概要
北米電力信頼度協議会(NERC)は、米国、カナダ、メキシコの一部で数億人に電力を供給する電力網と電力システムのリスク低減に役立つコンプライアンス標準の策定に取り組む、非営利の国際規制機関です。
NERCの重要インフラ保護(CIP)要件は、北米の大規模電力システム(BES)全体で、信頼性が高く効率的に電力を供給するために、重要資産を保護・安全確保するサイバーセキュリティフレームワークが不可欠である理由を示しています。これらの標準は規制として施行されるため、法的要件となっています。
連邦エネルギー規制委員会(FERC)は、電力網のセキュリティと信頼性を高めるため、特に過去の大規模停電を受けて、これらのNERC CIP標準の施行において重要な役割を担っています。
NERCは、サイバー脅威の増加が北米の電力網に対して起きていることを指摘し、ウェブキャストで「送電網の仮想的および物理的な弱点、つまりサイバー犯罪者に狙われやすいソフトウェアまたはハードウェア上の箇所が、23,000~24,000の範囲に増加した」と述べています。
本記事では、電力網への脅威が増大している実態について詳しく説明します。また、エンタープライズグレードのパスワード管理がエネルギー分野のセキュリティレジリエンスを高め、パスワードセキュリティを強化し、NERC CIP標準への準拠において内部および外部の脅威を制限するアクセス制御を確保する方法についても解説します。
攻撃ベクトルとしての電力網
電力網は経済成長を支える重要な要素であり、インフラと国家安全保障の両方に影響します。端的に言えば、大規模電力システムが機能しなければ、社会は停止してしまいます。そのため、サイバー犯罪者にとって非常に魅力的な標的にもなっています。
最近の米国政府説明責任局(GAO)の調査結果は、エネルギー業界の運用技術を保護するうえで課題が増大していることを明らかにしており、次のように述べています:
「米国の電力網システムには、脆弱性が存在する箇所が複数あります。たとえば、送電システムから消費者へ電力を届ける配電システムは、運用技術がリモートアクセスや業務ネットワークへの接続を可能にする傾向が強まっていることもあり、脆弱性が高まっています。これにより、脅威アクターがこれらのシステムにアクセスし、運用を妨害する可能性があります。
国家や犯罪グループは、国家情報長官の2022年年次脅威評価によると、米国の重要インフラに対して最も重大なサイバー脅威をもたらしています。これらの脅威アクターは、電力網を攻撃する能力をますます高めています。」
電力網に対する最近の攻撃は、物理的な脆弱性とサイバーセキュリティ上の脆弱性を悪用しています。NERCは、サイバー脅威について言及し、「直接定量化するのはより困難」としています。前述のとおり、電力システムのセキュリティ上の弱点は増加しており、1日あたり平均60件のサイバー攻撃が追加で発生する結果となっています。
重要インフラ保護のためのNERC CIP標準の内訳
電力網企業に関連するNERC CIP要件は13項目あります:
BESサイバーシステムの分類:サイバー攻撃が発生した場合に、より広範なBESを危険にさらす可能性のある資産を組織が特定し、それに応じて分類・保護することを求めています。これには、BESの信頼性の高い運用を確保するために、「BESサイバー資産」と「重要サイバー資産」を特定し保護することが含まれます。
セキュリティ管理統制:組織は、人員のトレーニングやセキュリティインシデントの報告など、BESサイバーシステムを侵害から保護するセキュリティ管理統制を実装する必要があります。
要員とトレーニング:BESサイバーシステムにアクセスする個人には、リスク評価を実施し、セキュリティ意識向上のトレーニングを行う必要があります。
電子的セキュリティ境界:組織は、BES資産を保護する電子的セキュリティ境界(ESP)を定義し、そのうえで保護する必要があります。
BESサイバーシステムの物理的セキュリティ:チームは、BESサイバーシステムを侵害から保護するための物理的セキュリティ計画を策定する必要があります。
