この記事は、当社の ウェビナーシリーズのハイライトを振り返るブログシリーズの一部です。このシリーズでは、業界の専門家が、公益事業者が内部ネットワークセキュリティ監視(INSM)プログラムを構築する際の知見や現場での教訓を共有しています。第4回では、INSM導入において最も難解で微妙なトピックの一つである、「INSMの構成要素をどのように分類するか」に焦点を当てました。今回は、Nozomi マイク・ダトコが登壇しました。彼はOT と電気工学の両分野で豊富な経験を持っています。
INSMウェビナーシリーズ第4回で参加者にアンケートを実施したところ、INSMセンサーをどのように分類する予定かという質問に対し、「わからない」と答えた人が予想以上に多かった。また、INSMセンサーが電子セキュリティ境界(ESP)内に設置されるかどうかという質問に対しても、確信が持てないという声が聞かれた。こうした不確実性はよくあることであるため、コンプライアンスを遵守するための適切な判断を下す上で考慮すべき多くの要素を、できる限り分かりやすく解説した。
分類が重要な理由
適切な分類は、単なる規制上の要件を満たすためだけのものではありません。それは、どの要件が適用されるか、監査リスクがどの程度あるか、そして最終的には、チームがコンプライアンス維持にどれだけの労力を費やすかを決定づけるものです。分類という概念は信頼性基準において新しいものではなく、そのうちの8つ(CIP-004~011)に関連しています。INSMは、分類の対象となる新たなシステムに過ぎません。要するに、要件とリスクを最小限に抑えるためには、すべてのINSM資産を正しく分類する必要があります。
この図は、こうした分類がコンプライアンスへの取り組みにどのように反映されるかを、ごく大まかに示したものです。各プログラムの内容は異なりますが、取り組みの規模は概ね同様の傾向にあります。
INSMシステムの構成要素:単一の要素だけではない
INSMの導入は、しばしば単一のシステムとして議論されますが、実際には複数のコンポーネントで構成されており、それぞれが異なる分類を必要とする可能性があります。これらは主に以下の3つの分野に分類されます:
- データフィードのソース:ネットワークタップ、スイッチ、アグリゲータースイッチ、トラフィックブローカー、センサー、データダイオードなどの収集・集約ポイント
- データフィードの処理:取り込み、処理、および管理(分散型または集中型)
- ストレージと分析:データストレージ、分析、および証拠リポジトリ。これらは、多くの場合、SIEM、チケット管理システム、またはコンプライアンスプラットフォームにデータを提供しています。
各コンポーネントの機能、アーキテクチャ、および役割は、その分類やコンプライアンス要件に影響を与える可能性があります。
INSMの一般的な分類
INSMコンポーネントの最も一般的な分類は、以下の3つです:
- EACMS(電子アクセス制御・監視システム):ESPまたは大規模電力システム(BES)のサイバーシステムに対して、電子的なアクセス制御または監視を行うサイバー資産。これらは通常、最も高いコンプライアンス上の負担を伴う。
- PCA(保護対象サイバー資産):ESP内に接続されているが、影響度が最も高いBESサイバーシステムには含まれないサイバー資産。その影響度評価は、同一のESP内にある影響度評価が最も高いBESサイバーシステムと同等となる。
- BCSI保存場所:BESサイバーシステム情報を保存するシステム。NERC用語集には含まれていないが、BCSI保存場所はCIP-011で言及されており、BES資産分類の一環として追跡されることが多い。
CIP-015-2: 機能は場所と同じくらい重要である
2028年に施行されるCIP-015-1では、ESP内か外かという位置がINSM分類の主な判断基準となっていました。CIP-015-2では、EACMSおよび物理的アクセス制御システム(PACS)が対象範囲に加わることで、この点が変更されます。 これらのシステムの多くはESPの外部に設置されており、その機能は設置場所と同様に重要です。例えば、PACSに接続されたミラーポートを持つスイッチは、INSM分類の対象範囲に含まれるでしょうか?私は含まないことを推奨しますが、その理由についてプログラム内で明確な根拠を提示できるようにしておくべきです。この複雑さにより、CIP-015-2に基づく分類は以前よりはるかに困難になりました。
