特集
» 2015年09月01日 15時00分 UPDATE

電力供給サービス:電力大手も新電力も、既にサイバー攻撃の“的”にされている(前編) (1/3)

サイバー攻撃で電気が止まる――。それが絵空事ではない状況になっている。サイバー攻撃の広がりが加速する中、“重要インフラ”についてのサイバーセキュリティが重要視されている。本稿では、名古屋工業大学 都市社会工学科で行われた「制御システムのサイバーセキュリティ」に関するワークショップの内容について紹介する。

[三島一孝,スマートジャパン]

 電力システム改革などで市場の開放が進む一方で、電力を含む重要インフラには大きな脅威が迫りつつある。サイバー攻撃の脅威だ。

 電力システム改革により、電力小売の完全自由化や発送電分離などが進み、多くの新規事業者が電力事業に参入できるようになる。またスマートメーターなどICT(情報通信)技術を活用した電力システムが拡大し、電力・データの流れがこれまでの片方向から双方向となる。これらの変化により、電力システム網に直接サイバー攻撃を行うことが可能になりつつある(関連記事)。既にこれらの状況から日本政府も重要インフラに対するサイバーセキュリティに対する専門組織を設立している他、ガイドライン策定などにも動いている(関連記事)。

 しかし、こうした「脅威」が生まれている状況に対し、現在の電力システムを含む制御システムに対するサイバーセキュリティへの取り組みは十分とはいえない。企業のオフィス内のITシステムとは違い、電力システムは従来ICTとは無縁の存在であり、一部ネットワーク化されている領域でも閉鎖されたものであるため、セキュリティ対策は必要ないと思われていたからだ。標的型攻撃が猛威をふるう中、無防備に据え置かれている“重要インフラ”の制御システムは“サイバー攻撃の的”にされかねない状況だ。

 一方、企業としての現実を考えた場合、従来必要なかった領域にサイバーセキュリティ対策で投資を行うのは、かなり難しい問題がある。サイバーセキュリティ対策は実は組織全体で取り組まなければ難しく、経営レベルから現場レベルまで、ある一定の理解がなければ、有効なセキュリティ対策が行えないからだ。

 例えば、現場でサイバーセキュリティ対策に対する認識がない場合や、現場では危機感があるもののマネジメント層の認識不足で必要な投資が受けられずに対策が進まない場合などがよくあるケースである。

重要インフラ企業、26事業者70人が参加

 これらの認識の違いなどを打破し、重要インフラに向けたサイバー攻撃の脅威や、サイバーセキュリティ対策に向けた具体的な取り組みをどうすべきかを考える、「名古屋工業大学 制御系サイバーセキュリティ・ワークショップ」が2015年8月26〜27日に名古屋工業大学で開催された。主催は、重要インフラのサイバーセキュリティについて研究する名古屋工業大学 都市社会工学科の越島、橋本、渡辺研究室で、インテルセキュリティ(マカフィー)、富士通が協賛した。

 今回のワークショップでは、初日は実務担当者を中心に、2日目はマネジメント層を中心としたスケジュールが組まれ、相互に状況への理解を深めるとともに、両者の立場を踏まえ「企業全体としてどういう対策が有効なのか」を考えることを目的としている。最終的に、今回のワークショップには2日間で化学プラント系や重要インフラ系企業など26事業者70人が参加したという(図1)。

photo 図1 ワークショップの様子

 制御系におけるサイバーセキュリティで重要となる安全の面はもとより、復旧までの経営的評価を考慮したセキュリティ対策を検討する。また、ワークショップにはBCM(Business Continuity Management、事業継続マネジメント)の観点を取り入れ、2日目に開催された「サイバー演習」では、サイバーインシデントが発生したときに、マネジメント、制御システム、情報システム、営業、広報に関わる会社組織が、どのように連携し、対応したらよいかを、仮想のシナリオにおいて体験し、対策を実体験できるようにした。

 本稿では、前編で重要インフラに対して迫る脅威と、実際の侵入・改ざんデモの様子を紹介。後編では、先述した「サイバー演習」の模様について紹介する。

「攻撃されない」ではなく「やられることを前提」とした対策へ

 標的型サイバー攻撃の世界では既に「攻撃されないのではなく、やられることを前提とした対策に内容が変わってきている」と、ワークショップを主催する名古屋工業大学 教授の渡辺研司氏は強調する。

 「経済活動へのICTの浸透により、産業そのものがICTなしには成り立たなくなりつつある。そのためICTの脆弱性が産業の脆弱性へとつながる状況になってきている」と渡辺氏は述べる。

photo 名古屋工業大学 教授の渡辺研司氏

 実際にこれまで安全だと思われてきた重要インフラについても、サイバー攻撃によって被害を受ける事例が生まれている。例えば、2002年にはダムの異常放流がサイバー攻撃によって行われた事例がある。また、銀行システムや航空管制システム、鉄道システムなど、多くの重要インフラで障害事例が生まれている。

 渡辺氏は「多くの重要インフラシステムが、同じプラットフォームではなくシステム同士が連携して1つのシステムとして機能する『システムズオブシステム』となり、高度な自動化が進む中、人間の手作業で予防や回復を行うには限界が出てきている。またマルチベンダー化が進む中、予防保護や後付けのセキュリティ対策では対応し切れない状況が生まれている。その中で『やられること』を前提とした対応力をベースとした準備が必要になっている」と語る。

       1|2|3 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.