システムセキュリティ管理:この標準は、悪意のあるコードの監視と削除、既知のデフォルトパスワードの変更など、BESサイバーインフラを保護するために必要な技術的、運用上、手続き上の要件を定めています。
インシデントの報告と対応計画:インシデントの証拠をどのくらいの頻度で文書化し、どのくらいの期間保持するかなど、インシデント対応要件を説明します。
BESサイバーシステムの復旧計画:インシデント発生時にBESの継続的な安定性を支えるための復旧計画要件を扱います。
構成変更管理と脆弱性:BESサイバーシステムへの不正な変更を防止・検出するため、組織は構成を設定する時期と方法に関する仕様に従う必要があります。
情報保護:企業は、保管時、使用時、転送時を問わず、BESの運用に不可欠な情報を保護しなければなりません。
制御センター間の通信:制御センター間で送信されるデータは、常に保護されなければなりません。
サプライチェーンリスク管理:組織は、サプライチェーンリスクを軽減するためのセキュリティ管理策を実装しなければなりません。
物理的セキュリティ:組織は、物理的な攻撃から拠点や変電所を保護するための計画を整備しなければなりません。
NERC CIPコンプライアンスチェックリストは非常に広範です。ここではパスワードセキュリティに関する推奨事項に焦点を当てると、ガイドラインでは組織に次の対応を推奨しています。
大規模電力系統に最適なパスワードソリューションとしてBitwardenが選ばれる理由
成功したサイバー攻撃が電力網システムに対して行われると、運用や重要な電力供給が停止に追い込まれる可能性があります。幸い、BitwardenのようなNERC CIPコンプライアンスソフトウェアは、サイバー犯罪者に対する第一の防御線となります。Bitwardenは、エネルギー事業者が強力で一意のパスワードを生成・管理できるようにすることで、パスワード関連の侵害に対する脆弱性を低減します。その他の主なメリットは次のとおりです。
役割ベースのアクセス制御により、管理者は詳細な権限をカスタマイズして付与でき、さらに特定の機能にアクセスできるユーザーを制御できます。必要性に基づいてユーザーアクセスを制限することで、電力網の組織は機密性の高いシステムを制御下に維持できます。
エンドツーエンドで暗号化された保管庫は、パスワードだけでなく、会社カードやその他の個人識別情報(PII)も保護します。
多要素認証機能により、組織は第2の認証レイヤーを導入して、ブルートフォース攻撃や内部脅威を抑止できます。
パスワード共有機能により、チームや部門は、場所やデバイスを問わず、複雑なパスワードやその他の機密データを安全に生成、管理、共有できます。
シームレスで柔軟な統合オプションには、IDプロバイダーやディレクトリサービス(SCIMを含む)とのシングルサインオン(SSO)が含まれます。
簡単なオンボーディングにより、集中管理された管理者コンソールでエンタープライズポリシーを有効化し、ユーザーを自動的にプロビジョニングできます。
クロスプラットフォームアクセスにより、デバイス数の制限なく利用できます。
脆弱性レポートにより、脆弱なパスワードや再利用されたパスワードを明らかにし、詳細なイベントログと監査証跡で機密データへのユーザーおよびグループのアクセスを監視できます。
定期的なサードパーティーセキュリティ監査、暗号分析、Bitwardenのペネトレーションテストにより、パスワードマネージャーが最高水準のセキュリティ基準を維持していることを確認します。
大規模電力系統は経済を支え、国家安全保障に影響を与え、日常生活を動かしているため、エネルギー事業者が使用する認証情報を、強力で一意のパスワードによって高度に保護し続けることが極めて重要です。全社的なパスワードマネージャーを導入することは、厳格で法的拘束力のあるNERC CIP要件を満たす必要がある組織にも大きなメリットをもたらします。
Bitwardenを始める
Bitwardenのビジネス向け機能を詳しく確認するには、今すぐ無料トライアルを開始してください。