エクスプロイト&脆弱性
攻撃者は既に内部にいる:NERC CIP-015が電力網の防御策を変える
NERCのCIP-015は、バルク電力システムにおける内部ネットワークのセキュリティ監視を義務付けた初の基準です。本記事では、CIP-015で求められる要件、運用技術環境で対応が難しい理由、TrendAI™が各要件にどのように対応できるかを解説します。
- 境界防御だけでは、電力網を狙う攻撃を阻止することは困難です。
- NERCのCIP-015は、電子セキュリティ境界内部で行き来する東西トラフィックを継続的に可視化するよう義務付けた初の基準です。
- 古い規格に基づくレガシーな運用技術(OT:Operational Technology)環境においては、既存の産業用通信プロトコルや無停止運用(ゼロダウンタイム)などの制約により、従来型のセキュリティ監視ツールの適用が困難となっています。
- CIP-015のコンプライアンス適用期限は2028年9月から段階的に設定されています。今から準備に取り掛かりましょう。
- TrendAI Vision One™プラットフォームは、情報技術(IT:Information Technology)・運用技術・クラウド環境を横断的に相関分析し、受動的かつプロトコルベースの可視性を提供します。運用システムにエージェントを追加する必要がなく、運用可用性にも影響を与えることなく機能します。
国際的な非営利規制機関「北米電力信頼性協議会(NERC:North American Electric Reliability Corporation)」は、重要インフラ保護(CIP:Critical Infrastructure Protection)フレームワークにおける最新基準「CIP-015」を策定しました。本基準は、電力会社に対し、電子セキュリティ境界(ESP:Electronic Security Perimeter)に対する従来の境界防御に加え、内部ネットワーク上で発生するサイバー脅威の監視を初めて義務付けるものです。電力会社のセキュリティ部門やコンプライアンス部門にとって、本基準は近年における最も重要な規制動向の一つと言えるでしょう。本ブログ記事では、CIP-015が策定された背景や具体的な要求事項、ならびにバルク電力システム(BES:Bulk Electric System)の資産を運用する組織への影響やその意義について解説します。
重要インフラに対する大規模なサイバー攻撃の多くは、共通したパターンで進行します。攻撃者は、フィッシングメール、侵害されたベンダ環境、外部に露呈したリモートアクセスポイントなどを通じてネットワーク内に侵入した後、静かに潜伏活動へと移行します。侵入後は環境内を慎重に探索しながら内部構造を把握し、どのシステムがどの設備や機能を制御しているのかを特定します。そのうえで、将来的な影響を最大化するために攻撃基盤を構築していきます。被害組織が異常に気づく頃には、攻撃者がすでに数週間、場合によっては数ヶ月にわたり内部に潜伏していることも少なくありません。実例として、サイバーセキュリティ・インフラセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、攻撃者集団「Volt Typhoon」が少なくとも5年間にわたり検知されることなく被害組織のネットワーク内で継続的なアクセスを維持していたことを確認しています。中国との関連が指摘されるVolt Typhoonグループは、エネルギー業界を含む米国の重要インフラを標的としています。
NERCのCIP-015は、このような脅威に対応するために策定された基準と言えます。
内部ネットワークの可視化に焦点を当てたNERCの最新基準「CIP-015」
NERCは、バルク電力システムを支える資産を所有・運用する組織に対し、重要インフラ保護フレームワークにおける最新基準「CIP-015」を追加策定しました。従来の基準と異なり、その焦点は境界防御ではなく、電子セキュリティ境界内部におけるネットワークの可視化や監視に置かれています。
内部ネットワーク可視化の重要性は、現在の脅威動向によって裏付けられています。2024年には米国の公益事業を標的としたサイバー攻撃が約70%増加し、689件から1,162件に達しました。このような状況は、内部ネットワークの可視化を単なるコンプライアンス要件ではなく、運用上不可欠な要件へと押し上げています。
電力網のセキュリティ体制は、長きにわたり「防護壁」の概念に基づいて設計されてきました。重要システムの周囲に電子セキュリティ境界を定義し、その境界線を通過する通信を制御できれば、セキュリティの目的は達成されると考えられてきました。NERCがこれまでに策定した重要インフラ保護フレームワークの各基準は、この境界防御モデルを段階的に定義したものであり、保護対象となるシステムの定義方法、それらの堅牢化、アクセス制御の管理、ベンダやサプライチェーンに起因するリスクの取り扱い方法に至るまで、体系的に整備されてきました。
