米国 国家サイバー長官室 エネルギー近代化サイバーセキュリティ実施計画 (2024.12.20)
こんにちは、丸山満彦です。
2024年の宿題はかなり減りましたが、まだ少し残っています...
米国の国家サイバー長官室から、「エネルギー近代化サイバーセキュリティ実施計画」が公表されています...
2024.05.07に公表された「米国サイバーセキュリティ態勢2024」、そして2023.03.02に公表された「サイバーセキュリティ戦略」などと関係があるので、合わせて読んでおくと良いかもです。(両方ともこのブログで紹介しています...)
日米の電力供給環境は違うので、そのまま...というわけにはいかない部分もあると思いますが、参考になる部分も多いように思います。経産省や電事連、電力会社の方は目を通しておいてもよいように思いました...
要となる技術として、
- バッテリーとバッテリー管理システム
- インバーター制御と電力変換装置
- 分散型制御システム
- ビル・エネルギー管理システム
- 電気自動車(EV)と電気自動車供給設備(EVSE)
を挙げています。
● U.S. White House - ONCD
| Fact Sheet: Office of the National Cyber Director Publishes an Energy Modernization Cybersecurity Implementation Plan to Secure an Ambitious Energy Future | ファクトシート 国家サイバー長官室が野心的なエネルギーの未来を確保するためのエネルギー近代化サイバーセキュリティ実施計画を発表 |
| Today, the Office of the National Cyber Director (ONCD) released an Energy Modernization Cybersecurity Implementation Plan. | 本日、国家サイバー長官室(ONCD)はエネルギー近代化サイバーセキュリティ実施計画を発表した。 |
| America’s energy landscape is becoming increasingly digitized. New internet-connected technologies enhance the efficiency, performance, safety, and resiliency of the electricity grid. These energy technologies are reducing costs for consumers; elevating the quality and reliability of energy services provided; creating new markets and economic growth opportunities; and improving the environment. But, as highlighted in the Nation’s first Report on the Cybersecurity Posture of the United States, adversaries are continuing to target critical infrastructure. Many of these connected and digitized energy technologies can augment system integrity as compared to legacy systems; at the same time, their introduction can increase the attack surface that adversaries could target. Today, clear opportunities exist to secure American energy infrastructure, at scale, against potential cybersecurity threats. | 米国のエネルギー事情は、ますますデジタル化が進んでいる。新しいインターネット接続技術は、電力網の効率、性能、安全性、レジリエンスを向上させている。これらのエネルギー技術は、消費者のコストを削減し、提供されるエネルギー・サービスの質と信頼性を向上させ、新たな市場と経済成長の機会を創出し、環境を改善している。しかし、「米国のサイバーセキュリティ態勢」に関する初の報告書で強調されたように、敵対勢力は重要インフラを標的にし続けている。これらの接続されデジタル化されたエネルギー技術の多くは、従来のシステムと比較してシステムの完全性を高めることができる。今日、米国のエネルギー・インフラを、潜在的なサイバーセキュリティの脅威から大規模に保護する明確な機会が存在する。 |
| Securing the next generation of American energy generation, transmission, and distribution requires coordinated action across the government and the private sector. The publication of the Energy Modernization Cybersecurity Implementation Plan (EMCIP) provides a roadmap for this effort to guide the public sector and inform the private sector. The EMCIP outlines 32 high-impact initiatives that the Federal government will carry out to achieve a more secure energy ecosystem. In keeping with ONCD’s commitment to transparency and accountability, each initiative has an identified lead agency with a specific timeline for completion. Twelve agencies have roles in the plan. | 米国の次世代エネルギー発電、送電、配電の安全を確保するには、政府と民間部門が協調して行動する必要がある。エネルギー近代化サイバーセキュリティ実施計画(EMCIP)の公表は、この取り組みのロードマップを公共部門に示し、民間部門に情報を提供するものである。EMCIPは、より安全なエネルギー・エコシステムを実現するために連邦政府が実施する32のインパクトの大きいイニシアチブの概要を示している。ONCDの透明性と説明責任へのコミットメントに則り、各イニシアチブは、完了までの具体的なタイムラインとともに、特定された主導機関を持っている。12の機関がこの計画で役割を担っている。 |
