スマートグリッドに関するセキュリティ対策事例
それでは、このようなスマートグリッドに関するセキュリティガイドライン(標準)があるなかで、米国の電力会社はどのような対策を取っているのだろうか。一例として、西海岸最大の電力会社であるPG&E(Pacific Gas and Electric)のスマートグリッドにおける対策を紹介する。PG&Eは、年に1回発行している「スマートグリッド年次報告書」注9において、さまざまなスマートグリッドにおける取り組みの1つとして、セキュリティの取り組みが紹介されている。
まず、ここまで紹介してきたガイドライン(標準)についての適用状況について確認してみよう。報告書には、順守義務のあるNERC CIPの準拠は当然のこととして、任意であるNIST IR 7628についても、「ユーザーガイドの作成においてPG&Eは中心的な役割を果たした」との記述があり、ガイドライン適用に積極的に取り組んでいることがわかる。
また、PG&E独自の取り組みとして、次の2つのセキュリティ対策プロジェクトが紹介されている。
(1)持続的攻撃に対する先進的な検知と分析(Advanced Detection and Analysis of Persistent Threats)
(2)IDとアクセス権限管理(Identity and Access Management)
次に、それぞれについて、順に紹介する。
〔1〕持続的攻撃に対する先進的な検知と分析
前述した(1)については、2012年にすでに完了済みのプロジェクトである。このプロジェクトでは、サイバーおよび物理的な侵入などの脅威に対して、PG&Eがもつ「予測」「防御」「対応」の3つの能力を向上させることに重点が置かれている。そのために「脅威インテリジェンス管理」「高度検知と防御」「適応的対応」の3つの施策を掲げている。
特筆すべきことは、近年、重要インフラにおいて課題となっている物理セキュリティ(入退室管理など)をサイバーセキュリティのシステムに統合している点であり、先進的な取り組みといえる。
〔2〕IDとアクセス権限管理
また、前述した(2)については、現在も進行中のプロジェクトで、2012年から2016年にかけて1,600万ドル(約19億円注10)の費用をかけて、IDとアクセス管理の強化を行っている。この対策の結果、例えば、2014年7月現在までに、職務分掌の義務違反(対象のシステムに関係ない職務の人がアクセスできる状態にあること)が91%減少したとの報告がされている。
このようなIDおよびアクセス管理については、NERC CIPやNIST IR 7628にも記述はあるが、実現手段については事業者に任されている。PG&Eでは、それらのガイドライン(標準)の基本的な考え方を生かしつつ、自社のリスク評価に基づいて、重点的に対策すべきところを自主的に実施しているのである。
▼ 注9
PG&E、「スマートグリッド年次報告書2014」、2014年10月1日、http://www.cpuc.ca.gov/NR/rdonlyres/C1DF9820-998B-4F84-ACA2-3DD00D668304/0/PGESmartGridAnnualReport2014All.pdf
▼ 注10
1ドル=約120円換算(2015年9月10日現在)