)
・トラフィック監視とフィルタリング(Traffic monitoring and filtering)
・リモートアクセス(Remote access)
・システム設置(Systems set up)
・痕跡情報(Indicators)

3.1.5. 米国

◆米国の電力業界向けサイバーセキュリティ対策の法規制等(表3.1.5.1)
【1. 連邦電力法215/215A】
2005 年エネルギー政策法(Energy Policy Act of 2015)によって、連邦電力法に215条が追加された。215条では、電力信頼度機関(ERO63)に指定された機関は、大規模電力システムをもつ事業者に対して標準を策定して強制させることが定められた。2015年12月には、215A条が追加され、緊急事態における電力システムのセキュリティとレジリエンスの改善や重要な電力システムの情報を保護することなどが義務付けられた
【2. FERC指令706号】
大規模電力システムをもつ電力会社に対して、NERC CIP 標準の順守が法的に義務化された
【3. NERC CIP 標準】
NERC が電力の安定供給を目的として策定する大規模電力システムに関するセキュリティ規制。規制対象となる設備の具体的なセキュリティ対策が記載されている
【4. NERC標準順守の監視・執行の手引き】
NERCの監査官向けの監査執行ガイド。監査の一貫性と品質維持を目的として策定された。NERC CIPだけでなく監査対象となる標準の監査の進め方の手引きなどが記載されている

本調査は、欧州を中心とした調査であるが、比較・対照のために米国の電気事業者向けのサイバーセキュリティ対策の規制と監査の在り方についても調査を行った。

米国では、重要インフラ防護政策(2013 年の大統領令13636 号)の以前から、電力の安定供給を目的として、大規模電力システムをもつ電気事業者に対する規制が存在した。背景として、2003年8月に発生した北米北東部の大規模な停電事故がある。

この停電事故により約5,000万人に影響が出たとされ、電力網の安定化が急務となった。その結果、2005年の電力法改正215条によってEROの役割が規定され、2006年4月、民間団体であるNERCがFERCよりEROに指定された。その後、2007年3月のFERC指令 693号でNERCが策定した83の電力保安に関する標準が義務化され、2008年1月のFERC指令706号において、電力の安定供給を目的とした電力システムのサイバーセキュリティ対策を示したNERC CIP標準が義務化されることとなった。

3.1.5. 米国

NERC CIP標準は、2019年現在、11科目からなっており、2005年の策定開始からFERCの指示・承認のもと定期的に更新されている(表 3.1.5.2)。電力システムに特化した標準であるため、CIP002にあるように、標準内に規制の対象となる「大規模電力システム」のしきい値を定義している点が特徴である。

また、科目内の要件に具体的な対策例までの記載がある「チェックリスト型」となっており、監査時に、項目実施の可否が分かりやすい状態となっている。ただし、「チェックリスト型」の欠点として、脅威と防御技術の進歩や、電力システムの環境変化に応じて、要件に記載された具体的な対策内容が古くなりやすいという問題がある。

従って、米国では、NERC CIP標準への対応は、最低限のベースライン対策として捉えられており、電気事業者にとって、十分なリスク低減に必要なセキュリティ対策は、他のガイドライン等(NIST Cybersecurity Framework、ES-CM268等)を参照することで補うという考え方が一般的である。

3.1.5. 米国

NERC に登録している事業者数は 1,400以上あり70、NERC CIP標準の監査は、NERC所属の7つの地方組織によって分担されて実施されている。

BESサイバーシステムを保有し、具体的な監査方法に関して特筆すべき点は、保安監査(Operation&Planning)と CIP標準の監査を並行して同じ監査チームが行う点である。CIP標準の監査間隔については、NERC公開資料によると 3年(FRCC地域のみ6年)との記述がある。

また監査期間は、電力会社の規模によって異なると思われるが、公開情報によると 4-6ヶ月という報告があるため長期間かかるものと考えられる。

また同資料には、NERC監査で準備した証跡書類が約800、約25,000ページに及んだことが記載されており、監査に係る大量のドキュメント作業が事業者の負担となっていることが推察される。

NERC監査手法については、2014年にNERCから監査人向けの手引き書が公開されており、定期的に更新されている。この監査人向けの手引書において、監査手順は、「監査計画」「監査現地作業」「監査報告」の3段階に整理されており、それぞれの段階での作業についても、必要な作業や注意事項について細かく記載がある(図表 3.1.5.3)。

NERCはFERCからEROに指定される以前は、民間団体として任意のガイドラインを策定し、北米の電力会社をサポートしてきた歴史的背景から、監査団体でありながら、同時に改善のためのコンサルティングや、セミナー、トレーニング、サイバー演習なども提供しており、電気事業者のセキュリティ対策のベースラインを確保しつつ、対策の実効性を高めるための工夫がされている。

3.2 有識者ヒアリング調査

3.2.1. 門林教授へのヒアリング結果要旨
本分野においての知見が深く、NECOMAプロジェクトなど海外との研究成果を上げ続けられている奈良先端科学技術大学サイバーレジリエンス構成学研究室 門林雄基教授に、有識者として、本調査に関するご意見をいただいたので以下の表にまとめた(表 3.2.1.1)。