| The electric grid is undergoing a significant, rapid transformation across a range of next-generation technologies is redefining how the electric system needs to be designed, built, and operated, highlighting the need for cross-cutting solutions. For instance, in the Plan, the Department of Energy is developing a framework to unify cybersecurity standards and guidelines for digital energy infrastructure into guidance that can be implemented by the states. The Office of the Director of National Intelligence is charged with regularly providing intelligence-informed briefings to energy technologies industry groups about the evolving threat landscape. And the Cybersecurity and Infrastructure Security Agency will encourage the procurement of digital energy systems that incorporate secure by design principles throughout their product life cycles. | 電力網は、さまざまな次世代技術によって重要かつ急速な変革期を迎えており、電力系統の設計、構築、運用のあり方が再定義されつつある。例えば、本計画では、エネルギー省が、デジタル・エネルギー・インフラのサイバーセキュリティ標準とガイドラインを、各州が実施可能なガイダンスに統一する枠組みを策定している。国家情報長官室は、進化する脅威の状況について、エネルギー技術の業界団体に情報に基づいたブリーフィングを定期的に提供する役割を担っている。また、サイバーセキュリティ・インフラ・セキュリティ庁は、製品ライフサイクルを通じてセキュア・バイ・デザインの原則を取り入れたデジタル・エネルギー・システムの調達を奨励する。 |
| As our economy electrifies, ensuring cybersecurity is baked in from the outset will be essential for the foundations of our modern energy sector as well as our national competitiveness and economic security. | 我々の経済が電化されるにつれ、サイバーセキュリティを当初から確実に組み込むことは、現代のエネルギー部門の基盤だけでなく、国家競争力や経済安全保障にとっても不可欠となる。 |
| Linchpin Technologies | 要となる技術 |
| Earlier this year the U.S. government identified five linchpin energy technologies for which cybersecurity and resilience improvements could have the highest return on investment and improve the security of the system. The EMCIP includes many initiatives specific to those technologies: | 今年初め、米国政府は、サイバーセキュリティとレジリエンスの改善が最も投資対効果が高く、システムの安全性を向上させる5つの基幹エネルギー技術を特定した。EMCIPには、これらの技術に特化した多くの取り組みが含まれている: |
| ・Batteries & Battery Management Systems. With properly architected and secured software, both firmware and cloud-based, batteries big and small promise an ambitious energy future that is less constrained by the time or geography of electricity generation. | ・電池と電池管理システム:ファームウェアとクラウドベースの両方で、適切に設計され、保護されたソフトウェアがあれば、大小のバッテリーは、発電の時間や地理的制約の少ない野心的なエネルギーの未来を約束する。 |
| ・・The Department of Energy is integrating battery energy storage systems operators into cybersecurity exercise programs in order to address challenges with the battery ecosystem threat analysis picture not consistently shared with stakeholders. | ・・エネルギー省は、利害関係者と一貫して共有されていないバッテリーのエコシステム脅威分析図の課題に対処するため、サイバーセキュリティ演習プログラムにバッテリーエネルギー貯蔵システム事業者を統合している。 |
| ・Inverter Controls & Power Conversion Equipment. Inverter controls and power conversion equipment underpin every connection between the electrical grid and distributed energy resources (DERs), such as solar panels, batteries, wind turbines, or hydrogen electrolyzers. When paired with robust cybersecurity, inverters support more sophisticated grid services while promoting greater resilience and lower operating costs across the diverse energy assets of our energy future. | ・インバータ制御と電力変換装置:インバータ制御と電力変換装置は、電力網と太陽光パネル、バッテリー、風力タービン、水素電解装置などの分散型エネルギー・リソース(DERs)との間のあらゆる接続を支えている。堅牢なサイバーセキュリティと組み合わせることで、インバーターはより高度なグリッドサービスをサポートし、同時に私たちのエネルギーの未来における多様なエネルギー資産において、より高いレジリエンスと運用コストの低減を促進する。 |
| ・・The Department of Energy is developing guidance and best practices for the adoption and implementation of tools to increase the cyber posture of operators of network-connected inverters. | ・・エネルギー省は、ネットワークに接続されたインバータの運用者のサイバー態勢を強化するためのツールの採用と導入のためのガイダンスとベストプラクティスを開発している。 |
