エネルギー分野のCISO向けネットワーク自動化に関するNERC CIP準拠

これが重要な理由

2023年、FERCは、影響力の大きい大規模電力系統のサイバーシステムに関する内部ネットワークセキュリティ監視に関する最終規則を公布した。この規則は、ほとんどの電力会社の既存のセキュリティアーキテクチャでは対応できないコンプライアンス要件、すなわち、規制対象環境内のコンポーネント間の東西通信を含む内部ネットワークトラフィックの継続的な監視を規定した。

この要件は、すでにチームが手作業で維持しなければならない業務規模に圧倒されていた電力会社に突きつけられた。構成管理は主に事後的に行われていた。監査文書は、各レビューサイクルの前に、エンジニアを他の業務から数週間引き離して作成されていた。広大なサービスエリアに分散する変電所や分散型グリッドインフラは、誰も継続的に解釈できないデータを生成していた。OT/ITの融合によって規制範囲は拡大したが、監視能力や人員の同等の拡大はなかった。

この記事では、NERC CIPがネットワーク運用チームに求める要件、FERCのINSM規則がその負担にどのような要素を追加するのか、現代の電力会社環境においてコンプライアンス上のギャップが生じやすい箇所、そして監査人や攻撃者よりも先に自動化によってそれらのギャップを解消する方法について解説します。

NERC CIPがネットワークチームに実際に要求すること

NERC CIPはサイバーセキュリティのフレームワークとして広く認識されている。しかし、あまり注目されていないのは、NERC CIPのコンプライアンスの大部分は、セキュリティツールの問題ではなく、証拠と文書化の問題であるという点だ。

ネットワーク運用に最も直接的に関連する規格は、CIP-007（システムセキュリティ管理）、CIP-010（構成管理）です。 Change Management および脆弱性管理）、CIP-013（サプライチェーンリスク管理）。

CIP-007：システムセキュリティ管理

ポートとサービス、セキュリティパッチ、およびセキュリティイベント監視に関する文書化された制御が求められます。運用面では、文書化されたセキュリティベースラインに基づいてデバイス構成を維持し、要求に応じて不正な変更が迅速に検出され、修復されていることを証明する必要があります。文書化の負担は、技術的な制御要件と同様に重大です。

CIP-010: 設定 Change Management 脆弱性管理

電力会社は、ベースライン構成からの逸脱を検出し、実装前に変更を承認し、それらの変更がBESサイバーシステムのセキュリティ態勢に与える影響を文書化する必要があります。CIP-010は、現在ほとんどのNOCチームが手動で作成している継続的な構成監視と変更監査証跡の直接的な推進力となります。この規格は、電力会社がこの証拠をどのように生成するかを規定していません。証拠が存在し、最新のものであり、要求に応じて提供可能であることのみを規定しています。

CIP-013: サプライチェーンリスク管理

ICSハードウェア、ソフトウェア、およびサービスのサプライチェーン関係におけるサイバーセキュリティリスクの管理が求められます。ネットワーク運用においては、デバイスの在庫管理と構成追跡がベンダーライフサイクル管理にまで拡張されます。遠隔地で稼働する耐用年数終了およびサポート終了のハードウェアは、この規格で規定されているコンプライアンスリスクです。継続的な評価ではなく監査時に発見されるリスクは、回避可能なリスクです。

これら3つの規格に共通するテーマは一貫しています。NERC CIPは、安全な構成と、その構成が安全であり続けることを監査人が確認できる継続的な証拠の両方を要求します。これは運用上の規律であり、現代の電力ネットワークの規模では、手動プロセスでは維持できません。

FERCの2023年INSM規則がコンプライアンス負担にもたらすもの

FERCのINSM規則は、コンプライアンス範囲を拡大する一方で、ほとんどの公益事業のセキュリティアーキテクチャの設計における構造的な欠陥、すなわち内部から外部へのアプローチではなく、外部から内部へのアプローチという欠陥を露呈させた。影響力の大きいBESサイバーシステムを運用する責任主体は、規制対象環境内のネットワークコンポーネント間の東西通信、特に内部ネットワークトラフィックを監視する必要がある。