INSM分類を導く4つの基本質問
分類に関する複雑な問題を簡素化するために、まずは次の4つの基本的な質問から始めることをお勧めします:
この決定木を使用して、INSMコンポーネントを分類してください
資産所有者、パートナー、その他の業界専門家との数多くの協議を経て、私たちは上記の4つの質問を精査し、分類プロセスを段階的に解説するこの決定木を作成しました。この決定木は、影響度から始まり、次に設置場所、機能、管理インターフェース、通信経路、そして最後に、そのシステムがBCSIを保存または処理するかどうかという順で進みます。この実用的なツールは、公益事業者が実際のアーキテクチャを把握し、正当性のある分類に到達するための指針となります。
要点
INSMシステム分類は、微妙なニュアンスやNERC CIPに関する専門的な知識が絡み合う複雑なテーマであり、その難しさゆえに、CIP-015-2によってシステム機能が追加される前の昨年12月にも、当ブログで取り上げたほどです。上記の導入質問や決定木に加え、INSMプログラムにおける分類作業に取り組む際の参考となる5つの推奨事項をご紹介します。
手法を文書化しておかないと、監査の際に、判断の根拠や、意図的な省略を含め、一部の決定について説明を求められる可能性があります。監査人は、些細な点から掘り下げていくのが大好きです。文書化されていれば、あなたがあらゆる点を十分に検討しているという確信を彼らに与えることができます。
- INSMシステムのすべての構成要素を、NERC CIPの対象範囲に含まれるものとみなしてください。INSMは 単一のシステムではありません。 監視センサーに加え、ヘッドエンドや管理コンソール、あるいはデータが保存されている場所なども含まれる可能性があります。各構成要素は個別に検討し、分類する必要があります。
- NERCが定義していない用語については、自ら定義してください。NERCの 用語集は厳密ですが、BCSIの貯蔵場所など、そこに含まれていない用語についてはどうでしょうか?それらについては、自社のプログラムにおける意味に基づいて定義するのは、あなた次第です。
- 資産ごとに、意思決定のプロセスと結果を文書化してください。 その手法を文書化しておかないと 、監査の際に、一部の決定について説明を求められる可能性があります。文書化することで、あなたがあらゆる点を十分に検討したということを監査側に確信させることができます。
- 分類情報を付記したINSM資産リストを管理してください。資産目録には 、機能や分類にかかわらず、すべてのINSM構成要素を含める必要があります。これは、ESPまたは適用範囲外の項目については特に重要です。
- 評価は少なくとも年に1回、また大きな変更があった際には見直してください。その根拠に立ち返り、変更点を確認しましょう。例えば、図面を確認し、センサーが当初の予定通り設置されているかを確認してください。必ず何らかの不一致が見つかるはずです。
最終的な感想
分類は単なるコンプライアンス対応にとどまらず、リスク管理、業務の透明性、そして監査への対応力にもつながります。INSMコンポーネントの分類方法を、導入が終わってから決めるようなことは避けてください。早い段階で話し合いを行い、前提条件を検証し、その根拠を文書化しておきましょう。そうすることで、監査や拡張、そして避けられないアーキテクチャの変更の際にも、大きな成果が得られるはずです。
この記事がお役に立ったなら、ぜひウェビナーシリーズにご登録いただき、第4回のアーカイブ動画をご覧ください。そこでは、マイクと私がNERCオタクならではの視点でINSMシステムの分類について掘り下げ、詳細な図解も交えて解説しています。また、ここでご紹介した内容を皆様のシステム構成に適用する際にお困りのことがあれば、お気軽にお問い合わせください。私たちは皆様をサポートするためにここにいます。
.webp)
