日立ソリューションズ 情報セキュリティブログは、2020年5月31日(日)をもちまして閉鎖をさせていただきます。
今まで長きに渡り当サイトをご利用いただきまして、
誠にありがとうございました。

ES-C2M2とは

ES-C2M2(Electricity Subsector Cybersecurity Capability Maturity Model)とは、米国の電力業界で活用されている、サイバーセキュリティレベル向上のためのガイドラインのこと。

サイバーセキュリティ成熟度モデル(Cybersecurity Capability Maturity Model:C2M2)の電力業界版というべきもので(石油・ガス業界向けにも同様の評価ガイドラインがある)、米国エネルギー省が発行し、電力業界におけるサイバーセキュリティ能力の成熟度を自己評価する手順として普及している。

「ES-C2M2」は、「リスク管理」「資産、変更および構成管理」「脅威および脆弱性管理」「イベント・インシデントへの対応、業務継続」など10のドメインが定義されている。

そして、各ドメインには合計で37の「目標」と、目標にひもづく312の「プラクティス」が整備されている。事業者は、それぞれのドメインごとに目標値とそれに伴うプラクティスの内容を設定することが推奨される。

これによって、成熟度指標レベル(Maturity Indicator Level:MIL)に基づき、事業者は各ドメインの成熟度を「0」から「3」の4段階で自己評価することができる。

国境を越えたサイバー攻撃の脅威が高まっており、重要インフラに対するサイバーセキュリティ対策は大きな課題となっている。ES-C2M2は、「電力業界におけるサイバーセキュリティ能力の強化」「公益事業者によるベンチマークを活用した効果的かつ一貫性のあるサイバーセキュリティ能力の評価」「知識、ベストプラクティス、および関連情報の共有によるサイバーセキュリティ能力の向上」「公益事業者におけるサイバーセキュリティ向上のための必要なアクション、投資優先度の決定」といった用途で利用され、日本においても有用な評価モデルとなると考えられる。

なお、日本においては、独立行政法人 情報処理推進機構(IPA)が、重要インフラ業界のセキュリティ対策を支援する目的で、ES-C2M2の解説書や自己評価のためのチェックシートを公開している。

関連キーワード:

ES-C2M2

IPA

サイバーセキュリティ

セキュリティ

脆弱性

セキュリティ用語 検索

索引から探す

キーワードから探す

最新セキュリティニュース