公益事業のセキュリティ専門家なら誰でも、詳細を簡単に説明できます。 2013年4月、カリフォルニア州サンノゼの高速道路近くの地下金庫に何者かが忍び込み、数本の電話ケーブルを切断した。そして30分後、カリフォルニア州メトカーフの変電所を狙撃兵がほぼ20分間銃撃し、シリコンバレーに電力を供給する17台の変圧器を破壊した後、現場から逃走して捕獲を逃れた。

大規模な停電は、ダウンした発電所の周囲に電力の経路を変更することで回避されたが、この攻撃により1,500万ドル以上の損害が発生し、電力網に対する物理的脅威が米国の重要インフラの安全性に関する議論の最前線に浮上した。米国の電力供給に対する脅威はサイバー攻撃だけではないことがすぐに明らかになりました。

事件から 2 年が経過し、狙撃兵は依然として逃走中ですが、公益業界は今後の攻撃を阻止するための措置を講じています。

「送電網は私たちの社会と経済のあらゆる側面にとって非常に重要であるため、その信頼性と回復力を保護することは電力業界で働くすべての人の中核的な責任です」と、連邦エネルギー規制委員会 (FERC) 委員長代理のシェリル・ラフルールは 2014 年 3 月の声明で述べた。(ラフルールは 2014 年 7 月に常任委員長に任命された)。ラフルールの声明を受けて、FERC は北米電力委員会に指示した。 Reliability Corporation (NERC) は、大規模電力システムの所有者と運用者に物理的なセキュリティの脅威と脆弱性によるリスクに対処することを要求する新しい標準を開発します。

FERC の命令は、侵害された場合に広範な停止を引き起こす可能性がある送信局、変電所、および関連する一次制御センターを特定して保護するための標準を作成するよう NERC に求めました。

これらの指示に基づいて、10 人からなる起草委員会が、伝送評価と物理的セキュリティに焦点を当てた CIP-014 標準を作成しました。この規格では、送電所と変電所の所有者に、システムのリスク評価を実施して、電力網に重大な影響を与える可能性のある施設を特定するよう義務付けています。

この命令では、所有者と運営者に対し、潜在的な脅威と脆弱性に対処するためのセキュリティ計画を策定し、実装することも求めています。
参加者

電気システムは 3 つのコンポーネントで構成されています。発電機 (石炭火力、バイオマス、太陽光、風力) で電気を生成します。送電 - 電源から電気を取り出して、変電所などのどこかに移動します。配電 - 施設から家庭、会社、またはその他の建物のメーターに送られる電力。

風力発電所などの発電所から電力が移動すると、通常、電圧を 500 から 230 キロボルト (kV) に下げる変圧器を備えた変電所に送られます。そこから、変電所は別の変電所に電力を送電します。通常、電圧はさらに 115 kV まで下がり、住宅や商業施設で使用できるようになります。

CIP-014 は、発電機や配電所ではなく、電力システム内の送電変電所に適用されます。ただし、国内の 55,000 か所の送電変電所すべてに適用されるわけではないと、規格起草委員会のメンバーである CPP、PCI、PSP のアラン ウィック氏は説明します。

代わりに、規格は、どの施設が規格に準拠する必要があるかを決定するカテゴリに依存しています。この規格は、システムが「物理的攻撃の結果、動作不能になったり損傷したりして、不安定化、制御不能な分離、または相互接続によるカスケードを引き起こす可能性がある」場合に発効します。

これらの基準により、CIP-014 は 500 kV 以上で動作する送電施設、または変電所が 200 kV 以上の電圧で「総加重値」が 3,000 kV を超える 3 つ以上の他の送電所に接続されている 200 kV から 499 kV の間で動作する単一の施設に適用されます。

これは、規格に準拠する必要がある変電所はほとんどないことを意味します。 「規格の内容に対してこれらの基準を使用するまでに、[CIP-014] は米国内の 200 かそれ以下の変電所にのみ適用されることになります」とウィック氏は言います。この基準は、約 30 社の異なる会社が所有する 200 の変電所を運用するコントロール センターにも適用されます。