| ・Distributed Control Systems. Cloud-enabled distributed control leverages network connectivity to enable sophisticated aggregation, coordination, and management at scale. Secure-by-design management software will enable greater operation and coordination of hundreds of thousands of DERs; virtual power plants; transmission and distribution systems; small nuclear reactors; community microgrids; and other innovative energy systems. | ・分散型制御システム:クラウド対応の分散制御は、ネットワーク接続を活用して、規模に応じた高度な集約、調整、管理を可能にする。セキュア・バイ・デザインの管理ソフトウェアは、何十万ものDER、仮想発電所、送電・配電システム、小型原子炉、コミュニティ・マイクログリッド、その他の革新的なエネルギーシステムの、より高度な運用と調整を可能にする。 |
| ・・The Department of Energy is developing testing procedures and verification methodologies for the data requirement and data integration interfaces for advanced distribution management systems, distributed energy resource management systems, microgrid controllers, and other integration software in order to provide industry with clear testing and verification methods for ensuring compliant vendor equipment. | ・・エネルギー省は、先進配電管理システム、分散型エネルギー資源管理システム、マイクログリッド制御者、その他の統合ソフトウェアのデータ要件とデータ統合インターフェースに関するテスト手順と検証方法を開発中である。 |
| ・Building Energy Management Systems. Advanced building energy management systems improve comfort and well-being through the optimization of heating, ventilation, and cooling systems, as well as lighting systems, and the integration of “behind the meter” energy resources. | ・ビル・エネルギー管理システム:先進的なビル・エネルギー管理システムは、暖房、換気、冷房システム、照明システムの最適化、「ビハインド・ザ・メーター」エネルギー資源の統合を通じて、快適性と幸福感を向上させる。 |
| ・・The Department of Energy is conducting vulnerability assessments for the most commonly-used components and platforms for Building Energy Management Systems. | ・・エネルギー省は、ビル・エネルギー管理システムで最も一般的に使用されているコンポーネントとプラットフォームの脆弱性アセスメントを実施している。 |
| ・Electric Vehicles (EVs) & Electric Vehicle Supply Equipment (EVSE). Powered by secure and sophisticated distributed energy control systems, digitally-managed EVSE can enable smart charging, by which utilities or consumers can manage the charging schedules of EVs to optimize grid load, reduce energy costs, or maximize alignment with modern energy sources. Similarly, EV batteries can be marshalled to be either local sources of backup electricity or citywide virtual power plants, buttressing systemic resilience. | ・電気自動車(EV)と電気自動車供給設備(EVSE):安全で洗練された分散型エネルギー制御システムにより、デジタル管理されたEVSEは、スマート充電を可能にする。これにより、電力会社または消費者は、EVの充電スケジュールを管理し、グリッド負荷を最適化し、エネルギーコストを削減し、最新のエネルギー源との整合性を最大化することができる。同様に、EVのバッテリーは、地域のバックアップ電源として、あるいは都市全体の仮想発電所として活用することができ、システムのレジリエンスを強化することができる。 |
| ・・The Joint Office of Energy and Transportation will transition findings from previously completed field testing into a portable test kit that EVSE stakeholders can use to rapidly evaluate the cybersecurity posture of EVSE and EV charging infrastructure based on a cultivated hardware/software platform and provided testing methodology. | ・・エネルギー・運輸合同局は、すでに完了した実地試験から得られた知見を、EVSE関係者が、培われたハードウェア/ソフトウェア・プラットフォームと提供された試験手法に基づいて、EVSEとEV充電インフラのサイバーセキュリティ態勢を迅速に評価するために使用できるポータブル試験キットに移行する。 |
| The United States Government will only succeed in implementing the EMCIP through close collaboration with the private sector; civil society; state, local, Tribal, and territorial governments; international partners; and Congress. Federal agencies will collaborate with interested stakeholders to implement the plan and build new partnerships where possible. | 米国政府は、民間セクター、市民社会、州、地方、部族、地域政府、国際パートナー、議会との緊密な協力を通じてのみ、EMCIPの実施を成功させることができる。連邦政府機関は、利害関係者と協力して計画を実施し、可能であれば新たなパートナーシップを構築する。 |
・[PDF] Energy Modernization Cybersecurity Implementation Plan
目次...
