高・中影響度の電力系統サイバーシステム(BES)を対象とした新たな内部ネットワークセキュリティ監視(INSM)信頼性基準であるNERC CIP-015が、計画段階から実運用段階へと移行する中、北米の電力会社および独立系発電事業者(IPP)は重要な局面を迎えています。 CIP-015は、電力会社が長年取り組んできた現実を認識しています。すなわち、内部ネットワークの可視化はもはや任意の選択肢ではあり得ないということです。これは、横方向の移動の検知、異常なトラフィックの特定、そして従来の境界防御を迂回する現代のサイバー脅威への対応に不可欠です。
過去20年間、私は複数の電力会社で勤務し、影響度が中程度および低程度のBESを対象としたNERC CIPプログラムの開発、管理、実施に携わってきました。また、INSMの策定と解釈にも深く関わってきました。これは私の専門分野であるだけでなく、情熱を注いでいる分野でもあると言えます。
業界がこの変化に対応できるよう支援するため、Nozomi Networks 、早期導入企業の実体験、直面した課題、そして得られた教訓に焦点を当てたウェビナーシリーズNetworks 本シリーズでは、Nozomi 業界の専門家たちが私と共に登壇し、その知識と情熱を共有するとともに、規格の最も難しい点を解説し、皆様からのご質問にお答えします。本記事および今後のブログ記事では、各回の重要なポイントをまとめていきます。
第1回では、公益事業者がINSMの導入にどのように取り組んでいるか、どのような課題に直面しているか、そしてそれらに対処するための当社の提言について取り上げました。
よくある落とし穴
INSMへの対応準備を進める公益事業会社や独立系発電事業者(IPP)との対話を通じて、我々はいくつかの繰り返し見られる課題を確認しています。これらは主に、コンプライアンスの負担、プログラム策定、および導入の複雑性という3つのカテゴリーに分類されます。以下に、主な課題をいくつか挙げます。
1. INSMをプログラムではなく技術プロジェクトとして扱う
多くの公益事業者は、INSMを継続的な運用能力ではなく単発の導入プロジェクトとして捉えるため、その重要性を過小評価しがちです。定義を明確にする前に、安易にツールの導入に飛びついてしまうケースがあまりにも多いのです:
- 主要な関係者
- モニタリング手法
- 検出手法と対象範囲
- 証拠管理ワークフロー
- 役割と責任
- 長期的なデータ管理に関する見通し
プログラムの開発とは、人、プロセス、そして技術に焦点を当てることです。これらいずれかを見落とすと、手戻りが生じたり、監査の際に不備が見つかったりすることになります。
2. データ管理の難しさを過小評価すること
CIP-015への準拠は、単にネットワーク内の東西方向の可視性を確保するためにセンサーを導入することだけではありません。それはデータ管理に関するものです。
INSMを導入するには、膨大な量のネットワークテレメトリデータを収集する必要があります。しかし、データの収集はあくまで始まりに過ぎません。公益事業者は、そのデータを分析し、文脈に合わせて解釈した上で、監視、分析、対応に関連する証拠を管理しなければなりません。INSMは、その流れを全開で解き放つのです。 フロントエンドから流入する膨大なデータに加え、証拠を管理する際のバックエンドでも膨大なデータを扱うことになります。この膨大なデータを理解するには、テクノロジーだけでなく、明確に定義されたプロセスとワークフローが必要です。どの証拠を保持すべきか、どの証拠を削除してもよいかを、プログラム内で明確に定義しておく必要があります。
2a. 収集戦略を策定せずにデータ収集を開始すること
ユーティリティ企業は、本当に必要なデータを決定する前に、まずトラフィックやテレメトリの収集を開始することがよくあります。INSMは膨大な量のトラフィックメタデータを生成しますが、計画性のない収集を行うと、次のような問題が生じます:
- 扱いにくいデータセット
- 証拠の連鎖が不明確
- 追加の拠点への拡張の難しさ
- 捜査における非効率性
回収戦略を明確にしておくことで、「何でもかんでも回収してしまう混乱」を防ぐことができます。
2b. 立証責任への備えを怠ること
CIP-015の重要な部分は、証拠の管理です。これには以下が求められます:
- 継続的な監視の証明
- 緊急度判定および経過観察の記録
- 異常に対処されたことの証拠
- 方針や手順が遵守されていることの証明
証拠管理プロセスを構築する際は、規制当局の期待に沿うものであることを確認してください。
3. 「異常な」挙動を早期に特定できないこと
独自の環境における異常なアクティビティについて、明確かつ文書化された定義がなければ、ユーティリティは一貫性のない対応をとることになり、監査証拠の検証も不可能になってしまいます。
必ず以下を定義してください:
- 「異常」とは何ですか?
- 「偏差」とは何ですか?
- 逸脱はどのように検出されるのでしょうか(ベースライン、行動パターン、IOCなど)?
- 偏差はどのように分析されるのでしょうか?
