各規格の詳細情報は、NERCのウェブサイトでご覧いただけます。
NERC CIP規格は、NIST CSFやCIS Top 20 Controlsといった他のサイバーセキュリティフレームワークと概ね同程度の幅広いトピックを網羅しています。しかしながら、NERC CIP規格は、それらのフレームワークよりも規範的な内容となっています。これらの規格は、対象となる組織に対して強制力を持ち、違反した場合には高額な罰金が科される可能性があります。
これらの規格はすべて重要であり、違反した場合は罰金が科される可能性がありますが、さらに詳細を把握し、理解を深める必要がある規格もいくつかあります。
NERC CIPの中核要件の理解
以下では、基幹電力システム(BES)のサイバーセキュリティと信頼性の基盤となる、NERC CIPの必須要件について解説します。これらの規格は、BESサイバーシステムを脅威や脆弱性から保護する上で極めて重要な役割を果たします。主要な規格を分析し、それぞれの具体的な目的とエネルギー分野における重要性を明らかにします。
NERC CIP-002: 資産の識別と分類
BESサイバーシステムおよび関連するBESサイバー資産を識別・分類し、BESサイバーシステムの紛失、侵害、または悪用がBESの信頼性の高い運用に及ぼす可能性のある悪影響に応じたサイバーセキュリティ要件を適用します。BESサイバーシステムの識別と分類は、BESの誤動作や不安定化につながる可能性のある侵害に対する適切な保護をサポートします。
この要件を理解するには、2つの定義が重要です。
- BES: 基幹電力システム。基幹電力システムとは、一般的に100kV以上の電圧で運用される発電資源、送電線、近隣システムとの相互接続、および関連機器を指します。
- BESサイバーシステム: BESサイバーシステムはバージョン5で新たに導入されました。その目的は、従来の専門用語である「サイバー資産」をグループ化することで、責任主体(つまり電力会社)が個々の資産ではなくシステム全体の保護方法を検討できるようにすることです。例えば、NERCのドキュメントにはマルウェア対策の例が示されています。これはシステム全体に適用できますが、システム内の個々の資産には適用できません。
「復旧とマルウェア対策に関する要件を、個々のサイバー資産ではなく、グループ全体に適用することが可能になり、マルウェア対策はシステム全体に適用され、個々のデバイスすべてが準拠する必要はないという要件がより明確になります。」
A key focus of NERC CIP-002の主要な焦点は、基幹電力システムのレジリエンス(回復力)とセキュリティを維持するために不可欠な構成要素である重要なサイバー資産を特定し、分類することです。この規格では、事業体に対し、これらのシステムと資産が基幹電力システム(BES)に及ぼす潜在的な影響を、高、中、低のいずれかに分類することを要求しています。NERCは、各レベルを構成する要素について規範的なガイドラインを提供しており、制御センターは「高」、大規模送電・発電施設は「中」、その他の制御センターおよびバックアップ、発電、送電、配電保護資産は「低」としています。
これらの資産を定義することは重要です。なぜなら、高影響度および中影響度の資産には、低影響度の資産よりもはるかに高いレベルの制御またはセキュリティ成熟度が求められるからです。OT環境の複雑さにより、この作業は特に困難で、エラーが発生しやすい場合があります。
NERC CIP-005: ネットワークセキュリティ – 電子セキュリティ境界
BESサイバーシステムへの電子アクセスを管理し、制御された電子セキュリティ境界を設定することで、BESの誤操作や不安定化につながる可能性のある侵害からBESサイバーシステムを保護します。
CIP-005は、CIP-002で規定されている重要な資産へのネットワークアクセス制御に重点を置いています。産業用制御システムの接続がますます増加していることを考えると、これは今日大きな課題となっています。サードパーティのリモートアクセスやネットワークセグメンテーションが加わると、複雑さはさらに増します。業界がこれまで以上に高度な分析とリモート接続を推進するにつれて、電力システムへのリスクは劇的に増大します。CIP-005は、こうしたリスクの一部を軽減することを目的としています。この要件の焦点を、ネットワーク上のセグメンテーションとアクセス制御の継続的な監視と維持、特にベンダーやその他のサードパーティによるリモートアクセスに重点を置くことへと強化することが不可欠です。
NERC CIP-007: システムセキュリティ制御