| Introduction | 序文 |
| Overview | 概要 |
| A Changing Grid | 変化するグリッド |
| Facing Evolving Threats | 進化する脅威に立ち向かう |
| Linchpin Technologies | 要となる技術 |
| Implementation Plan Reading Guide | 実施計画リーディング・ガイド |
| Section A: Cross-Cutting Issues | セクションA:横断的課題 |
| Goal: Enhance operational collaboration between government and energy sector partners | 目標:政府とエネルギー部門のパートナー間の業務協力を強化する |
| Goal: Create communities of practice able to foster strategic unity, shared goals, and critical information flows | 目標:戦略的な団結、目標の共有、重要な情報の流れを促進することができる実践のコミュニティを作る |
| Goal: Link digital energy infrastructure standards requirements to crosscutting standards agenda | 目標:デジタル・エネルギー・インフラの標準要件を横断的な標準アジェンダにリンクさせる |
| Goal: Get “ahead of the curve” on cybersecurity practices for key currently- or soon-deploying technologies | 目標:現在展開中、または近々展開される主要なテクノロジーについて、サイバーセキュリティの実践を「先取り」する |
| Goal: Develop a better understanding of potential cybersecurity risks with the next generation of energy technology | 目標:次世代のエネルギー技術に潜在するサイバーセキュリティ・リスクについて理解を深める |
| Goal: Strengthen energy technology cybersecurity R&D community of practice capable of identifying priority R&D requirements | 目標:優先的な研究開発要件を特定できるエネルギー技術のサイバーセキュリティ研究開発実践コミュニティを強化する |
| Goal: Build cybersecurity considerations into the foundations of energy modernization, while ensuring it is flexible enough to accommodate not-yetextant cybersecurity practices as they develop | 目標:サイバーセキュリティへの配慮をエネルギー近代化の基礎に組み込むと同時に、サイバーセキュリティの慣行が発展していく中で、まだ十分ではないサイバーセキュリティの慣行に対応できる柔軟性を確保する |
| Goal: Develop a better understanding of potential cybersecurity risks with the next generation of energy technology | 目標:次世代のエネルギー技術に潜在するサイバーセキュリティリスクについて理解を深める |
| Goal: Identify evolving landscape of energy system products bought and installed in the United States | 目標:米国で購入・設置されるエネルギーシステム製品の進化する状況を識別する |
| Goal: Develop a modern energy cybersecurity workforce | 目標:最新のエネルギー・サイバーセキュリティ人材を育成する |
| Section B: Batteries & Battery Management Systems | セクションB:バッテリーとバッテリー管理システム |
| Goal: Create community of practice able to foster strategic unity, shared goals, and critical information flows | 目標:戦略的な結束、目標の共有、重要な情報の流れを促進できる実践共同体を作る |
| Goal: Enhance operational collaboration between government and energy sector partners | 目標:政府とエネルギー部門のパートナー間の業務協力を強化する |
| Section C: Inverters Controls & Power Conversion Equipment | セクション C: インバーター 制御・電力変換装置 |
| Goal: Enhance operational collaboration between government and energy sector partners | 目標:政府とエネルギー部門のパートナー間の業務協力を強化する |
| Goal: Develop strategic cyber interconnection plan to enable guidelines to be pushed more regularly to the process of connection to the grid | 目標:戦略的なサイバー相互接続計画を策定し、送電網への接続プロセスにより定期的にガイドラインを適用できるようにする |