4. 成熟は「後になってから」訪れるものだと想定する
公益事業者は、まずセンサーを導入し、「時間の経過とともに成熟させていけばよい」と考えていることがあります。しかし、INSMの遵守期限では、単に技術を導入しているだけでなく、運用上の成熟度が求められます。これには以下が含まれます:
- 文書化された手順
- 役割の明確化
- 反復可能なワークフロー
- 継続的な報告
- 人材育成
- ガバナンス体制
これらのコンポーネントを早期に構築した事業者は、規制が導入された際に、はるかに有利な立場に立つことになるでしょう。
5. 模擬監査の重要性を過小評価すること
特に新規制の場合、本番前の監査を省略すると、罰金処分を受けるリスクが高まります。模擬監査では、以下の点が明らかになります:
- 必要な書類が不足しています
- 決定ロジックが不明確
- 証拠保管における不備
- 職員の間での不安
- プロセスと実践の間の矛盾
監査に先立ち、文書のワークフローと手法を文書化しておき、各チームが統一された対応をとれるようにし、監査人がその論理的根拠を追跡できるようにしてください。
実施期限と準備状況
業界としては、こうした事態が訪れることは予見していましたが、オーナーや運用担当者との個別面談を通じて、影響度の高いBESサイバーシステムや中程度のシステムの間でさえ、この規格に対する理解度や、それが自社に適用されるかどうかについて認識にばらつきがあることが明らかになりました。ウェビナーで実施した2つのアンケート質問でも、このことが裏付けられました。
一見したところ、執行のスケジュールを考慮すれば、この世論調査の結果は驚くべきことではない:
- 2028年10月1日:影響度が高いおよび中程度のBES、特に外部ルーティング接続(ERC)を備えた制御センターを対象に、規制の適用が開始されます。まだ2年以上先のことですが、この期限を控え、公益事業者は今すぐ構想段階から運用準備段階へと移行する必要があります。つまり、INSMの適用範囲と資産を定義し、ネットワークデータフィードを特定し、ツールと運用モデルを選定し、証拠資料とガバナンスプロセスを構築しなければならないということです。
- 2030年10月1日:その後、規制の対象は、その他すべての中・高影響度のBES(重要エネルギーシステム)にまで拡大されます。この後の期限により、多少の猶予期間は生まれますが、要件の規模を考慮すると、これらの公益事業者は今から先を見据えて準備を進めるべきです。企業規模で完全な運用成熟度を達成するには、時間と調整、そして反復的な取り組みが必要です。
始めるための3つの実践的なステップ
施行日はまだ先のように思えるかもしれませんが、対応を先延ばしにした公益事業者は、特に複数の拠点や地域にわたってINSMを拡大する際、スケジュールが逼迫したり、物流上のボトルネックに直面したりすることになるでしょう。
今すぐ行うべき3つのステップは以下の通りです:
1. CIP-015の適用範囲と適用対象を評価する。
新しい規格の対象となるサイト、システム、ネットワークについて把握してください。社内で既に監視している項目、監視の不備がある箇所、および監視が全く行われていないネットワークセグメントを文書化してください。
2. 関係者の足並みを揃える。
INSMへの準拠は、サイバーセキュリティ、運用、エンジニアリング、コンプライアンス、および経営陣の各チームにまたがっています。初期段階で連携が取れていないと、後々多大なコストがかかる手直し作業を招くことになります。
3. INSMソリューションを包括的に評価する。
このウェビナーおよびブログシリーズでは、INSMの製品そのものに焦点を当てるものではなく、当社のプラットフォームの詳細について宣伝するつもりもありません。しかし、テクノロジーは皆様のプログラムにおいて重要な要素です。ベンダーのソリューションを評価する際には、各ソリューションがCIP-015の要件をどのように満たしているかだけでなく、以下の点にもご注目ください:
- さまざまなネットワークアーキテクチャに対応した柔軟性
- 導入と管理の容易さ
- 既存のツールやプロセスとの連携
- 購入価格だけでなく、総所有コスト
INSMは長期的なプログラムであるため、機能性と同様に持続可能性も重要である。
さらにアドバイスが必要ですか?ぜひ面談をご予約ください。
BESに対するINSMの義務化に至るFERCの道のりは長く複雑であり、脅威の変遷や過去のCIP基準がCIP-015の導入への道筋を築いてきました。この要件は新しいもののように感じられるかもしれませんが、その背景にある概念は長年にわたり議論されてきました。INSMの施行が近づく中、今こそ可視化、データ管理、ワークフローの定義、およびチーム間の連携に投資する公益事業者は、成功への足掛かりを築くことができるでしょう。
ご質問への回答をお探しの方は、各ウェビナーのライブ配信または録画配信をご覧ください。または、弊社までご連絡いただければ、NERC CIPの専門家との面談を手配いたします。皆様のお力になれるよう、心よりお待ちしております。
