Home / Resources / ISACA Journal / Issues / 2023 / Volume 1 / Case Study Performing a Cybersecurity Audit of an Electric Power Transmission Systems Operator

送電網システム事業者のサイバーセキュリティ監査の実施

Author: Bostjan Delak, PH.D., CISA and Miroslav Kranjc, PH.D.
Date Published: 23 January 2023
Related: Governance Roundup - What Are You Doing About Environmental, Social and Governance Factors in Your Enterprise? | Digital | English
English

現代の多くのテクノロジーにとって、電力は生命線であり、暮らしを楽にするサービスでありながら見落とされやすいものの1つです。多くの人々は(特に先進国 に住む人々にとっては)、電力のない生活を想像することすらできません。水道、暖房、冷蔵、食品加工、電気通信、その他多くの物品やサービスは、基本的に電力に依存しています。世界のほとんどの国では、送電・配電インフラおよびサービスを重要インフラの基幹要素とみなしています。例えば、スロベニア共和国(スロベニア)は、送電会社を国家の重要インフラ要素であると宣言しました。

送電インフラは極めて重要であるため、送電サービスを運営する組織をサイバー脅威から守ることも同様に重要です。特に、サイバー脅威やサイバー攻撃が増加している現代では特に重要です1。2021年の調査によると、重要インフラ組織の83%は、過去36か月以内に運用運用・制御技術(OT)へのセキュリティ侵害を経験したことがあるといいます2。送電網への初の大規模なサイバー攻撃としてよく知られている事件は、2015年12月にウクライナで発生しました3。この事件は、全世界の送電網セキュリティの前例を作りました4。欧州ネットワーク情報セキュリティ庁 (ENISA)、ISACA®、国際標準化機構(ISO)、米国国立標準技術研究所(NIST)などのサイバーセキュリティ機関は、問題に対処するために、サイバー攻撃に対 する準備意識を高めるためのガイドライン、方法、アプローチを公開しました。EUでは、ENISAが加盟国のサイバーセキュリティ意識状況をレビューしました5。ENISA報告書の主な目的は、市民のサイバーセキュリティ意識を高めるためのベストプラクティスを分析することで、加盟国のサイバーセキュリティ能力構築を支援することです。この報告書では、以下の4つの領域における勧告も提供しています。

  1. サイバーセキュリティ意識向上能力の構築
  2. 傾向と課題の定期的な評価
  3. サイバーセキュリティ行動の測定
  4. サイバーセキュリティ意識向上キャンペーンの計画策定

ほぼすべての国には、政府の活動を監査する独立した国家機関である最高監査機関(SAI)があります。また、世界中のほとんどすべてのSAIは、国際標準および優れた実践手法の確立および普及に取り組んでいる最高会計検査機関国際組織(INTOSAI)に加盟しています。

スロベニアのSAIは、重要な送電インフラを運営する組織のサイバー脅威への準備を評価するための監査を実施しました。ITパフォーマンス監査を実施する方法、国家の重要インフラの一部である組織に関する報告方法、サイバーインシデントなどの悪影響を軽減する方法を理解することは極めて重要です。インシデントは、他の多くのサービスや組織はもちろん、国家にも悪影響を与える可能性があります。

監査環境

スロベニア会計検査院は、スロベニアの国家会計、国家予算、すべての公的支出を監督する最高監査機関です6。スロベニア会計検査院は、国内法制および INTOSAI標準に準拠してあらゆる形式の監査(コンプライアンス、財務、パフォーマンス)を実施しています。スロベニア会計検査院は、公的サービス機関や政府認可の調達機関をはじめ、さまざまな種類の組織を監査します7

送電システム事業者のELES, Ltd. (ELES)は、スロベニアの送電網を運営する国有企業です8。ELESは、 90年間にわたり、スロベニア全土および近隣地域に電力を安全に、安定して、滞りなく供給してきました。ELESは、戦略的に、責任を持って、持続できるようにスロベニアの高電圧送電網を計画、構築し、 400 kV、220 kV、110 kV(一部)の3段階で電圧を維持するよう努力しています。