| Goal: Get “ahead of the curve” on cybersecurity practices for key currently- or soon-deploying technologies | 目標:現在展開中、または近々展開される主要なテクノロジーについて、サイバーセキュリティの実践を「先取り」する |
| Section D: Distributed Control Systems | セクションD:分散制御システム |
| Goal: Harmonize integration and management of DERs through common data standards | 目標:共通のデータ標準を通じてDERの統合と管理を調和させる |
| Goal: Build cybersecurity considerations into the foundations of distributed control systems rollout while ensuring they are flexible enough to accommodate not-yet-extant standards as they develop | 目標:分散型制御システム展開の基盤にサイバーセキュリティへの配慮を組み込むと同時に、標準が開発される際には、まだ存在しない標準にも対応できる柔軟性を確保する |
| Section E: Building Energy Management Systems | セクションE:ビル・エネルギー管理システム |
| Goal: Get “ahead of the curve” on cybersecurity practices for key currently- or soon-deploying technologies | 目標:現在展開中、または近々展開される主要なテクノロジーについて、サイバーセキュリティの実践を「先取り」する |
| Goal: Diagnose building management system supply chain risk from a cybersecurity perspective and adopt appropriate mitigations | 目標:サイバーセキュリティの観点からビルマネジメントシステムのサプライチェーンリスクを診断し、適切な緩和策を採用する |
| Section F: Electric Vehicles (EVs) & Electric Vehicle Supply Equipment (EVSE) | セクションF:電気自動車(EV)と電気自動車供給設備(EVSE) |
| Goal: Create communities of practice able to foster strategic unity, shared goals, and critical information flows | 目標:戦略的な団結、目標の共有、重要な情報の流れを促進することができる実践のコミュニティを作る |
| Goal: Accelerate the development of cybersecurity-focused technical standards and related guidance, including energy sector CPGs and NIST Privacy Framework profile for EV/EVSE | 目標:エネルギー分野の CPG や EV/EVSE の NIST プライバシー枠組みプロファイルなど、サイバーセキュリ ティに焦点を当てた技術標準や関連ガイダンスの策定を加速する |
| Goal: Drive international adoption of secure modern energy technologies, including EV/EVSE | 目標:EV/EVSEを含む安全な近代的エネルギー技術の国際的普及を推進する |
| Goal: Ensure EVSE platforms are flexible enough to accommodate not-yetextant standards as they develop | 目標:EVSEのプラットフォームは、標準が開発された際に、拡張性のない標準にも対応できる柔軟性を確保する。 |
| Goal: Support agency procurement of secure electric vehicle-related infrastructure | 目標:安全な電気自動車関連インフラの調達を支援する。 |
| Goal: Develop an EV charging cybersecurity workforce | 目標:EV充電サイバーセキュリティ人材の育成 |
| Goal: Enable cyber defenders and managers to better understand systemic risks presented by EVSE integrations and identify opportunities for mitigation | 目標:サイバー防御担当者やリスクマネジメント担当者が、EVSEの統合がもたらすシステムリスクをよりよく理解し、緩和の機会を特定できるようにする |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.10.26 米国 ONCD 2024年のサイバーセキュリティ態勢2024とサイバーセキュリティ戦略実装計画Ver.2 (2024.05.07)
・2023.03.04 米国 国家サイバーセキュリティ戦略を発表
Comments