米国NISTがサイバーセキュリティリスク低減を目的としたエネルギー事業者向け運用・制御技術の資産管理ガイドを公表

電力や石油・ガスは国家の重要なインフラであるため、事業者の資産やシステム、ネットワークが無力化したり破壊されたりすると、経済、公衆衛生、安全に深刻な悪影響を及ぼす。エネルギー事業者の産業用制御システム(ICS)と、情報システム（IT）やインターネットとの間で相互接続が進んだことにより、悪意のある者が施設の運用・制御技術（Operational Technology：OT）資産やOTシステム内に存在する脆弱性を標的とするようになった。事業者にとっては資産を棚卸しし最新の情報を維持することが課題となっている。OT資産を把握していない事業者は、不必要にサイバーセキュリティのリスクにさらされる可能性がある。

米国国立標準技術研究所（National Institute of Standards and Technology：NIST）は、エネルギー事業者がOT資産を特定して管理し、関連するサイバーセキュリティリスクを識別するためのガイドラインをNIST SP1800-23として公表した。

既存のエネルギー事業者の資産棚卸しは、静的なもの、1回限りのもの、または以前に実施された監査活動のスナップショットであり、それら資産の現時点の状態を確認するすべを持たないケースがある。しかしOTシステムが他の情報技術（IT）システムと相互接続し統合される環境下においては、事業者にはOT資産の管理能力を強化するためのプロセスが必要となる。

このガイドは、エネルギー事業者やテクノロジーベンダーの専門家の協力の下、サイバーセキュリティインシデントのリスクを低減するためのOT資産の管理、監視、ベースライン化を含む資産管理のソリューションとして開発された。ガイドでは、事業者がOT資産のセキュリティを強化するために、新しい資産管理機能の実装や、既存の資産管理機能の活用方法についての実践的な手順が概説されている。

ガイドで示されている機能は、資産管理の重要な要素に対処するためのものである。 

1）既知のOT資産のベースラインを確立する

2）ベースラインの変化を施設管理者に警告できる動的資産管理の基盤を確立する

3）実装された機能を介して、資産に関する多くの属性を取得する

これらの重要な要素に加えて、ガイドでは、

1）地理的に分散した遠隔地の資産を考慮する

2）OT資産の統合的な視点を持つ

3）全体的な運用環境における資産の処分、または重要度のレベルを容易に識別できるなどのOT環境における特定の課題に対処する資産管理の方法を提供している。

などのOT環境における特定の課題に対処する資産管理の方法を提供している。

エネルギー分野では、太陽光発電パネルや風力発電などの分散型エネルギー資源の活用に伴い、配電網におけるエネルギーの流れを制御するため電力会社の配電制御システムと分散型エネルギー資源との間での情報交換の仕組みが導入されている。さらに、制御の精緻化やOT業務効率化のため、エネルギー事業者によるIIoT（Industrial Internet of Things）デバイスの導入割合は増加すると予測されており、事業者にとって資産管理とサイバーセキュリティリスクのさらなる課題となりうる。OT資産管理基盤にIIoTデバイスを含むように拡張し、IIoTで生成されたデータをほぼリアルタイムの資産管理に使用することで、これらの資産の安全な運用を確保できる可能性があり、この要件も将来、本ガイドを改訂する際の検討事項となる可能性がある。

参照URL：

National Cybersecurity Center of Excellence (NCCoE),  "Exective Simmery ― NIST SP 1800-23 documantation", https://www.nccoe.nist.gov/publication/1800-23/VolA/index.html

当該記事に関するデロイト トーマツの考察

事業者は、安全管理という側面から設備資産管理を実施してきた。事業者の設備資産管理のうち、施設全体の管理対象機器の規模の観点からいえば、数が小さいデジタル制御システムの機器は、サイバーセキュリティリスクを伴う。デジタル制御機器は、ハード的な故障と違い、サイバー攻撃により一度に同じ制御機器の不具合が発生する可能性がある。このサイバー攻撃の脅威やソフトウェアの脆弱性という新たなリスクから守るために、ハードウェアの資産棚卸しとともにソフトウェアの棚卸しも必要である。この資産棚卸をすることで、セキュリティ対策の強化、リスクアセスメント、インシデント対応などのセキュリティ対策強化に活用できる。そして、事業者はハード及びソフトの資産を最新状態にしておくことが必要である。

しかしながら、この最新状態にしておくことが言うほど簡単でない。これらの資産管理を効率的に実施するためにも設計段階から保守管理プロセスに組み込んだり、電子的に資産を特定するソリューションを導入したり、資産やそれに関する情報のデータベース化のシステム整備が重要である。 

【キーワード】資産管理、アセットマネジメント

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<