準備

FERC は 2014 年 11 月に CIP-014 を承認し、所有者が 2015 年 10 月の最初の施行日までに完了する必要があるコンプライアンス プロセスを正式に開始しました。最初の責任は、初期リスク評価 (要件 1) を実行して、規格が適用される可能性のある送信局と変電所を特定することです。次に、所有者は、リスク評価で特定された各送信所または変電所を運用的に制御する主要な制御センターを特定する必要があります。

これらの手順が完了すると、所有者は 90 日以内に無関係の第三者に評価を検証してもらいます (R2)。このサードパーティは、登録された計画コーディネーター、伝送プランナー、信頼性コーディネーター、または伝送計画や分析の経験を持つ事業体です。

第三者が送信局または変電所を元の評価に追加または削除した場合、所有者はさらに 60 日以内にリスク評価を変更するか、適切な変更を行わなかった根拠を文書化することができます。

さらに、特定されたプライマリ コントロール センターが送信局以外の会社によって所有されている場合、その所有者はプライマリ コントロール センターの運用管理権を持っているという第三者による検証後 7 日以内に通知 (R3) される必要があります。

最初のリスク評価が完了した後、規格の対象となるトランスミッション所有者は、少なくとも 30 か月に 1 回、その後の評価を実行します。この規格の対象になっていないトランスミッション所有者も、法律で評価を実施することが義務付けられていますが、その評価は 60 か月に 1 回のみです。

物理的セキュリティ

伝送の分析と特定が完了したら、所有者は、それぞれの伝送局、変電所、および主要制御センターに対する物理的攻撃 (R4) の潜在的な脅威と脆弱性の評価を実施する必要があります。

これらの評価には、特定および検証された送信所、変電所、および制御センターの固有の特性が含まれている必要があります。たとえば、変電所が地方にあるのか都市部にあるのか、主要高速道路の近くにあるのか、それとも渓谷にあるのかなどの特徴が含まれます。

たとえば、変電所は「小さな谷に設置されているため、その周囲には銃撃犯が変圧器を撃ったり、ロケット推進手榴弾を使って何かを撃ち込んだりできるエリアがある」とウィック氏は説明する。

基準によれば、所有者はまた、「頻度、地理的近接性、および過去の物理的セキュリティ関連イベントの重大度」を考慮して、同様の施設に対する攻撃の履歴を詳しく説明する必要があります。 CIP-014 では、所有者に対し、法執行機関、電力信頼性機構、電力セクター情報共有分析センター、米国またはカナダの政府機関から受け取った情報や脅威の警告を含めるよう求めています。

これらの評価が完了し、R2 完了後 120 日以内に、所有者は、それぞれの送信所、変電所、および一次制御センター (R5) を対象とする文書化されたセキュリティ計画とスケジュールを作成し、実装する必要があります。

所有者は、セキュリティ計画の中に、法執行機関の連絡先と調整情報、進化する物理的脅威とそれに対応するセキュリティ手段を評価する規定、R4 中に「潜在的な物理的脅威と特定された脆弱性を抑止、検出、遅延、評価、伝達、および対応するために集合的に」設計された回復力またはセキュリティ手段を含める必要があります。

起草委員会が特にこの文言を選んだのは、「そのうちの 1 つだけを実行することはできません。それらをグループとしてまとめて『阻止、検出、遅延』する必要があるからです。なぜなら、これらは多層セキュリティ プログラムの主要なコンポーネントだからです。」

委員会はまた、所有者がセキュリティ対策の一環として使用できる方法についても、意図的にあまり規範的ではありませんでした。 「全員が同じ最終状態に到達できるよう、最大限の柔軟性を組み込もうとしました」とウィック氏は言います。たとえば、誰かを遅らせるには、「いくつかの異なる方法があります。カミソリテープで高さ 20 フィートの壁を作ることも、金網フェンスを使用することもできます。R4 で特定された脅威と脆弱性を軽減するために使用できるオプションはたくさんあります。」

この非規範的な方法は一部の批判にさらされていますが、他の多くの人はそれが有益であると考えています。ツーソン電力のセキュリティサービスマネージャー、PCIのリッチ・ハイアット氏は、規制当局は「カメラの増設にあらゆる金をつぎ込み、フェンスに多額の金をつぎ込むよう、本気で言っているわけではない」と語る。 「彼らは、植生を除去したり、標識を設置したりして、敷地を強化する必要があると宣伝しているようなものです。政府がやって来て、変電所ごとに 500 万ドルを費やせと言っているようなものではありません。」