境界監視ツールやSIEMプラットフォームは、境界レベルの可視性を提供しますが、それだけではINSMの要件を満たしません。この規則は、セキュリティのベストプラクティスで長年必要とされてきたこと、つまり最も重要なネットワーク環境内のコンポーネント間を流れる通信を継続的に可視化することを義務化したものです。

OT/IT統合が既に進んでいる電力会社にとって、INSMの適用範囲は広範です。SCADAシステム、エネルギー管理システム、および企業インフラと統合されたプロセス制御ネットワークはすべて、影響力の大きいBESサイバーシステムの対象範囲に含まれます。発電設備から上流インフラへのネットワーク経路は、企業トラフィックと同じファブリックを通過するため、FERCは現在、その経路を継続的に監視および文書化することを義務付けています。

NERCのCIP違反には、違反1件につき1日あたり最大150万ドルの罰金が科せられる。FERCのINSM規則は、この罰金が適用される表面積を拡大した。

ほとんどの公益事業チームが認識しているコンプライアンスのギャップ

NERC CIP準拠には、多くの電力会社が実践しているバージョンと、NERC CIPが要求するバージョンが存在する。両者の乖離が拡大しているのは、電力会社のプログラムが劣化しているからではない。監査担当者と敵対者の両方がその乖離を見つける能力を高めているため、その影響はより深刻化しているのだ。

問題点は文書化にある。ほとんどの電力会社では、NERC CIP準拠の証拠は手作業で作成されている。各監査サイクルの前に、エンジニアは機器構成を抽出し、トポロジー図を作成し、スプレッドシートを作成し、変更記録をまとめる。このプロセスには通常、上級エンジニアの数週間の時間を費やす。こうして作成される文書は、収集期間中のネットワークの状態を正確に反映しているが、これは通常、監査人がレビューに来る数か月前のことである。

構成ドリフト（文書化された基準状態と実際の機器状態とのずれ）は、NERC CIPの指摘事項の中で最も一般的なものの1つです。これは監査サイクルの間に蓄積され、多くの場合、アラートを発生させることなく進行します。これは、ドリフトを検出する監視プロセスが、手動であったり、頻度が低かったり、遠隔地では存在しなかったりするためです。変電所の機器が週末の間に強化された構成からずれた場合、通常は物理的な検査、他のシステムからのアラート、または監査担当者からの直接の質問によって初めて発見されます。

IBMの「データ侵害コストレポート2024」によると、規制リスクを考慮する前のエネルギー分野における平均的なデータ侵害コストは5.29万ドルです。クリティカルパス上の設定の逸脱が1つでも見落とされると、同じ根本原因から安全上の問題、規制上の指摘、そして評判の低下といった事態が同時に発生する可能性があります。手動による証拠管理プログラムは、こうした相関関係の発生を防ぐようには設計されていません。

ネットワーク自動化がNERC CIPの証拠ギャップをどのように埋めるか

NERC CIPの文書化に関する問題は、構造的には自動化の問題である。監査人が要求する証拠（構成状態、変更監査証跡、トポロジー図、資産目録、逸脱アラートなど）は、継続的に稼働するネットワークが既に生成しているデータである。ほとんどの公益事業環境で欠けているのは、これらのデータを収集、構造化し、必要に応じて利用可能にする自動化レイヤーである。

NetBrain このプラットフォームは、コアデータセンターやクラウドから遠隔変電所、分散型グリッドインフラストラクチャに至るまで、ネットワーク内のすべてのデバイスにわたって、継続的に更新される運用ベースラインを構築します。構成は、NERC CIPベースラインと標準構成基準に基づいて継続的に評価されます。デバイスが強化された状態から逸脱した場合、プラットフォームは、次の監査サイクルよりもずっと前、攻撃者が逸脱を悪用する前に、その日のうちにフラグを立てます。

