NERC CIPC 電子部門セキュリティー・ガイドラインレポート
このレポートには、ユーザーのサイトで見つかった NERC CIPC 違反の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
問題点
大統領指示事項第 63 号 (PDD-63) の「米国における重要インフラの保護」は、電力を重要なインフラストラクチャーとして公式に認定しています。PDD-63 では、重要なインフラストラクチャーを保護するというきわめて重大な任務のために、個別のインフラストラクチャー・セクター内での連携および政府との連携のためのフレームワークが求められます。アメリカ合衆国エネルギー省は、電力セクターの主要機関であり、北米電力信頼度協議会 (NERC) を電力業界の部門調整者として指定しています。NERC は、業界各社が脆弱性および予測される脅威に対する自社のリスクおよび公開度を評価するのに役立つセキュリティー・ガイドラインを発行しています。違反には、内部関係者および部外者によるものが含まれ、違反内容はサイバー上で実行される場合と物理的に実行される場合があります。サイバー - アクセス制御
有効なアクセス制御は、電子インフラをサポートおよび維持するための、電子情報システムおよびサービスを保護するために重要です。そのような情報システムやサービスへの論理および物理アクセスの許可、認証、およびモニターを管理するためのポリシーおよび手順は、電気インフラをサポートする情報システムまたはサービスの所有者または管理担当者によって適切に文書化されている必要があります。この文書には、役割および責任、許可を行うための手順、および認証とモニターのために選択する方式が明確に定義されている必要があります。このガイドラインは、電気インフラをサポートする情報システムおよびサービスの所有者または管理担当者に適用されます。
サイバー - 侵入検出
有効なサイバー侵入検出プログラムを実装して保守するには、積極的で継続的な努力が求められます。テクノロジーが変化するにつれて、ネットワーク攻撃に使用されるツールも変化します。IT 組織にとって、テクノロジーの変化に対応して、新しい攻撃方法やツール、さらに攻撃の発生時にはそうした攻撃について理解することは急務です。初期検出は不可欠であり、1 日 24 時間、週 7 日の検出体制を検討すべきです。また、ポケットベル、E メール、またはボイス・メッセージ・システムと連携した警報を発動する自動化モニター・アラームの使用も検討する必要があります。このガイドラインは、電気インフラをサポートする情報システムおよびサービスの所有者または管理担当者に適用されます。
サイバー - リモート・アクセスの保護
Electronic Control and Protection Systems (ECPS) は、電力を発電、送信、および配布するシステムを制御します。業務上の理由から、ECPS にリモートでアクセスする手段をユーザーに提供することが必要です。これらのシステムへのリモート・アクセスは、セキュリティーに関する特殊な考慮事項を必要とします。ECPS への無許可のリモート・アクセスは、電気サービスの中断、配電網の部品の損傷、または人命や資産への危険を招くことがあります。ECPS の供給元およびその他のサポート担当者は、インターネットを経由した内部制御ネットワークへの直接接続をサポートするために、pcAnywhere、Telnet、および FTP などのリモート・アクセス・ツールをますます使用するようになっています。そのため、ECPS へのリモート・アクセスのセキュリティーを保持することが重要です。ユーザーの認証は、セキュリティー・ポリシーの重要な要素です。このガイドラインは、重要な電気インフラをサポートする ECPS またはサービスを所有、管理、または保守する人物に適用されます。