今回も前回に引き続き、国家による重要インフラ・システムの防護への取り組みの変遷を見る。前回は、以下の五つの流れのうち、前半二つを紹介した。今回は残る後半三つについて説明する。
・防護体制・計画の整備と情報共有の促進(前回)
・相互依存性解析とサイバー演習の実施(前回)
・セキュリティー基準の整備(今回)
・サイバー軍事力の強化(今回)
・制御システムのセキュリティーの強化(今回)
セキュリティー基準の整備
情報システム向けのセキュリティー基準と言えば、情報セキュリティマネジメントシステム(ISMS)の認証規格である「ISO/IEC27000」シリーズが有名だろう。しかし、重要インフラ分野の制御システムは、一般の情報システムとは利用環境や要件が異なる。そこで、各重要インフラ分野や制御システム向けのセキュリティー基準やベスト・プラクティスの整備が進められた。
一例として、米国では、2004年に米国石油協会(API)が「API Standard 1164」を策定している他、2006年に北米電力信頼度協議会(NERC)が電力業界向けのサイバー・セキュリティー基準「CIP」を策定している。
国レベルでは、米標準技術研究所(NIST)が、2006年に産業制御システム(ICS)セキュリティー基準「NIST SP800-82」を公開している。また、英国では同年10月に国家インフラストラクチャー安全調整局(NISCC)(現国家重要インフラ防護センター(CPNI))が、「グッドプラクティスガイド:プロセス・制御およびSCADAセキュリティー(日本語訳)」を、オランダでも2008年3月にオランダ応用科学研究機構(TNO)が「上下水道分野用のSCADAセキュリティー・グッドプラクティス(日本語訳)」を公開するなど、各国において基準やガイドラインが作成されている。
国際的には、現在、制御システムのセキュリティーを管理面、システム、コンポーネントまでカバーする基準として、国際計測制御学会(ISA)による制御システム向けのセキュリティー規格「ISA99」の国際標準化(「IEC62443」シリーズ)が進められている。この中の「IEC62443-2-1」は、ISO/IEC27000シリーズをベースに、制御システムに特化した部分を拡充して策定されたもので、IPAでは、この規格を活用するための解説書を提供し、制御システムにおけるセキュリティー・マネジメント・システム構築の普及・啓発を行っている(図1、Tech-On!の関連記事)。
しかし、これらの基準に従い、どこまでサイバー・セキュリティー対策を行うかは、一部の例外を除き多くは事業者の任意であり、実効性を疑問視する声も多い。米国では、重要インフラ・システムに関して、国が定める一定のセキュリティー基準に準拠することを法的に義務付ける法案が何度も議会に提出されている。しかし、政府による過度な規制への懸念や、政府主導で定める基準では、各業界の実情や要件に沿わない可能性が高いという業界の強い反発もあり、成立には至っていない(外部の関連情報1、外部の関連情報2)。
