情報セキュリティ
最終更新日:2020年3月18日
IPA(情報処理推進機構)は、国内の重要インフラ業界のセキュリティ対策の支援を目的に、米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」(*1)の解説書およびチェックシートを公開しました。
「ES-C2M2」は、米国の電力業界で活用されている、セキュリティレベル向上のためのガイドライン(※)です。
「ES-C2M2」は、米国エネルギー省(DoE)が、米国内電力会社のセキュリティマネジメントを自己評価するために発行したもので、サイバーセキュリティ成熟度モデル(Cybersecurity Capability Maturity Model:C2M2)のひとつです。 本モデルを活用することで、現在取組んでいる対策や手法等の能力レベルの評価と、それによる対策の目標や改善のための優先順位の設定が可能になります。
米国では、より精度の高いセキュリティ対策の検討などにも有効であるとして、電力だけにとどまらず、石油・ガス・ビル業界などでもサイバーセキュリティ成熟度モデル(C2M2)が活用されています。「ES-C2M2」は電力業界向けとされていますが、他業界を含む重要インフラ事業者でも活用できる内容となっています。
今回公開した解説書は、日本国内の重要インフラ業界における「ES-C2M2」の活用促進を目的にしたもので、「ES-C2M2」の概要や、チェックシートを用いた具体的な評価の手順などを紹介しています。
重要インフラ業界のセキュリティレベル向上にぜひお役立て下さい
事業者のサイバーセキュリティへの対応状況を10の「ドメイン」に分類し、各ドメイン内に37の「目標」、目標ごとに312の「プラクティス」を整備。事業者のセキュリティマネジメントにおける成熟度を4段階で自己評価します。
今回「ES-C2M2」、「NERC CIP」、「NIST IR7628」の3つの基準・ガイドラインの調査を行いましたので、合わせてその概要も公開しました。
本3つの基準の概要については「米国電力分野の基準の概要」を参照ください。
IPA セキュリティセンター(IPA/ISEC
2020年3月18日
アンケートを終了しました。
2019年10月23日
ES-C2M2の正式名称を修正しました。
2019年10月21日
掲載