委員会はまた、所有者が運用面で回復力を構築し、セキュリティ対策で資産を保護する機会を与えることで、二重のアプローチを取ることを許可しています。

たとえば、ツーソン電力は変電所を強化することで回復力を高めている、と カジノサイト 国際公益事業評議会のメンバーでもあるハイアット氏は言います。変圧器が誤動作する場合があるため、これは重要です。 「妨害行為の可能性は常にありますが、故障や天候関連の問題、変圧器に混入する可能性のある人工物が持ち出されるという脅威もあります。」と彼は説明します。

ハイアットは変電所の従業員と協力して、規格で取り上げられているもう 1 つの問題である緊急時通信の改善にも取り組んでいます。 「私たちはまた、変電所の担当者に緊急対応を強化し、変圧器が故障した場合に対応できるように予備部品を在庫に追加するよう働きかけています。より早くオンラインに戻すことができます。」と彼は説明します。

しかし、セキュリティ産業協会 (SIA) の政府担当ディレクターであるジェイク・パーカー氏は、資産を物理的に保護することが公益事業のセキュリティにとってより良い方法であると述べています。 「構造を強化するコストも非常に高額になる可能性があるため、物理的なセキュリティ対策の方がはるかに費用対効果が高いと考えています。」と彼は説明します。

所有者が物理的なセキュリティ計画を作成して実装したら、90 日以内に第三者の審査担当者 (R6) によって再度検証される必要があります。このレビュー担当者は、電気業界で物理的セキュリティの経験を持つエンティティまたは組織であり、そのレビュー スタッフは次のとおりです。 Certified Protection Professional (CPP) または Physical Security Professional (PSP) のいずれかの認定を取得したメンバーが少なくとも 1 名います。 Electric Reliability Organization (ERO) によって承認されています。物理的セキュリティの専門知識を持つ政府機関です。または、法執行機関、政府、軍の物理的セキュリティの専門知識を持つ団体または組織です。

カジノサイト 認定要件は、該当する既存の認定を見直した後に組み込まれました。 「これら 2 つの認定資格のいずれかを保持していることは、物理的なセキュリティについて何について話しているのかを理解していることを示します」とウィック氏は説明します。 「物理的なセキュリティ要件がある認証をすべてレビューしましたが、適切なものはこれら 2 つだけでした。」

レビュー担当者が R4 評価またはセキュリティ プランの変更を推奨した場合、所有者は 60 日以内にそれらの推奨事項に従うか、計画を変更しない理由を文書化する必要があります。
罰則

CIP-014には積極的な実装スケジュールがあります。パーカー氏は、ほとんどの電力会社が2016年春までに物理的セキュリティ計画を策定すると予想していると述べた。新しい基準に準拠しない所有者に対する罰則はないが、準拠する所有者は準拠を証明する証拠として文書を3年間保管することが義務付けられている。 NERC が執行の責任を負います。

罰則がなく、この規格の対象となる送信所と変電所の数が限られているにもかかわらず、多くの企業はこの規格に刺激を受けたと述べている。パーカー氏によると、CIP-014 は企業に物理的なセキュリティを強化するためのガイダンスを提供しました。

「現在の環境とメトカーフで起きたことへの対応を考慮すると、電力会社は料金値上げを通じて全体的なセキュリティ改善を正当化することが容易になっていることがわかります」と彼は説明する。

料金値上げは、電力会社が物理的なセキュリティの改善に支払う資金調達メカニズムです。これを実現するには、取締役会に提案を提出し、「規格によるセキュリティ アップグレードのコストをカバーするためだけでなく、送電網全体の物理的なセキュリティを向上させる必要があるため」、小規模な料金値上げを正当化することができるとパーカー氏は付け加えています。

ハイアットもこれに同意し、業界は積極的に「取り締まり」を行い、ベスト セキュリティ プラクティスの使用を増やすという点で「本当に良い仕事」をしていると述べました。メトカーフでの事件により、「物理的なセキュリティがサイバーセキュリティと同じくらい重要であるという、当社の幹部の間でセキュリティに対する認識が実際に高まった」と彼は付け加えた。