送電網は単独で運営することはできません。近隣諸国の送電網に接続し、より幅広い電力システムに統合しなければなりません。したがって、ELESは近隣電力システム事業者と密接に連携し、積極的に多くの地域団体や国際団体に加入しています。ELESは、スロベニア唯一の送電事業者であるため、欧州送電システム運営事業者間連合(ENSTO-E)9などの業界団体のほか、さまざまな地域(間)イニシアチブやプロジェクト10に参加することで、欧州統一市場の設計と発展に積極的に関与しています。図表1は、発電、エンドユーザへの送電、主要直接顧客への電力供給、国際送電網との接続に関するELESの位置付けを表したものです。


出典:Republic of Slovenia Court of Audit, Audit Report: Efficiency of Managing Cybersecurity Risk of the ELES Company Critical Infrastructure, 2021, Slovenia, https://www.rs-rs.si/fileadmin/user_upload/Datoteke/Revizije/2021/CS-ELES/ANG/CS_ELES_infografika-EN.pdf. 許可を得て掲載しています。

ITパフォーマンス監査を実施する方法、国家の重要インフラの一部である組織に関する報告方法、サイバーインシデントなどの悪影響を軽減する方法を理解することは極めて重要です。

監査の動機および基準

会計検査院の動機は、ELESが重要インフラ管理者としてサイバー脅威に対して整えている準備体制と、消費者への送電が中断するリスクを下げる潜在能力を評価することでした。

ISSAI 300によると、監査人は、監査の質問に対応し、経済性、効率性、有効性の原則に関連する適切な基準を確立する必要があります11。重要インフラ組織でサイバーセキュリティへの準備体制を監査する 場合、監査基準は重要インフラ法および重要インフラにおけるサイバーセキュリティを向上させるためのNISTフレームワークの条項に基づいていました。

法整備

2018年、スロベニアでは、重要インフラ法12および情報セキュリティ法13が成立しました。重要インフラ法は、スロベニアの重要インフラの識別および決定、重要インフラ保護の原則および計画、重要インフラおよび情報の分野における機関および組織の活動内容(報告、意思決定支援、データ保護、コントロールなど)を規制する法律です。この法律では、重要インフラを以下のように定義しています。

国家にとって極めて重要な機能であり、その運用の中断、またはその破壊が国家安全保障、経済ならびにその他の重要な社会機能および医療、安全、保護および社会福祉に重要な影響を与え、深刻な結果をもたらす可能性がある機能14

情報セキュリティ法は、情報セキュリティの分野を規制し、スロベニアのネットワークおよび情報システムのセキュリティを高いレベルで実現する対策を定義する法律です。このような対策は、すべてのセキュリティ条件において国家を円滑に運営し、重要な社会活動および経済活動を維持するための重要なサービスを提供する上で欠かせません。この法律の採択により、スロベニアは、スロベニア法を、欧州連合における高い共通レベルのネットワークおよび情報システムのセキュリティ対策に関する欧州議会および欧州評議会の指令(EU) 2016/1148に置き換えました15

重要インフラ法
重要インフラ法には、重要インフラ組織が重要インフラを保護するためのリスクアセスメントおよびリスク対策を開発し管理することを義務付ける条項が含まれます。リスクアセスメントは、スロベニア国防省によって採用された重要インフラの運用リスクアセスメント手順に従って行われなければなりません。また、リスクアセスメントは、個別の重要インフラセクターに合わせて準備された専門家によるガイドラインにも従う必要があります。あらゆる状況において継続的対策が実施されており、危機の発生時、緊急事態の発生時、または重要インフラに対する脅威が高まった際には、そうした対策が強化される場合があります。継続的対策では(その実施を強化する場合でも)不十分な場合、重要インフラに対する脅威が高まった際、緊急事態の発生時、または危機的状況の発生時には、追加対策を実施する必要があります。

