電力や公益事業のような規制の厳しい業界では、管理すべきITOTにかかるサイバー資産が多数存在します。デジタルトランスフォーメーション(DX)の導入に伴い、コンプライアンスを管理し、リスクを軽減し、コスト効率を維持するためには、プロセスやテクノロジー全体のガバナンス・リスク・コンプライアンス(GRC)機能と直接結びついた自動管理が必要となります。つまり、規制産業においては、これらのサイバー資産のガバナンスに対処する革新的な方法を模索しなければなりません。
そのためには、段階的かつ体系的なアプローチを用いて資産情報を収集し一元化することで、サイバーリスク資産の識別、軽減、報告が可能となります。
NERC CIPなどのコンプライアンスの取組みにより、電力会社や公益事業会社は、送電制御センター、送電変電所、発電所の大規模電力システム(BES)を特定し、対応するBESのサイバー資産(BCA)と関連する保護対象のサイバー資産(PCA)のリストを維持しなければなりません。この取組みでは、バルクサイバーシステムと総称されるBCAとPCAの既知の状態を維持し、文書化し、実証するために、コンプライアンスチームに大きな負担がかかります。
さらに、電力・ユーティリティ部門におけるIT/OT資産は、以下のような多くの要因によって常に変化しています。
- 新しい資産の販売と取得
- 再生可能エネルギー
- スマートグリッド技術
- バックオフィス情報システムの変革
- ビジネスオペレーションの集中化
- フリート資産の近代化
これらの結果、インフラの乱立、必要な洞察力の欠如、データリンクの喪失、効果的ではないGRCプロセスなどが発生しています。基盤となるサイバー資産が不明であったり、常に変化していたりする場合、適切な監視とガバナンスなしに、リスクを正確に管理し、コンプライアンスを確保することは不可能です。
本稿は、KPMGインターナショナルのサイトで紹介しているレポートのサマリーです。
原文となるレポートでは、GRCプログラムおよび実装の基盤となる強固なCMDBを構築することの重要性について、詳しく説明しています。
全文は以下のリンクよりご覧いただけます。
全文はこちらから(英文)
The value of a CMDB for a successful GRC program