数週間にわたる監査準備から、数時間にわたるレポート作成まで

ネットワーク自動化がNERC CIPコンプライアンスに及ぼす最も直接的な影響は、手作業による文書作成サイクルの排除です。監査対応可能な証拠（ライブネットワークマップ、デバイスインベントリレポート、ドリフトアラート、変更監査証跡、コンプライアンスレポートなど）は、現在のネットワーク状態に基づいてオンデマンドで生成されます。文書は、6か月前に再構築された状態ではなく、現在のネットワークの状態を反映したものとなります。

北米の大手電力会社では、 NetBrain プラットフォームは主要なインシデントタイプの58%を自動化し、年間17,000時間以上のエンジニアリング時間を削減し、 MTTR 初年度に25%削減。以前は各レビューサイクル前に上級エンジニアが何週間も費やしていた監査準備の負担は、継続的に維持されるネットワーク状態からのオンデマンドレポート生成に置き換えられた。

実行前に検証を行う変更管理

NERC CIPの調査結果のかなりの部分は、外部からの脅威ではなく、内部的な変更管理の失敗に起因しています。適切な事前検証なしに行われた変更は、文書化された基準から逸脱した構成状態を生み出し、多くの場合、監査やインシデントが発生するまで気づかれないままです。

NetBrainのノーコード自動化フレームワークは、変更前と変更後の検証を自動的に実行します。すべての変更は、実装前に既知の良好なベースラインと比較して評価され、変更ウィンドウが閉じる前に変更後の状態が検証され、文書化されます。本番環境での変更失敗率 NetBrain 導入率は、業界標準の15～20%から2～5%に低下します。NERC CIPの目的上、すべての変更イベントの文書化は、ログから後から組み立てるのではなく、ワークフローの一部として自動的に生成されます。

遠隔変電所とINSMの盲点

遠隔地の問題は、FERCのINSM規則と手動によるコンプライアンスプログラムの実際的な限界が最も顕著に衝突する箇所であるため、それ自体で注目に値する。

変電所、分散型現場サイト、遠隔監視インフラは地理的に分散しており、訪問頻度も低く、多くの電力会社環境では事実上継続的に監視されていません。物理的な点検では、機器の状態をある時点のスナップショットとしてしか捉えることができません。FERC INSMが高影響BES環境で要求する継続的な監視は実現できません。遠隔アクセスツールは緊急対応には役立ちますが、コンプライアンスで求められる継続的な構成評価を提供することはほとんどありません。

遠隔地の変電所にある機器が、不正な変更、セキュリティパラメータを変更するソフトウェアアップデート、または適切なベースライン設定が行われていないハードウェア交換などによって、強化された構成から逸脱した場合、監査、インシデント、または攻撃者による調査によって問題が露呈するまで、その事実は発見されない可能性があります。数百もの変電所が存在する広大なサービスエリアでは、常に少なくとも1つの変電所が未発見の非準拠状態にある可能性は、決して理論上の話ではありません。

NetBrainさん auto-discovery また、継続的な評価は、遠隔地を含むハイブリッドファブリック全体を網羅し、物理的な検査を必要としません。場所に関係なく、すべてのデバイスがNERC CIP基準に照らして継続的な構成評価を受けます。コンプライアンス体制は、エンジニアが物理的にアクセスできるサイトだけでなく、ネットワーク全体に一律に適用されます。

自動化を導入したNERC CIP監査はどのようなものか

ネットワーク自動化以前は、ほとんどの電力会社におけるNERC CIP監査準備は、お決まりのパターンに従って行われていました。監査担当者が監査の実施を発表し、エンジニアリング部門のリーダーは2～3名のシニアエンジニアを2～4週間配置転換します。トポロジー図は、最近の変更ログと社内の記憶に基づいて再構築されます。デバイス構成は手作業で抽出され、数か月前のものかもしれないベースライン文書と比較されます。資産インベントリは、現在のネットワーク状態ではなく調達履歴を反映したCMDBレコードと相互参照されます。

作成された証拠資料は、チームの最善の努力に基づき正確である。しかし、これはあくまで再構成されたものである。経験豊富なNERC CIP監査員は、こうした資料を数多くレビューしてきた経験から、手作業で作成されたコンプライアンス資料がどのようなものかを把握しており、その結果は実際のセキュリティ上の欠陥というよりも、むしろプロセスの限界を反映している場合が多い。