それらの基盤は重要である一方で、「境界を適切に構築すれば攻撃者を排除できる」という前提が常に成立するとは限りません。NERCのCIP-015は、その前提が成立しない場合に何が起こり得るかを問いかけています。
その答えとして求められるのが、内部ネットワークに対するセキュリティ監視です。つまり、境界の内側で何が起きているかを継続的に可視化し、本来存在すべきでない挙動を検知して対処することにあります。
重要インフラ保護基準におけるCIP-015の位置付け
NERCのCIP-015は、単独のセキュリティ要件としてではなく、長きにわたり構築・改訂されてきたコンプライアンスの集大成として理解することが重要です。
CIP-015より前に策定された各基準は、その基盤を段階的に形成してきました。具体的には、保護対象となるシステムの分類や堅牢化、アクセス制限、構成管理、サプライチェーンリスクへの対応方法などが含まれます。これらの基準は、それより前に策定された基準が適切に機能していることを前提に設計され、セキュリティモデルは段階的に強化されてきました。
CIP-015は、その論理を突き詰めた結果として具現化された最新基準です。システムの分類や堅牢化、明確な境界線による保護、そしてベンダによる検証がなされているとすれば、なお残されている課題は何でしょう?それは、境界内部で何が起きているのかをリアルタイムで把握するための手段です。これこそがNERCがCIP-015を策定した背景であり、規制要件として求められているものです。また、重要インフラ保護フレームワークにおける重要なギャップ、すなわち境界内部におけるリアルタイム可視性を補完するためのものでもあります。
「電子セキュリティ境界の内部」とは
電力網の環境では、電子セキュリティ境界内部のシステム同士が常に相互通信を行っています。具体的には、監視制御およびデータ取得(SCADA:Supervisory Control and Data Acquisition)プラットフォームがフィールド機器との通信を、エンジニアリングワークステーションが制御システムとのデータのやり取りを担っています。産業用センサーは監視ソフトウェアへ情報を送信し、ベンダプラットフォームは診断や更新のために運用インフラへ接続します。
この内部通信(東西トラフィック)こそが、攻撃者による内部活動・情報探索が行われる領域です。これは、侵入者がすでに建物内に侵入し、部屋から部屋へと静かに移動しながら価値あるモノを物色している状況に例えられます。仮にセキュリティツールが入り口(境界)のみを監視するよう設計されている場合、このような内部での不正活動を検知することはできません。
従来型セキュリティアーキテクチャの多くは、この領域に構造的な盲点を抱えています。これらはネットワーク境界を通過する通信の監視を前提に設計されており、内部ネットワーク上を行き交う通信の監視は想定されていません。NERCのCIP-015は、このギャップを埋めるため、企業組織に対し、内部通信の監視、正常な挙動のベースラインの確立、異常の検知、そして異常が確認された際に調査を実施できる体制の維持を求めています。
さらにCIP-015では、企業組織の運用ネットワークに接続されているすべての機器を把握・管理することも求められています。対象となるのは、正式な資産管理台帳に登録された機器に限らず、請負業者のパソコン、ベンダの診断ツール、許可なく接続された機器など、ネットワークに接続されるあらゆる機器です。複雑な運用環境においては、管理下にない機器や存在が把握されていない機器は、継続的かつ現実的なセキュリティリスクとなります。CIP-015では、こうした機器についても適切に把握・管理することも求められています。
電力網環境においてCIP-015への対応が難しい理由
CIP-015で求められる内部可視性の実現は理論上容易に見えますが、実際には特に運用技術環境において困難です。
その課題はまず通信の言語に起因します。産業システムは企業組織のIT環境とは大きく異なる方法で通信を行っており、SCADAではDNP3(Distributed Network Protocol)、変電所運用の自動化ではIEC 61850、レガシー制御システムではModbus、産業用ソフトウェアやハードウェア間のデータ交換ではOPC UA(Open Platform Communications Unified Architecture)といった多様なプロトコルに依存しています。
