先日、IPAより、米国の電力業界で活用されている、セキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシートが公開された。
米国の電力業界はコンプライアンスとセキュリティガイドラインの2層で成り立っているようである
【コンプライアンス】
・NERC CIP Standard
North American Electric Reliability Council Cyber-security Critical Infrastructure Protection Standard
北米電力信頼度協議会が策定した重要インフラ防護基準
かつ
アメリカ合衆国連邦エネルギー規制委員会が承認した米国電力業界向け規制標準
※2003年の大停電を踏まえて、電力の安定供給を念頭において作成された主に大規模発電施設及び送電施設を対象としたサイバーセキュリティに関する標準
※基準且つ規制になっているところがポイント
※規制なので、準じないと罰則もある(1,000USD~1,000,000USD)
【セキュリティガイドライン】
・ES-C2M2
Electricity Subsector - Cybersecurity Capability Maturity Model Program
サイバーセキュリティ対策を改善するためのマネジメント手法を記載したガイドライン
・NIST IR 7628
NIST IR 7628 Guidelines for Smart Grid Cybersecurity
NIST(アメリカ国立標準技術研究所)によって発行されたスマートグリッドを対象にしたセキュリティガイドライン
・NIST Framework
米大統領令によりNISTで策定されたCyberSecurity Framework
日本では罰則付きの規制は金融業界にしかなく、その他の重要インフラ業界は所謂ベストエフォートの対応になっている。
セキュリティはコストとみなす経営者が多く、罰則付きの規制になるともう少しセキュリティ投資が進むのではないかと思った今日この頃。