重要インフラのサイバーセキュリティを向上させるためのNISTフレームワーク
2つ目の基準として監査人が選んだのは、NISTサイバーセキュリティフレームワーク(CSF)機能の「検知」および「対応」でした(図表2の赤いボックス)16


出典:US National Institute of Standards and Technology_(NIST), Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, USA, 2018, https://www.nist.gov/cyberframework. 許可を得て掲載しています。

「特定」および「保護」については、1つ目の監査基準(重要インフラ法の条項)で対応されます。監査人は、最後の機能である「復旧」を選択しませんでした。これは、ELESが過去にサイバー攻撃を受けた経験がなかったからです。

監査プロセス

監査は、INTOSAIの標準および原則に基づいたパフォーマンス監査で行いました17。監査で主に調査されたのは、ELESが重要インフラ分野でサイバーセキュリティを効果的に管理していたかどうかでした。監査期間は2019年1月1日から2020年7月31日でした。監査が開始されたのは2019年12月で、最終報 告書が公開されたのは2021年8月でした。監査チームは、情報システム監査人1名および法律知識を有する国家監査人1名から構成されました。監査チームは、監査計画を準備し、重要インフラに関する文書およびアンケートを要求し、10回を超えるインタビューと機能テスト(新型コロナウイルス感染症による制約のため、3分の1は立ち入り、残りはビデオ会議システムを利用)を完了し、いくつかの現場検証をレビューしました。NIST CSF機能テストには、監査人はCOBIT® 5およびISO/国際電気標準会議(IEC)規格ISO/IEC 27001:2013「情報技術 — セキュリティ技術 — 情報セキュリティ管理システム — 要求事項18を用いました。テスト期間は、2020年6月4日から2020年9月24日まででした。テスト期間中、参考引用/コントロールによる34のサブカテゴリすべてがテストされました。被監査者に提示するのに十分な情報と証拠を収集した後、監査チームは報告書の草案を作成しました。最初に国家最高監査人および会計検査院の法務部門を交えて調整が行われ、副監査局次長の同意が得られました。正式な報告書の草案がELESに送付され、被監査者を交えたクリアランスミーティングが開催されました。被監査者からの意見および修正を受け入れた後、監査報告提案書が準備され、被監査者に対して発行されました。その時点で他に異議はなかったため、追加の独立的な校正およびレビューを経た後、最終監査報告書が被監査者および議会に送付され、会計検査院のウェブサイトで公開されました。

監査結果

会計検査院は、ELESが2009年にリスク管理を導入し、翌年から包括的リスク管理システムを確立したことを確認しました。ELESは、運用分野ごとのリスクの電子カタログを記録し、2019年には、重要インフラの分野におけるリスクの記録を導入しました。 ELESは、重要インフラ運用に対するリスク発生元スの特定、重要インフラに対するリスクの分析および評価、リスク発生元の決定、重要インフラの状態のモニタリング、コントロールセンターの複製、セキュリティ計画の考案をすべて適切なタイミングで行いました。ELESは、文書化された情報セキュリティ管理システムを適用し、ISO/IEC 27001:2013認証を取得しました。監査レビューの時点で、ELESは事業継続管理システムの導入を完了するところでした。ELESの事業継続管理システムは、重要インフラのリスクアセスメントを実施し、重要インフラを保護する手段を講じるために使用されました。また、 ELESは、さまざまな対策を採用することで、新型コロナウイルス感染症のまん延に対応しました。対策の多くは、密封されたコントロールセンター(数名の従業員が2週間の長期シフトで生活および勤務する場所)の設立、送電管理サポートチームの隔離、自宅勤務などの人的リソースの組織化に関連するものでした。これにより、送電に関連するプロセスの継続的運用を確実にできました。

