以前にも書いたような気がしますが、SmartGridのセキュリティ問題についてのKatie氏の新しい記事が出ていたので読んでみました。早い段階で、規格なり仕組みなりをつくることの大切さと難しさみたいなものを感じました。やってみなければわからない部分を少なくし、後から適用することによって発生するコストを抑える。それを業界全体や国全体でやる。凄いことだなと、ただただ感心しながら読んでいました。
Smart Grid Security Frenzy: Cyber War Games, Worms and Spies, Oh My! – Gigaom

• SmartGridのセキュリティ問題
  • コンピュータセキュリティ企業や政策決定者などは、ノイズともいうべき警告を発している
    • SmartGrid普及の初期段階において
    • 標準規格を作り、法ができる前にボランタリープログラムを作る努力をしているのにも関わらず
    • Gridのセキュリティ分野は大きなビジネスになるので、メーカーもその市場を作ろうと努力している
• NERCの発表
  • NERC(the North American Electric Reliability Corp.)は、SmartGridのセキュリティに関する進展があったと発表した
  • 8つのサイバーセキュリティ基準(eight cyber security standards)の第一稿を承認
    • (後で読む : Smart Grid Progress: DOE Announces First Standards, Raises Cap on Stimulus Funds – Gigaom)
    • 今は、今年中に発表される第二稿に取りかかっている
  • いくつかの発電会社(power companies)と一緒に査定(assessments)を始める
    • これによって、cyber incidentsに対するベストな答えは何なのかを明らかにする
  • セキュリティ障害が発生した場合に、発電会社や家庭に対してそれを通知できるような、アラート・ポータルを作っている
• 国防産業とユーティリティ
  • 上記のような動きはスタートとしては良いが、ユーティリティは年老いた防衛産業とも組もうとしている
    • NERCは、国防の請け負い業者から"サーバースペース内の違反を見つける"ポジションを得るための交渉している
    • 実際、昨年発生した二つの大きな停電は、中国のハッカーが、ちょっとした情報技術で引き起こしたのではという疑いがある
    • また今年の4月には、ロシアと中国のスパイが、米国のパワーグリッドをハックした
• 標準規格
  • 政策決定者や企業は、構造的なセキュリティ・ワークを実施している
    • だから、産業界はまもなく発表される進化した法体系を見ることができるだろう
    • セキュリティの法律に関して、少なくとも3つの提案が議論されている
    • 普及した後よりも、初期段階の方が、基準を満たすための実装には資金がかからないので、これらのステップは前へ進むだろう
  • IOActiveの主張
    • コンピュータ・セキュリティの会社
    • セキュリティ機能をデザイン段階で実装するよりも、開発サイクルの後半でそれらの機能を追加する方が60倍コストがかかる
    • SmartGridには、コンピュータセキュリティにおけるSecure Development Lifecycle(SDL)のような考えが欠けている
    • SDLは、コンピュータセキュリティのガイドライン
    • これらから学ぶことで、時間や資金を節約でき、多くの経験にも触れられる
    • もしやらなければ、コンピュータセキュリティ企業にとっては商機となる
    • 4月にIOAtiveは、いくつかのSmartMegerのプログラムエラーを発見した
    • コンピュータセキュリティを破壊するためのワームが、SmartMeterシステムでも使われるだろう
    • (最後の段落は、理解が曖昧です)