基幹電力システム(BES)の誤動作や不安定化につながる可能性のあるセキュリティ侵害からBESサイバーシステムを保護するために、特定の技術、運用、および手順上の要件を規定することにより、システムセキュリティを管理します。
すべてのCIP規格の中で、これは最も議論の多い規格と言えるでしょう。これは、システムセキュリティ管理の重要性が広く認識されているからではなく、規格が規範的な性質を持っているためです。CIP規格の中には、組織がプロセスを確立し維持する必要があるという点で「手順的」なものがいくつかあります。しかし、CIP-007のように、より「規範的」な性質を持つ規格もあり、組織は結果に関わらず、規格を満足に満たすために具体的な措置を講じる必要があります。
NERC CIP-007における論争
これらの規範的な要件、特にパッチ管理に関連する要件をめぐる論争は、柔軟性の欠如と、それらがもたらす多大なリソース負担が相まって生じています。
批判的な意見としては、画一的なアプローチが、必ずしもすべての組織に固有の環境やリスクプロファイルに最適なセキュリティ戦略であるとは限らないという点が挙げられます。さらに、評価と適用の厳格なスケジュールを守ることは困難です。これは特に、大量のパッチや複雑なシステム構成を扱う場合に顕著であり、このような厳格な要件の実用性と全体的な価値について議論が巻き起こっています。
最も厳しく精査される管理策は、パッチ管理(CIP-007-6 R2)に関連するものです7-6 R2):
2.1: 該当するサイバー資産に対するサイバーセキュリティパッチの追跡、評価、およびインストールのためのパッチ管理プロセス。追跡部分には、更新可能でパッチソースが存在する関連サイバー資産に対するサイバーセキュリティパッチのリリースについて、責任主体が追跡するソース(1つまたは複数)の特定が含まれます。
2.2: パート2.1で特定されたソース(1つまたは複数)から、前回の評価以降にリリースされたセキュリティパッチの適用性について、少なくとも35暦日に1回評価します。
2.3: パート2.2で特定された該当パッチについては、評価完了後35暦日以内に、以下のいずれかの措置を講じてください。
- 該当パッチを適用する。または
- 日付入りの緩和計画を作成する。または
- 既存の緩和計画を改訂する。
- 緩和計画には、各セキュリティパッチで対処される脆弱性を緩和するために責任者が計画した措置と、これらの緩和策を完了するための期限を含めるものとします。
パッチ管理に関する規範的な要件は、NERC CIP管理者、監査人、そして評論家の間で大きな議論を巻き起こしています。これらの要件におけるセキュリティの効率性と有効性のトレードオフに対する見解に関わらず、パッチ管理のステータスを維持するためには、責任ある組織による多大な努力が必要となるのが現実です。
NERC CIP-010: 変更および脆弱性管理
BESサイバーシステムへの不正な変更を防止および検出するために、構成変更管理および脆弱性評価の要件を規定し、基幹電力システム(BES)の誤動作や不安定化につながる可能性のある侵害からBESサイバーシステムを保護することを支援します。
CIP-010は、当初セキュアに構築されたシステムが、長期間にわたってそのセキュリティを維持することを保証します。これは、ポート、サービス、ルール設定などの調整によって時間の経過とともに変化する可能性のある構成や、ソフトウェアで特定された新しい脆弱性にも適用されます。
この規格は、公益事業会社にとって多くの課題を生み出します。しかし、最も大きな課題の2つは、変更プロセスの管理です。変更の文書化と承認に関わる人的プロセスが、システム自体における変更の技術的現実と整合するようにする必要があります。企業は、承認プロセスをシステム上の実際の結果にマッピングし、これらの変更を監視して記録を維持し、監査人にコンプライアンスを証明できるようにする必要があります。
サイバー資産の機密性が高いため、産業用制御システム(ICS)における脆弱性評価は課題です。従来のIT環境とは異なり、ICSデバイスに対して標準的な脆弱性スキャンを実行すると、重要な業務を中断させたり、物理的な損害を引き起こしたりする重大なリスクを伴う可能性があります。
NERC CIP-013: サプライチェーンセキュリティ
基幹電力システム(BES)サイバーシステムのサプライチェーンリスク管理のためのセキュリティ対策を実施することにより、BESの信頼性の高い運用に対するサイバーセキュリティリスクを軽減します。
