なぜいま重要なのか、電力業界のサイバー攻撃対策：電力業界のサイバーセキュリティ再考（1）（3/3 ページ）

[デロイト トーマツ サイバーセキュリティ先端研究所，スマートジャパン]

3.サイバー攻撃の”深化”

　制御システムのセキュリティ確保が必要である、という主張が今ほど目立たなかった2000年代のセキュリティインシデントは、偶発的に持ち込まれたマルウェアに起因する事例が多かった印象があります。しかし、2010年のStuxnet、2015年のウクライナ送電網に対するサイバー攻撃のような、明確な意図を持ち高度なサイバー攻撃を仕掛けた事例も出てきています（ウクライナでは2016年にも攻撃が発生しました）。また、2016年からは制御システムがランサムウェアに感染する事例も出ています。

表1．電力業界を対象としたサイバー攻撃の公表事例（一部）

　制御システムを対象としたサイバー攻撃の公表件数は、ITシステムを対象としたものと比較し、非常に少ないです。しかし、これは発生していないことを必ずしも意味するものではありません。例えば、個人情報の漏えいは個人情報保護法（個人情報の保護に関する法律）およびガイドラインに基づき、事実関係などを公表するため、サイバー攻撃の存在を一定数確認できます（「個人データの漏えい等の事案が発生した場合等の対応について」平成29年個人情報保護委員会告示第1号）しかし、制御システムの場合は、サイバー攻撃を受けたとしても、法規制による公表基準を満たさなければ、企業はわざわざ公表をしません。また、アセットオーナーが自社の制御システムがマルウェアにした事実に気付かないケースもありますので、公表事例はあくまで「氷山の一角」だと捉えるべきでしょう。

　幸いなことに、日本ではサイバー攻撃が起因する停電等の保安事故は発生していないようです。諸外国と比較し安全であったため、Stuxnetやウクライナ送電網のような高度なサイバー攻撃事例が、対岸の火事であるように感じられるかもしれません。

　しかし、設備保全業務を行うかぎり、うっかりマルウェアが持ち込まれてしまう可能性をゼロにすることはできません。設備の停止が短期間であっても、運転再開までの対応負荷は大きいものです。また、電力業界においては系統に影響を与えてしまうと停電に陥るリスクもあり、特に電力自由化が進む現在において、停電による需要家からの信用失墜は、避けるべき経営リスクの1つでしょう。

本連載で扱うテーマ

　本連載は日本の重要インフラのセキュリティレベル向上を期待し、電力業界を題材とし、次のテーマで執筆します。なお、本連載における意見は筆者の私見であることを予め申し上げます。

1.歴史を振り返る

　重要インフラのサイバーセキュリティ対策が法制度として求められるようになってきた背景を、経緯と共に振り返ります。

　まず、日本より取り組みが先行し、参考にしているといわれる米国はどのような過程を経て今の法制度に至るのかについて概説します。また、米国の電力に関係する重要インフラセクターの電力セクターと原子力セクターが、セキュリティ対策を推進してきた経緯について紹介します。

　なお、米国原子力セクターの原子力規制委員会（NRC：Nuclear Regulatory Commission）規制、原子力エネルギー協会（NEI：Nuclear Energy Institute）基準についてはあまり日本語では言及されてこなかったため、読み物としては新規性があると思います。日本の原子力施設がサイバーセキュリティ対策を行う上で参照とすべき、国際原子力機関（IAEA：International Atomic Energy Agency）憲章に基づくコンピュータセキュリティ基準についても概説します。

2.日本の電力業界に望まれる対応

　法規制も踏まえながら、具体的な対策を進めていくためのポイントを解説します。まず、制御システムが、ITシステムと比較してセキュリティ対策を難しいという側面、つまり課題について紹介します。その上で、経産省の電力制御システムセキュリティガイドラインも踏まえ、さらなる対策を効率的に進めるために必要な、重要デジタル資産の識別、そしてサイバーセキュリティインシデントの早期発見に向けたモニタリング手法について概説します。

　最後に、電力設備の運転・保全業務にセキュリティ対策を組み込むために必要な業務設計、および発注者側に望まれる調達業務についても論じてみたいと思います。

　また、重要インフラのサイバーセキュリティをテーマとした海外カンファレンスの模様なども、紹介出来る範囲で執筆する予定です。

• 第2回「重要インフラのサイバーセキュリティ、米国はどう法整備を進めたのか 」