電力業界セキュリティマネジメント成熟度評価モデル「ES-C2M2」をざっくり
今日、IPAより以下の資料が公開されました。
ほうほう、重要インフラ業界のセキュリティマネジメントがどれだけできてるか評価できる指標と。
それはちょっと気になります。
ざっくり概要
開発元:米国エネルギー省が主導で、以下のメンバーが協力
・米国国土安全保障省(DHS)
・官民の専門家
・電力業界の電力資産所有者およびオペレーターの代表者ら
背景:ホワイトハウスの主導する「電力業界サイバーセキュリティリス
ク管理成熟度イニシアチブ」を支援するため
目的:電力業界のサイバーセキュリティ体制を把握し改善する
目標:米国大統領政策指令第 21 号「Critical Infrastructure Security and Resilience(重要インフラのセキュリティと回復力)」で定義された米国の重要インフラ 16 分野の個別のインフラ保護計画に沿った対策ができること。
用途:
・電力業界におけるサイバーセキュリティ能力の強化
・公益事業者によるベンチマークを活用した効果的かつ一貫性のあるサイバーセキュリティ能力の評価
・知識、ベストプラクティス、および関連情報の共有によるサイバーセキュリティ能力の向上
・公益事業者におけるサイバーセキュリティ向上のための必要なアクション、投資優先度の決定
熟成度モデル
成熟度モデルは、ある領域における能力と達成度を示す特性、属性、指標またはパターンのセットで設計されています。
成熟度モデルの内容は通常、ベストプラクティスを例示し、標準やその他の指針をまとめています。
したがって成熟度モデルは、現在取組んでいる対策や手法等の能力レベルを評価し、目標や改善のための優先順位を設定するためのベンチマークを提供します。
「ES-C2M2」では、評価指標として「熟成度モデル」を使用しています。
0 から 3 の成熟度指標レベル(Maturity Indicator Level、以下“MIL”)がある。
なお、このMILの評価は分野(ドメイン)ごとに独立して評価され、それぞれのドメインごとに目標値を設定することが推奨されている。
成熟度指標レベル 0(MIL0)
モデルには MIL0 のプラクティスはありません。
MIL0 とは、対象となるドメインでMIL1 を達成していないことを単に意味します。
要するに、
まともにセキュリティがない状態です。
重要インフラでこんなことはないと信じたい…
成熟度指標レベル 1(MIL1)
各ドメインにおいて、MIL1 は初期のプラクティスを含みます。
MIL1 を達成するには、これらのプラクティスをアドホックな方法であっても実施する必要があります。
アドホックとは、定められた計画(口頭、文書問わず)、ポリシー、またはトレーニングのように組織的なガイダンスがない状態で、個人やチーム(およびチームのリーダーシップ)のイニシアチブや経験に大きく依存して、プラクティスを実施することを指します。
具体的には、
会社として計画が立てられておらず、
担当者が超頑張っている状態。
重要インフラがひとり情シス的な状況とか、何それ怖い。
何もなければ、最初はここを目指します。
なおES-C2M2では、
全ての組織に対して、
ES-C2M2のドメイン全てにおいて、
MIL 1 を満たすことを推奨しています。
成熟度指標レベル 2(MIL2)
① プラクティスが文書化されている
② プラクティスの利害関係者が特定され、関与している
③ プロセスをサポートするための適切なリソース(人、資金、およびツール)が提供されている
④ プラクティス実装の指針となる標準および(または)ガイドラインが特定されている
要するに、
会社としてお金も担当者も割り当てられて、計画が文書化されている状態。
ここまでできていれば、「セキュリティ戦略」と言えます。
成熟度指標レベル 3(MIL3)
① アクティビティがポリシー(または他の組織的指示)とガバナンス(統制)のもと実施されている
② ポリシーに特定された標準および(または)ガイドラインのためのコンプライアンス要件が含まれている
③ アクティビティがポリシーに準拠しているか定期的にレビューされている
④ プラクティス実施のために必要な責任と権限が担当者に与えられている
⑤ プラクティスを実施する担当者は、適切なスキルと知識を備えている
要するに、
行動がルールによって組織的に統制され、
定期的なレビューを実施し、
有能な担当者が適切な権限のもとで活躍している。
ここまでできてれば言うことなしですね!
ドメイン
ES-C2M2 では、10 のドメインが定義されています。
各ドメインには複数の“目標(Objectives)”が存在し、
各“目標”には複数の“プラクティス(Practices)”が存在します。
10 のドメインにおいて、
合計 37 の“目標”と、
311 の“プラクティス”が存在します。
項目はそれぞれ
・リスク管理
(Risk Management / RM)
・資産、変更および構成管理
(Asset, Change, and Configuration Management / ACM)
・アイデンティティとアクセス管理
(Identity and Access Management / IAM)
・脅威および脆弱性管理
(Threat and Vulnerability Management / TVM)
・状況認識
(Situational Awareness / SA)
・情報共有・コミュニケーション
(Information Sharing and Communications / ISC)
・イベン ト ・ インシデン トへの対応、業務継続
(Event and Incident Response, Continuity ofOperations / IR)
・サ プ ラ イ チ ェ ー ン お よ び 外 部 依 存 性 管 理
(Supply Chain and External Dependencies Management / EDM)
・要員管理
(Workforce Management / WM)
・サイバーセキュリティプログラム管理
(Cybersecurity Program Management / CPM)
資料には、個別で必要な要素が説明されていますので、詳しくはそちらをご参照ください。(疲れた)
チェックシート
プログラムが実装されているか、評価するためのチェックシートが用意されています。
頑張って埋めると、とてもカラフルになります。
プロセス業務のためのアプローチ
ES-C2M2 では達成すべき特定の MIL を規定していませんが、全ての組織が、少なくとも ES-C2M2 ドメインすべてにおいて MIL 1 を満たすことを推奨しています。
MIL の達成レベルを一律にあげるのではなく、
たとえば社内検討によって、情報共有・コミュニケーション(ISC)ドメインの目標を MIL 2 に設定する一方、
資産、変更および構成管理(ACM)およびイベント・インシデント対応と業務継続(IR)ドメインの目標を MIL 3 に設定する等、
各事業者の状況(費用対効果)に合わせて改善計画を策定することが重要です。
「費用対効果を考えて、効果的なところからやりましょう」
「ただ、最低MIL1にはしような?」
ゆかいななかまたち
「NERC CIP(重要インフラ防護基準)」
NERC Critical Infrastructure Protection Standard
(NERC:North American Electric Reliability Corporation)
だいたい「NERC-CIP」と略されます。
電源システムの最低限のセキュリティ要件を定義しています。
「NIST IR 7628(スマートグリッド向けセキュリティガイドライン)」
NIST IR 7628 Guidelines for Smart Grid Cybersecurity
(NIST IR:National Institute of Standards and Technology Interagency
スマートグリッド向けの効果的なサイバーセキュリティ戦略の開発に使用できる分析フレームワークです。
まとめ
結論としまして、
「停止できない大規模システムを持つ組織のセキュリティ戦略を行う上で、有用な評価モデル」
であるように感じました。
・ドメインごとの目標、課題が細かく設定されていて、専門家でなくとも進めやすい。
・評価のためのチェックシートが提供されている。
・日本語翻訳されている(IPAさん本当にありがとうございます)
反面、300を超えるプラクティスがあるため、
「気軽にやってみよう」とはならないのも事実。
本腰をいれてセキュリティ戦略に取り組むなら、参考にしてみてはいかがでしょうか。
この記事が気に入ったらサポートをしてみませんか?