SQオンライン

米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシートの公開

IPA（情報処理推進機構）は、国内の重要インフラ業界のセキュリティ対策の支援を目的に、米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」（*1）の解説書およびチェックシートを公開しました。

ES-C2M2（Electricity Subsector Cybersecurity Capability Maturity Model）とは「ES-C2M2」は、米国の電力業界で活用されている、セキュリティレベル向上のためのガイドライン（※）です。

「ES-C2M2」は、米国エネルギー省（DoE）が、米国内電力会社のセキュリティマネジメントを自己評価するために発行したもので、サイバーセキュリティ成熟度モデル（Cybersecurity Capability Maturity Model：C2M2）のひとつです。 本モデルを活用することで、現在取組んでいる対策や手法等の能力レベルの評価と、それによる対策の目標や改善のための優先順位の設定が可能になります。

　米国では、より精度の高いセキュリティ対策の検討などにも有効であるとして、電力だけにとどまらず、石油・ガス・ビル業界などでもサイバーセキュリティ成熟度モデル（C2M2）が活用されています。「ES-C2M2」は電力業界向けとされていますが、他業界を含む重要インフラ事業者でも活用できる内容となっています。

　今回公開した解説書は、日本国内の重要インフラ業界における「ES-C2M2」の活用促進を目的にしたもので、「ES-C2M2」の概要や、チェックシートを用いた具体的な評価の手順などを紹介しています。

　重要インフラ業界のセキュリティレベル向上にぜひお役立て下さい。

（※）現在、米国では、事業者の重要インフラセキュリティの規制および自己評価用に、「ES-C2M2（電力分野用セキュリティマネジメント成熟度モデル）」、NERC CIP（重要インフラ防護基準）」（*2）、「NIST IR 7628（スマートグリッド向けセキュリティガイドライン）」（*3）の3つが活用されています。

日時・場所、プログラム等、本記事の詳細は、IPAのページをご覧ください。

＜出典：独立行政法人情報処理推進機構のウェブサイトを加工して作成＞
https://www.ipa.go.jp/security/controlsystem/usenergy.html