IPレベルの通信にのみ対応する従来型のセキュリティ監視ツールは、このような環境において本質的に文脈を解釈できません。データの流れ自体は検知できても、その挙動が正常か異常か、何を目的とした通信なのかを解釈することはできません。結果として、異常を識別するために不可欠な文脈が欠落することになります。
次に課題となるのは、現実的にどこまでシステムに介入できるかという点です。多くの運用環境は、長年更新されていないファームウェアを搭載したレガシー機器に依存しています。これらのシステムはセキュリティエージェントを実行できない場合が多く、標準的なITサイクルでの修正プログラム(パッチ)適用も難しく、停止や障害にも耐えることが困難です。
そのため、各エンドポイントにソフトウェアをインストールすることを前提とした監視方式は、電力網のセキュリティ基盤の多くにおいて現実的ではありません。代わりに、ネットワークから直接可視化に必要な情報を取得し、運用システムに一切影響を与えない受動的な方法で監視を行うことが求められます。
特に重要なのは、これらのシステムは停止や再起動がほとんど許容されないという点です。企業組織のIT環境における短時間の停止や再起動は一時的な業務上の影響にとどまります。しかし、電力会社の運用環境では可用性は絶対条件であり、計画的な再起動であってもサービス中断のリスクから許容されない場合があります。
そのため、遅延や不安定性、運用上のリスクをもたらす監視ソリューションは、実用的な選択肢とは言えません。
NERCのCIP-015が実際に求める要件
バルク電力システムの所有者や運用者に対して、NERCのCIP-015は4つの主要な内部監視要件を定めています。
- 電子セキュリティ境界内部の通信監視。企業組織は、境界を超える通信だけでなく、電子セキュリティ境界内におけるシステム同士の相互通信(東西トラフィック)についても継続的に可視化することが求められます。
- ネットワーク上の異常な挙動の検出。企業組織は、通常の運用状態から逸脱するベースラインを特定し、ネットワーク内部で異常が発生した際に早期に検知・対応できる仕組みを構築することが求められます。
- 許可されていない機器や接続の特定。企業組織は、運用ネットワークに接続されているすべての機器を把握・管理することが求められます。具体的には、請負業者のパソコン、ベンダの診断ツール、許可なく接続された機器など、正式な資産管理台帳に登録されていない機器も含まれます。
- 潜在的な脅威を迅速に調査できるセキュリティ体制の構築。企業組織は、不審な挙動を調査する能力を維持するとともに、環境全体で発生している事象を把握できるよう、文脈情報やイベントを相互に関連付けて相関分析できる体制を構築することが求められます。これにより、被害が拡大する前に適切に対応できるようになります。
これらは任意のガイドラインではなく、バルク電力システムを支える資産を運用する組織に課される、明確に定義化されたコンプライアンス要件です。米国連邦エネルギー規制委員会(FERC:Federal Energy Regulatory Commission)は、2025年6月にCIP-015-1を承認しました。コンプライアンスの適用は段階的に施行されます。影響度の高いバルク電力システムのサイバーシステムは2028年9月に、その他の対象システムは2030年9月に適用期限が設定されています。つまり、準備の猶予期間は既に限られています。
TrendAI Vision One™によるCIP-015への対応方法
TrendAI Vision One™プラットフォームは、NERCが策定したCIP-015の最低要件を満たすだけでなく、不審な挙動を検知した際、迅速な対応判断を可能にする運用レベルの可視性を提供します。
本プラットフォームは、運用環境における通信をネイティブに理解できるよう設計されており、産業制御システムの通信を単に検知するのではなく、正常・異常といった状態や通信の目的を解釈することが可能です。この機能は、検知の中核を担う「TrendAI™ TippingPoint™」や「TrendAI™ Deep Discovery™ Inspector」によって支えられており、DNP3やModbusなどの産業用通信プロトコルに対応した可視化・解析を提供します。変電所運用の自動化に用いられるIEC 61850や産業制御システム間のデータ交換を担うOPC UAといったより高度な産業用通信プロトコルへの対応は、TrendAI Vision One™に統合された運用技術エコシステムを通じて提供されます。いずれの場合も、単に通信の存在を検知するのではなく、その通信内容や目的を解釈することで、背景文脈に基づいた高度な異常検知を実現しています。