3.2.2. 門林教授へのヒアリング結果要旨
本分野においての知見が深く、産業サイバーセキュリティ研究会電力サブワーキンググループの座長を務められている名古屋工業大学 社会工学専攻 経営システム分野 渡辺 研司 教授に、有識者として、本調査に関するご意見をいただいたので以下の表にまとめた(表 3.2.2.1)。

3.2 有識者ヒアリング調査

3.3 欧州ヒアリング調査

3.3.1. 欧州ヒアリング先一覧

3.3.3. ドイツ

政策シンクタンクA社・配電事業者B社にヒアリングした内容と文献調査内容をもとに、ドイツの監査について分かったことを以下の表にまとめた。

3.3.4. フランス

CEA、EDF にヒアリングした内容と文献調査内容をもとに、フランスの監査について分かったことを以下の表にまとめた。

4. 考察
4.1. 調査結果比較

2章、3章の調査内容をもとに、調査対象国の電力システムセキュリティの監査について分かったことを以下の表にまとめた。

4.1. 調査結果比較

また、国ごとの監査体制を図にまとめた。欧州の国の太字枠で囲われた政府機関は、NIS指令対応における監督官庁として指定されているものである。

こうして各国の電力システムセキュリティ監査について比較してみたところ、調査国すべてが異なる監査手法を取っていることが分かった。

各国の特徴を一言でまとめると、イギリスは「NCSCが培ってきた民間との信頼をベースにしたアウトカム重視の監査」、ドイツは「認証・監査文化を制御システムに敷衍した監査らしい監査」、フランスは「国防を目的とし、軍からの潤沢な人材と研究をもとにしたシステム重視、実効性重視の監査」、そして米国は「民間団体であるNERCが実施するベースライン確保のためのチェックリスト型監査(証跡のドキュメント過多)」といったところだ。

いずれにせよ、「H27 国際化調査」の考察でもあるように、ある国の電力セキュリティ政策は、実施に至る経緯、国民性や政府と電力会社の関係によって決まる。欧州においては、NIS指令での方向性はあるものの、詳細の実装は各国バラバラとなっている点が興味深い。

5. 提言
5.1. ビジネス環境提言

4章の考察をもとに、我が国の電力システムセキュリティにおける実効性の確認(監査)の在り方について提言を行う。その前に我が国の電力業界を取り巻くビジネス環境とセキュリティ対策の現状を整理する。

まず、我が国の電力業界を取り巻くビジネス環境として、以下の4つが挙げられる。

・2020年東京オリンピック・パラリンピック等のイベント開催
・再生可能エネルギーの増加、電力システム改革に伴う電力網の安定性の維持
・IoTやAI活用等の新技術活用による電力システムの効率化
・サイバー攻撃による停電の発生事例やサプライチェーンリスクの高まり

次に、我が国の電力業界のセキュリティ対策の現状を示す。

◇2016年5月
JESCにより「電力制御システムセキュリティガイドライン」策定
◇2016年9 月
「電力制御システムセキュリティガイドライン」が電気設備の技術基準の解釈に引用
◇2017年4月
電力ISAC設立、ワーキンググループを通したサイバーセキュリティ対策の情報共有
◇2017年7 月
産業サイバーセキュリティセンター開講(電力業界から毎年15名程度の受講84)。

現状は、電気事業法による電気事業者のサイバーセキュリティ対策の義務化が行われ、電力ISACのワーキンググループにおける情報共有により、電力会社のサイバーセキュリティ対策の底上げが進みつつある。

また、産業サイバーセキュリティセンターでは、情報システムと制御システムセキュリティの両方に通じた高度な人材育成が行われており、長期的に見れば実効性のある施策が着実に実行されているといえる。

このような環境のもとで監査の在り方を考えた場合、短期的な施策と、長期的な施策を分けて検討する方が良いのではないかと考えられる。

5.2. 短期的な施策

短期的に監査を開始する場合、これまでの考察から、以下の表にまとめたような施策が望ましいと考えられる(表 5.2.1)。以下の施策の提言内容は、「なるべく事業者に負担をかけずに、政府の行った規制を事業者が順守しているかどうかの確認(説明責任)及び実効性を確保する。」ことを目的としている。

5.3. 長期的な施策

ビジネス環境の整理でも挙げたように、長期的には、進化するサイバー攻撃から電力システムを守るだけでなく、電力システム改革やそれに伴うイノベーションを支えるツールとして電力システムセキュリティを捉え、より実効性を意識した施策にシフトする必要があると考える。その場合は、脅威と防御技術の進化や環境変化への追従が遅れがちとなるチェックリスト型の取組だけでは十分とはいえない。

そのための監査の在り方についての提言を以下の表にまとめ(表 5.3.1)、また、その実現にあたっての実施としての監査組織体制図を示した(図 5.3.2)。

この提言内容をまとめると、「我が国特有の人材供給源である産業サイバーセキュリティセンターをうまく活用することで、人材面の問題を解決しつつ、電力会社の自主保安の文化を尊重し、自助努力を促進すると同時に、政府が行った規制の順守を確認し、公への説明責任を果たす。」ことを目的としている。

※関連コンテンツ
・セキュリティに必須のサイバーインテリジェンス!その内容とは?