米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシート

最終更新日：2020年3月18日

IPA（情報処理推進機構）は、国内の重要インフラ業界のセキュリティ対策の支援を目的に、米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」（*1）の解説書およびチェックシートを公開しました。

ES-C2M2（Electricity Subsector Cybersecurity Capability Maturity Model）とは

「ES-C2M2」は、米国の電力業界で活用されている、セキュリティレベル向上のためのガイドライン（※）です。

「ES-C2M2」は、米国エネルギー省（DoE）が、米国内電力会社のセキュリティマネジメントを自己評価するために発行したもので、サイバーセキュリティ成熟度モデル（Cybersecurity Capability Maturity Model：C2M2）のひとつです。本モデルを活用することで、現在取組んでいる対策や手法等の能力レベルの評価と、それによる対策の目標や改善のための優先順位の設定が可能になります。

米国では、より精度の高いセキュリティ対策の検討などにも有効であるとして、電力だけにとどまらず、石油・ガス・ビル業界などでもサイバーセキュリティ成熟度モデル（C2M2）が活用されています。「ES-C2M2」は電力業界向けとされていますが、他業界を含む重要インフラ事業者でも活用できる内容となっています。

今回公開した解説書は、日本国内の重要インフラ業界における「ES-C2M2」の活用促進を目的にしたもので、「ES-C2M2」の概要や、チェックシートを用いた具体的な評価の手順などを紹介しています。

重要インフラ業界のセキュリティレベル向上にぜひお役立て下さい

（※）

現在、米国では、事業者の重要インフラセキュリティの規制および自己評価用に、「ES-C2M2（電力分野用セキュリティマネジメント成熟度モデル）」、NERC CIP（重要インフラ防護基準）」（*2）、「NIST IR 7628（スマートグリッド向けセキュリティガイドライン）」（*3）の3つが活用されています。

「ES-C2M2」における自己評価

事業者のサイバーセキュリティへの対応状況を10の「ドメイン」に分類し、各ドメイン内に37の「目標」、目標ごとに312の「プラクティス」を整備。事業者のセキュリティマネジメントにおける成熟度を4段階で自己評価します。

米国電力分野の基準の概要

今回「ES-C2M2」、「NERC CIP」、「NIST IR7628」の3つの基準・ガイドラインの調査を行いましたので、合わせてその概要も公開しました。

本3つの基準の概要については「米国電力分野の基準の概要」を参照ください。

（*1）

Electricy Subsector Cybersecurity Capability Maturity Model
（*2）

NERC Critical Infrastructure Protection Standard (NERC：North American Electric Reliability Corporation)
（*3）

NIST IR 7628 Guidelines for Smart Grid Cybersecurity (NIST IR：National Institute of Standards and Technology Interagency