図表3は、監査結果の一部を表しています。


出典:Republic of Slovenia Court of Audit, Audit Report: Efficiency of Managing Cybersecurity Risk of the ELES Company Critical Infrastructure, 2021, Slovenia, https://www.rs-rs.si/fileadmin/user_upload/Datoteke/Revizije/2021/CS-ELES/ANG/CS_ELES_infografika-EN.pdf. 許可を得て掲載しています。

ELESは、セキュリティイベントの役割と責任を定義および分析することで、効果的にサイバー脅威を検知しました。ELESは、検知されたイベントに関する情報の提出に関する確立された手続き、継続的に改善される検知プロセス、セキュリティイベントに関連して構築されたナレッジベースに従いました。 ELESは、サイバー脅威への対応計画を策定しました。ELESの従業員は、セキュリティイベントへの対応およびELES内外の関係者への報告に関して適切な訓練を受けました。

ELESは、セキュリティイベントの通知も分析し、セキュリティインシデントを分類して、組織に与えるその影響を理解するための手段を講じました。脆弱性のモニタリング、分析、対応のためのプロセスや、セキュリティインシデントを制限および軽減するためのプロセスを適用しました。ELESには、サイバーセキュリティの分野に向けて具体的に確立された戦略はありませんでしたが、管理レビュー対象者から継続的検査および関連更新情報まで、統合された管理システムのすべてのセグメントに関連するポリシーを確立していました。

ELESが認識し、その認識に従って導入した改善点もいくつかあります。

  • 事業継続管理システムの完全導入
  • 検知されたすべてのイベントを1つのダッシュボードに統合
  • 現在のITプロジェクト完了後の独立侵入テストの実施
  • ビデオ監視が現在行われていない区域におけるビデオ監視の導入

会計検査院の意見
会計検査院の意見によると、ELESは、監査対象期間中に重要インフラに関するサイバーセキュリティリスクを効果的に管理していました。

会計検査院は、ELESに対応報告書の提出を要求しませんでしたが、さらに改善するための勧告をいくつか行いました19

  • 予備コントロールセンターからの送電を定期的に管理する
  • 侵入テストを定期的に(例えば、毎年)計画し、実施する
  • セキュリティイベントを外部の利害関係者に報告するプロセスを定期的にテストする
  • 検知されたイベントおよびその解決策に関する共通ナレッジベースを確立する可能性を検討する

図表4は、会計検査院の意見を示しています。


出典:Republic of Slovenia Court of Audit, Audit Report: Efficiency of Managing Cybersecurity Risk of the ELES Company Critical Infrastructure, https://www.rs-rs.si/en/audits-auditing/audit-archive/audit/efficiency-of-cybersecurity-risk-managing-of-the-eles-company-critical-infrastructure-2755-1/. 許可を得て掲載しています。

監査の限界

最終的に効率性が証明されましたが、監査にはいくつかの注目すべき限界がありました。監査には、被監査者の事業継続管理システムまたは被監査者の情報システムの継続的運用の評価は含まれませんでした。また、侵入テストも考慮されていませんでした。

結論

会計検査院は、ELESを初の重要インフラのサイバーセキュリティに関するパフォーマンス監査の対象に選びました。これは、ELESが発電所から幅広い顧客までの送電を行う事業者であるからです。監査により、監査チームにITシステムおよび情報セキュリティ分野の専門家1名と法律の専門家1名が含まれると、効果的であることが判明しました。監査基準の選別も、ELESのサイバー攻撃に対する準備体制を詳細にレビューする上で有益でした。また、このケーススタディにより、より詳細なサイバーセキュリティ監査を実施する際は、ハッキングと侵入テスト分野の専門家も監査チームに追加すべきであることも判明しました。会計検査院は、重要インフラを管理する組織のサイバーセキュリティパフォーマンス監査を計画および実施することに今後も力を注ぎ、監査対象組織のサイバーセキュリティリスク管理を評価し、公的資金をサイバー脅威の軽減に投じることに関する意思決定を確認します。