TrendAI Vision One™プラットフォームは、電子セキュリティ境界内部において東西トラフィックを継続的に監視し、産業制御システム、SCADAプラットフォーム、運用技術環境内の機器、企業組織の利用するツール間の通信を可視化します。これらは、攻撃者による内部活動・情報探索などが行われる可能性のある領域です。確立されたベースラインから逸脱する挙動が検知された場合、AIによる分析結果が調査対象として提示され、被害が拡大する前に対応判断を支援することで影響を最小限に抑えます。
資産の継続的な可視化は、受動的なトラフィック分析や既存環境に展開されたネットワークセンサーを活用した能動的スキャンを組み合わせることで実現されます。これにより、新たなアプライアンスやエージェントを追加することなく、ネットワーク上のあらゆる資産を可視化できます。可視化の対象には、管理システム、モノのインターネット(IoT:Internet of Things)機器、IPカメラ、運用技術機器、請負業者のノートパソコン、正式な資産管理台帳に登録されていない機器(未承認サーバなど)が含まれます。CIP-015への準拠においては、これらを区別して把握することが極めて重要です。管理下にない機器を把握していない場合、それらに起因する脅威に対処できないためです。特に電力網のような複雑な環境では、「管理下にない機器」が想定外の形で存在していることが少なくありません。
これらはすべて、運用システムにエージェントを追加することなく、また運用可用性に影響を与えることなく機能します。積極的な資産可視化が必要な場合でも、既に導入されているセンサーを活用して実行されるため、新たな機器を追加したり、運用部門との導入調整を行ったりする必要もありません。プラットフォームによる監視は、環境要件に応じて受動的かつ運用環境に影響を与えない形で動作する一方で、コンプライアンス上必要な情報は確実に可視化されます。これにより、保護対象となる運用技術環境への影響を最小限に抑えつつ、セキュリティ担当者には意思決定に必要な情報を提供し、迅速な対応を可能にします。
電力網のセキュリティ体制を構築する上でTrendAI Vision One™が強みを発揮する理由の一つは、IT・OT・クラウド環境を横断的に相関分析できる点にあります。バルク電力システム基盤を標的とした攻撃活動が単一環境で完結することはほとんどなく、企業組織のIT環境への侵入を起点に運用技術環境へと移行し、クラウド基盤へと被害を拡大させる事例も確認されています。TrendAI Vision One™は、これら3つの環境で発生するイベントを単一のプラットフォーム上で関連付けることで、個別の断片的なアラートではなく、攻撃全体の流れを可視化します。これによりセキュリティチームは、個別に点在する警告アラートとしてではなく、攻撃の全体像を把握し、迅速かつ的確な対応を実施できるようになります。
CIP-015がもたらす変化
NERCのCIP-015は、電力網のセキュリティ体制に対する規制上の考え方に重要な転換をもたらすものです。境界防御や侵入防止を中心とした従来のセキュリティモデルから、電子セキュリティ境界内部における可視性や検知・対応能力を重視するセキュリティモデルへと移行示しています
この転換には、重要インフラを取り巻く脅威動向の変化が反映されています。重要インフラを標的とする高度な攻撃活動は、境界防御だけでは阻止できません。攻撃者は長期間にわたり潜伏し、十分な資源や高度な技術を用いて検知を回避するためです。
こうした攻撃を検知するには、攻撃者が潜むネットワーク内部に目を向け、システム間通信や、被害が生じる前のわずかな挙動の変化を継続的に監視・分析することが不可欠です。
NERCのCIP-015はそうした可視性を規制要件として定めています。TrendAI Vision One™をご利用のお客様は、それらを実運用下でご活用いただけます。
さらにできること
CIP-015の策定に至った脅威動向をより深く理解するには、「電力網のセキュリティ強化に「East‑Westトラフィック」の可視性が求められる理由」(2026年4月1日公開記事)をご参照ください。
CIP-015の適用期限は2028年9月から段階的に設定されています。CIP-015への対応に向けて、TrendAI™のセキュリティエキスパートにご相談いただき、計画的に準備を進めましょう。
参考記事
The Attackers Are Already Inside: NERC CIP-015 Is How the Grid Fights Back
By: Amruta Namjoshi, Bharat Mistry
翻訳:益見 和宏(Platform Marketing, TrendAI Research™)