継続的なネットワーク自動化が導入されると、監査サイクルは従来とは異なる形で開始されます。監査担当者は文書を要求し、コンプライアンス担当者はレポートを作成します。リアルタイムのネットワークマップ、トポロジー図、デバイスインベントリレポート、構成ベースライン比較、逸脱ログ、変更監査証跡などが、現在のネットワーク状態から数週間ではなく数時間で生成されます。文書には、監査担当者がレビューを行う当日のネットワークの状態が反映されます。

CISOにとっての実質的なメリットは、業務効率の向上にとどまりません。継続的な自動化によって、NERC CIPやFERC INSMが要求する種類の証拠が、定期的な作業ではなく、日々の業務成果として得られるようになります。コンプライアンス状況は、監査期間の終了時だけでなく、期間中いつでも検証可能です。

コンプライアンス監視とセキュリティ監視が融合する場所

INSM規則以降、エネルギーネットワークのコンプライアンスにおいて最も重要な変化の一つは、コンプライアンス監視とセキュリティ監視の境界が事実上崩壊したことである。NERC CIPが策定・改良されていた10年間の大半において、これらは明確に区別された分野であった。

コンプライアンス監視では、設定が定められた基準を満たしていることが定期的に記録された。セキュリティ監視では、脅威や異常なアクティビティがリアルタイムで検出された。これらの情報は、異なるチーム、異なるツールセット、異なる報告経路に提供された。原則として、公益事業者はコンプライアンス要件を満たしていても、重大なセキュリティ上の欠陥を抱えている可能性があり、実際に多くの事業者がそうであった。

FERCのINSM要件とNERC CIPの継続的証拠基準は、構成準拠の文書化された証拠と内部ネットワーク通信の継続的な監視の両方を同時に要求するようになりました。NERC CIPの基準値に対して構成状態を継続的に評価し、ライブネットワークトポロジーと継続的な変更監査証跡を維持するネットワーク自動化プラットフォームは、単一の運用レイヤーから両方の要件を満たします。

代替案としては、定期的に調整が必要な2つのツールセットを維持することがあり、これにはコストと時間がかかり、ツールセット間のギャップが露呈したままになります。そのため、エネルギー関連企業のCISOは、ネットワーク自動化をNOCの効率化ツールとしてではなく、コンプライアンスインフラストラクチャとして扱うケースが増えています。日々の運用状況を示す証拠を生成するプラットフォームは、監査パッケージを生成するプラットフォームと同じです。定期的な調整は不要で、監視データからコンプライアンス文書への手動変換も不要、ネットワークが文書化されずに運用される期間もありません。

監査前にギャップを埋める

NERC CIPの遵守には、これまでも常に金銭的なリスクが伴ってきた。FERCのINSM規則は、そのリスクを拡大し、立証基準を引き上げた。エネルギーインフラに対するサイバー攻撃は2024年に前年比70%増加し、規制上の罰金を考慮に入れる前の段階で、エネルギー分野における平均的な侵害コストは5.29万ドルに達している。

ほとんどの公益事業のコンプライアンスプログラムは、理論上はしっかりとした設計になっている。問題は実行インフラ、つまり分散型でハイブリッドなOT/IT統合環境において、日々継続的に文書化された証拠を維持する能力にある。現代の公益事業ネットワーク規模でのこうした作業には、手動プロセスはそもそも設計されておらず、手動による文書化を許容していた監査サイクルは、もはや存在しない脅威環境を想定して構築されたものだった。

ネットワークの自動化により、コンプライアンスの証拠収集は定期的な作業から、継続的に維持される運用上の成果物へと変わります。次回のNERC CIPレビューサイクルが開始されると、コンプライアンス担当者は実際のネットワーク状態に基づいてレポートを実行します。監査準備のための集中作業や、それに費やされた数週間のエンジニアリング作業は、もはやプロセスに必須ではなくなります。