IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
バーチャルパワープラント(VPP)事業におけるサイバーセキュリティリスクへの対応支援
近年、家庭・ビル・工場など点在する複数の小規模な発電設備や蓄電設備を集約し、あたかも1つの発電所のように活用する仮想発電所(VPP:Virtual Power Plant)が注目されています。PwCコンサルティングは、制御系、情報系、クラウド、IoT機器等、さまざまな要素が連携するVPP環境において、セキュリティリスクの可視化から設計、診断・テストまでのセキュリティ対策および対応プロセス・運用体制の構築を一貫して支援します。
VPPを活用した新たなビジネスに高い期待
VPPは再エネ発電機器や蓄電池などのエネルギーリソースを、IoT技術を使って遠隔で制御することで、エネルギーリソース側から電力系統に電力を流したり、需要を削減するなどのDR(Demand Response)を行ったりすることで、1つの発電所のように利用する仕組みです。このような技術を筆頭に電力業界を取り巻くビジネスモデルが大きく変わりつつあります。
VPPの活用に伴う新たなサイバーセキュリティリスク
既に多くの事業者にてエネルギーマネジメント/VPP実証の活用を含めた事業化が検討・推進されていますが、VPP環境でのサイバーセキュリティの担保が障壁の一つとなっています。
サイバーセキュリティ観点における不安(例)
- 各種制約(ERAB※サイバーセキュリティガイドラインなど)をどのように遵守すればよいかイメージできない
- 関連するステークホルダー(他社リソースアグリゲーター、需要家など)へのセキュリティ要求事項が具体化できない
- 従来システムと比較して、IoTは個々の機器までセキュリティ対策が行き届かず、IoT特有のリスクの可視化・対応やセキュアなIoT調達プロセスの確立が必要
- 新しいサービスや需要家側のERAB制御対象機器における新たな接続形態の出現等の変化によるセキュリティリスクの増大
※ERABは「エネルギー・リソース・アグリゲーション・ビジネス」の略称
サイバーセキュリティの担保にあたっては、ERABに関するサイバーセキュリティガイドラインへの準拠が必要
「ERABに関するサイバーセキュリティガイドラインVer3.0(資源エネルギー庁・独立行政法人 情報処理推進機構発行)」の制約事項を踏まえて、ERABに参画する各事業者はサイバーセキュリティ要件の整備、および対策実装、評価が必要です。
「ERABに関するサイバーセキュリティガイドライン」改定
ERABシステムを取り巻く環境の変化を踏まえ、「ERABに関するサイバーセキュリティガイドライン」がVer3.0へと改定される予定です。従来のようにゲートウェイやEMSを介さずに通信・制御を行うようなDRサービスの登場や、IoT機器の導入数増加による脅威の増大等の概況を鑑みた、新たなリスクへの対応を求める条項等が改定内容として追加される見込みです。
バージョン3.0に追加される見込みの、主な勧告・推奨事項
- 資産ベースおよび脅威シナリオベースによるリスク分析の実施
- ERAB参画事業者が自組織の資産の脆弱性を特定・文書化し、それをリソースアグリゲーターと共有すること
- ERAB制御対象のエネルギー機器が設置される需要家を含む、ERABシステムの利用者への脆弱性対策情報・脅威情報を通知すること
- 多様なリスク(標的型攻撃、不正アクセス、情報の改ざん、高負荷攻撃、ランサムウェア感染等)を想定した、対策の検討
- ERAB制御対象のIoT製品やゲートウェイ機器等を選定する際、「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」が定める、セキュリティ要件に準拠したサービスレベルを満たす製品を選定すること
- ERABガイドラインに記載のセキュリティ活動(脆弱性有無の確認、システム異常の検知、機能や権限、設定ミス確認 等)を実施するための対応体制の構築
今回新たに規定される見込みのリスク分析は、自組織のVPPシステムのリスクの可視化および必要なセキュリティ対策を導出するのに有益な対応となります。一方、事業者側で「どのようなリスク分析手法」で、「どこまでのシステム範囲」を評価し、「どのような優先順位で対策を実施すべきか」、予め整理・検討をしておかなければ、リスク分析の際に過剰なリソース消費や期待するような結果が導出できないといった事態に陥るおそれがあります。また、リスク分析は1回のみの実施ではなく、VPPシステムの大幅更新や制御対象機器の新たな利用形態の出現、新規事業者の接続等のタイミングで再度実施することで、変化・増大するリスクに柔軟に対応することが肝要となりますが、自組織のリソース状況を鑑みた適切な頻度やタイミングを考慮しないと過剰な負担に繋がりかねません。そのため、自組織にリスク分析の実績や対応ノウハウが少ない場合は、第三者による評価を利用することも有効な手段となります。
特に「IoT特有の性質」を考慮したリスク可視化・対策検討に注意が必要
従来のシステムと比較して、IoTシステムは個々のデバイスまでセキュリティ監視が行き届きにくく、不正接続・マルウェア感染・破壊・盗難などにより、異常が広範囲に及ぶ可能性があります。このようなIoT特有の性質を勘案した上で、セキュリティリスクの洗い出し、セキュリティ要件定義・設計・調達が必要です。
PwCのVPP事業におけるサイバーセキュリティリスクへの対応支援
PwCコンサルティングは、制御系、情報系、クラウド、インターネット、IoT機器等、さまざまなバーチャル・フィジカル要素が相互に連携するVPP環境において、セキュリティリスクの可視化から設計、診断・テストまでのセキュリティ対策および対応プロセス・運用体制の構築を一貫して支援します。
主なサービス内容
- VPPシステムにおけるセキュリティリスクの可視化、および要件明確化
- 各法令・ガイドラインや外部要求事項に準拠したセキュリティ要件の実装方針の明確化
- セキュリティ運用体制・業務プロセスの設計
- IoTデバイス(ゲートウェイ等)におけるセキュリティ対策の整備
- 第三者視点でのVPPセキュリティ対策の充足度評価
- クラウド・IoT環境における脆弱性診断・ペネトレーションテスト
- 制御対象機器やクラウドサービスのセキュア調達プロセスの策定
インサイト/ニュース
20 results
Loading...
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
