進展せぬ電力供給網のサイバー・セキュリティ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

進展せぬ電力供給網のサイバー・セキュリティ

国際 海外情報

Kevin Poulsen(SecurityFocus)
2004年8月16日(月)09:31 GMT

 昨年、米国の歴史上において最悪の停電が発生し、北米の電力供給網の脆弱さに関心が集まった。それから一年、コンピュータの不正侵入から電力供給網を保護する状況はななかなか進んでいない。

 今週、北米電力信頼度協議会 (NERC:米国およびカナダに電気を供給するための非営利の業界団体) は、2003年8月14日に発生した北米の停電以降、電力供給網の信頼性を強化するための対策リストを公開した。その停電とは、オハイオ州の高圧送電網の電圧低下により、米国の 8 州とカナダの 1 州が停電となり、およそ 5000 万人が闇に取り残されたのだ。

 NERC は最近、対策リストのサイバーセキュリティ部分に関して、規則を書き換えることに賛成した。その規則は Urgent Action Cyber Security Standard 1200 と呼ばれるもので、米国およびカナダの電力会社が遵守すべき最低限のサイバーセキュリティ要件を記したものだ。しかし、その基準は停電前に作成されたものであり、その適用範囲は比較的狭いものだった。具体的には、電力会社の制御センターのみに適用され、変電所や発電所そして遠隔から操作される制御システム、そして送電網全体に電気を供給する継電器には適用されないものだ。「規則は十分とは言えない。つまり適用範囲は非常に制限されている」と業界のシンクタンク、Electric Power Research Institute のエンタープライズ情報セキュリティ担当責任者 Tom Kropp 氏は指摘する。

 NERC のサイバーセキュリティ担当責任者 Lou Leffler 氏はその理由について次のように述べている。「基準が十分でないのは、現実的な理由に依るものだ。要件を満たさなかった場合、電力業界はその基準を自身に課すことを望まなかった。また、全てに防御機能を配備するという点に関して、技術が存在しない領域があるのだ」。


●ワシントンの懸念

 SCADA (Supervisory Control and Data Acquisition) は、電力会社がリモートから電話回線、無線リンクそして最近増えつつある IP ネットワークで発電機器や変電所を制御し監視するシステムだ。それがサイバー攻撃の格好の標的となっているのだ。しかし、既存の一部の SCADA システムにおいて、経済的理由からリンクに受け入れがたい待ち時間(すなわち通信速度の低下)を発生させずに、暗号化もしくは認証技術を用いてシステムのセキュリティを強化することができないのだ。「暗号化や証明書などを施すデバイスはない」と Leffler 氏。

 北東部地域の停電を受けて、John Kerry 大統領候補は業界のサイバーセキュリティ基準の狭い適用範囲に懸念を示した。そして米国の上院議員の立場で連邦エネルギー規制委員会(FERC)の会長に対し、NERC の基準および批准されなかった連邦基準案から発電所や制御システムの事故原因を説明するよう求めた。

 Kerry 氏は 2003年9月8日付けの公式文書で次のように書いている。『ご存知のように、発電、送電、配電と制御および通信機能の統合は増加の一途にあり、その結果、送電網のセキュリティは益々セキュリティのコンポーネントに依存するようになった。私は、電力インフラのセキュリティ機能を強化する姿勢を強く支持する。しかし、安全且つ信頼できる発電の操作を監視するために使用されるシステムが規則の適用範囲外にあることに懸念を示す』

 Kerry 氏の書簡を受けて FERC の会長 Patrick Wood 氏は、各発電所の事故原因は概して送電網を脅かすものではないと返信した。さらに "明らかな脆弱点" に関し、費用対効果の良い市販のソリューションで制御システムのセキュリティを確保することができなく、従ってセキュリティ基準から問題なく除外されたという NERC の見解に同意した。


[情報提供:The Register]
http://www.theregister.co.uk/

[翻訳:関谷 麻美]

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  2. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  3. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  4. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. どこかへ跳んでいけ、出来の悪いラビット(The Register)

  7. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  8. SMSによる二要素認証が招くSOS(The Register)

  9. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  10. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×