後注

1 Center for Strategic and International Studies (CSIS), Significant Cyber Incidents Since 2006, USA, 2021, https://csis-website-prod.s3.amazonaws.com/s3fs-public/220104_Significant_Cyber_Events.pdf
2 Dark Reading, "Eighty-Three Percent of Critical Infrastructure Organizations Suffered Breaches, 2021 Cybersecurity Research Reveals," 9 November 2021, https://www.darkreading.com/vulnerabilities-threats/83-of-critical-infrastructure-organizations-suffered-breaches-2021-cybersecurity-research-reveals
3 International Cyber Law: Interactive Tool Kit, "Power Grid Cyberattack in Ukraine (2015)," 4 June 2021, https://cyberlaw.ccdcoe.org/wiki/Power_grid_cyberattack_in_Ukraine
4 Zetter, K.; "Inside the Cunning, Unprecedented Hack of Ukraine's Power Grid," Wired, 3 March 2016, https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
5 European Union Agency for Cybersecurity (ENISA), Raising Awareness of Cybersecurity: A Key Element of National Cybersecurity Strategies, Greece, 29 November 2021, https://www.enisa.europa.eu/publications/raising-awareness-of-cybersecurity
6 Republic of Slovenia Court of Audit, https://www.rs-rs.si/en/
7 Republic of Slovenia Court of Audit, Court of Audit Act, Article 20, https://www.rs-rs.si/en/about-the-court-of-audit/legal-basis/court-of-audit-act/
8 ELES Company, https://www.eles.si/en
9 The European Association for the Cooperation of Transmission System Operators for Electricity (ENTSOE), https://www.entsoe.eu/
10 ELES Company, "About the Company," https://www.eles.si/en/about-the-company
11 International Organisation of Supreme Audit Institutions (INTOSAI), ISSAI 300: Performance Audit Principles, Austria, 2019, https://www.intosai.org/fileadmin/downloads/documents/open_access/ISSAI_100_to_400/issai_300/ISSAI_300_en_2019.pdf
12 National Assembly of the Republic of Slovenia, Critical Infrastructure Act, http://www.pisrs.si/Pis.web/npbDocPdf?idPredpisa=ZAKO8464&idPredpisaChng=ZAKO7106&type=pdf
13 National Assembly of the Republic of Slovenia, Information Security Act, http://www.pisrs.si/Pis.web/npbDocPdf?idPredpisa=ZAKO8380&idPredpisaChng=ZAKO7707&type=pdf
14 Op cit Critical Infrastructure Act
15 Directive (EU) 2016/1148 of the European Parliament and of the Council, Official Journal of the European Union, Belgium, 6 July 2016, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016L1148&from=EN
16 National Institute of Standards and Technology (NIST), NIST Cybersecurity Framework, USA, https://www.nist.gov/cyberframework
17 Op cit INTOSAI
18 International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC), ISO/IEC 27001:2013 Information technology—Security techniques—Information security management systems—Requirements, Switzerland, 2013, https://www.iso.org/standard/54534.html
19 Republic of Slovenia Court of Audit, Audit Report 2021: Effectiveness of Cyber Security Management for the Field of Critical Infrastructure in ELES, Slovenia, 2021, https://www.rs-rs.si/fileadmin/user_upload/Datoteke/Revizije/2021/CS-ELES/CS_ELES_RSP_RevizijskoP.pdf

BOSTJAN DELAK | PH.D.、CISA

スロベニアのノヴォ・メスト大学情報教育学部助教授。過去には、スロベニア共和国最高監査機関で情報システム監査人として働いていました。研究対象は、情報システム分析、デューデリジェンス、ナレッジマネジメントです。

MIROSLAV KRANJC | PH.D.

スロベニア共和国最高監査機関パフォーマンス監査部門の国家最高監査人兼創設者です。IT、環境監査、および、パフォーマンス監査に関するさまざまなトピックについても熱心に指導しています。