SolarWinds攻撃の公表以来、CIP-013はNERC CIPにおける最も「ホット」なトピックの1つとなっています。大統領令、議会委員会、ソフトウェア業界の規制などはすべてこの攻撃の結果であり、ソフトウェアサプライチェーンリスクは一面トップのニュースとなりました。CIP-013はすでに進行中で、委員会を通して検討が進められていましたが、SolarWinds攻撃以降、その重要性と焦点はますます高まっています。CIP-013の最終的なコンプライアンスには、BESに導入されるすべての新規コンポーネントについて、詳細な「ソフトウェア部品表」の記載が求められる可能性があります。これは、時間の経過とともにソフトウェア開発の実践に大きな影響を与える可能性があります。
サプライチェーンリスク管理プロセスの実装方法に関する知見が深まるにつれ、この規格のこの部分の要件は時間とともに拡大していくことが予想されます。
CIPコンプライアンスは必須であり、コンプライアンスは主に自己申告または監査サイクルを通じて推進されるため、成功するCIPコンプライアンスプログラムには、コンプライアンスの証拠を継続的に作成し、維持するための取り組みが含まれます。各手順には、その成功を示す証拠が必要です。その証拠は定期的にサンプリングされ、完全性と正確性についてレビューされるべきです。また、必要に応じて迅速にコンプライアンスを実証できるよう、証拠は容易に検索できる方法でアーカイブされるべきです。
この証拠に基づく構造を構築するには、証拠を設計・収集する専任のコンプライアンス担当者と、証拠を保有・提供する運用担当者からの意見や協力を組み合わせた統合的なアプローチが必要です。この構造は、大規模な電力会社では通常、各事業部門または機能組織に展開されます。
北米の電力会社への影響
北米の電力会社にとって、NERC CIP規格を遵守するには多額の投資が必要であり、罰金のリスクを伴います。罰金のほとんどは5桁台前半ですが、組織的な違反は100万ドルを超える罰金につながりました。しかし、不適切な監査指摘事項がもたらす悪影響は、罰金だけではありません。自己申告による違反や監査で否定的な指摘事項は、取締役会、株主、規制当局、その他の重要なステークホルダーとの関係に重大な経営課題をもたらす可能性があります。
だからこそ、コンプライアンスプログラムを、運用上のレジリエンスを構築し、組織のブランドと評判を守るための手段と捉えることが不可欠です。
世界的な重要性: 規範的なOTサイバーセキュリティ規制への移行
NERC CIP規格は、特に進化するサイバー脅威に直面している北米の電力システムのセキュリティと効率性を維持する上で重要な役割を果たしています。これは、コンプライアンスを超えたその重要性を強調し、レジリエントで安全なエネルギーインフラの維持における役割を浮き彫りにしています。NERC CIPの焦点である電力会社だけでなく、世界中の産業界はこれらの規格を理解し、それぞれの業界における同様の要件に備える必要があります。NERC CIPへの批判者にはこれが問題視されるかもしれませんが、現実には、世界中で新たに出現しているOTサイバーセキュリティ規制は、これまでよりも「規範的」なものになっています。最終的には「NERC-CIP-LITE」となる可能性はありますが、より規範的なものになる可能性が高いでしょう。
OTセキュリティ規制の将来への影響
OTサイバーセキュリティ規制の将来は明確です。規制当局によるより厳格な要件と監査の強化が求められます。
これには、世界中の業界団体の意識、投資、そして取り組みの大幅な転換が求められます。北米の電力分野では、NERC規格の最初の承認から「バージョン5」規格に基づく厳格な監査まで8年、そして今日までさらに5年を要しました。リスクはさらに深刻化しているため、これらの新しい規制規格はNERC CIPよりも緊急に導入されると考えられます。これは、北米よりも準備と進化に要する時間が短くなることを意味します。
朗報なのは、15年間の試行錯誤を経て、北米の電力業界がサイバーセキュリティの強化と、増大する規制への対応において重要な教訓を得ていることです。業界のパートナと業界は、新たな技術とプロセスを開発してきました。しかし、重要な教訓の1つは、これには時間がかかるということです。組織がサイバーセキュリティへの取り組みを早期に開始すればするほど、最終的な規制上の負担は軽減されます。
サイバーセキュリティはしばしば「多層防御」と呼ばれます。この言葉が現代の脅威を完璧に要約しているかどうかはさておき、成功には基盤となる要素が必要であり、その基盤となる要素には時間がかかることは疑いようがありません。組織は成熟度「5」に一気に到達できるわけではありません。NERC CIPやその他のフレームワークを道標として、より早く道筋を描き始めるほど、将来の規制遵守の実現可能性が高まります。
