[M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策]

M2M/IoT時代に登場した新たなセキュリティの脅威とその防衛策 ― 第2回 米国におけるM2M/IoTサイバーセキュリティ政策の最新動向―

2015/10/11
(日)
佐々木 弘志 インテル セキュリティ(マカフィー株式会社) サイバー戦略室 CISSP

スマートグリッドに関するセキュリティ対策事例

 それでは、このようなスマートグリッドに関するセキュリティガイドライン(標準)があるなかで、米国の電力会社はどのような対策を取っているのだろうか。一例として、西海岸最大の電力会社であるPG&E(Pacific Gas and Electric)のスマートグリッドにおける対策を紹介する。PG&Eは、年に1回発行している「スマートグリッド年次報告書」注9において、さまざまなスマートグリッドにおける取り組みの1つとして、セキュリティの取り組みが紹介されている。

 まず、ここまで紹介してきたガイドライン(標準)についての適用状況について確認してみよう。報告書には、順守義務のあるNERC CIPの準拠は当然のこととして、任意であるNIST IR 7628についても、「ユーザーガイドの作成においてPG&Eは中心的な役割を果たした」との記述があり、ガイドライン適用に積極的に取り組んでいることがわかる。

 また、PG&E独自の取り組みとして、次の2つのセキュリティ対策プロジェクトが紹介されている。

(1)持続的攻撃に対する先進的な検知と分析(Advanced Detection and Analysis of Persistent Threats)

(2)IDとアクセス権限管理(Identity and Access Management)

 次に、それぞれについて、順に紹介する。

〔1〕持続的攻撃に対する先進的な検知と分析

 前述した(1)については、2012年にすでに完了済みのプロジェクトである。このプロジェクトでは、サイバーおよび物理的な侵入などの脅威に対して、PG&Eがもつ「予測」「防御」「対応」の3つの能力を向上させることに重点が置かれている。そのために「脅威インテリジェンス管理」「高度検知と防御」「適応的対応」の3つの施策を掲げている。

 特筆すべきことは、近年、重要インフラにおいて課題となっている物理セキュリティ(入退室管理など)をサイバーセキュリティのシステムに統合している点であり、先進的な取り組みといえる。

〔2〕IDとアクセス権限管理

 また、前述した(2)については、現在も進行中のプロジェクトで、2012年から2016年にかけて1,600万ドル(約19億円注10)の費用をかけて、IDとアクセス管理の強化を行っている。この対策の結果、例えば、2014年7月現在までに、職務分掌の義務違反(対象のシステムに関係ない職務の人がアクセスできる状態にあること)が91%減少したとの報告がされている。

 このようなIDおよびアクセス管理については、NERC CIPやNIST IR 7628にも記述はあるが、実現手段については事業者に任されている。PG&Eでは、それらのガイドライン(標準)の基本的な考え方を生かしつつ、自社のリスク評価に基づいて、重点的に対策すべきところを自主的に実施しているのである。


▼ 注9
PG&E、「スマートグリッド年次報告書2014」、2014年10月1日、http://www.cpuc.ca.gov/NR/rdonlyres/C1DF9820-998B-4F84-ACA2-3DD00D668304/0/PGESmartGridAnnualReport2014All.pdf

▼ 注10
1ドル=約120円換算(2015年9月10日現在)

関連記事
新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...