電力・ガス・石油・化学分野のサイバーセキュリティ
更新日:
今週の自民党サイバーセキュリティ対策本部では、「重要インフラ13分野」のうち、「電力」「ガス」「石油」「化学」の分野について、議論をしました。
これらの分野では、従来から発生している個人情報や機密情報の漏洩に加え、重要インフラ事業者の事業活動を妨害するサイバー攻撃も行われ、「制御システム」や「製造ライン」に被害が発生しています。
近年の国内外の主なインシデント事案を紹介します。
第1に、サイバー攻撃によるインフラ障害です。
2015年12月には、ウクライナの変電所へのサイバー攻撃があり、マルウェア感染により、数万世帯が3時間以上停電しました。
2016年12月にも、ウクライナのキエフ郊外にある変電所へのサイバー攻撃があり、停電が発生。変電所はマニュアル操作に切り替え、約1時間15分後に復旧しました。
昨年(2017年)6月には、ロシアの石油会社やウクライナの電力会社でマルウェア感染があり、データ破壊の被害が発生しました。
また、昨年7月には、欧州、ロシア、米国などで、ランサムウェア感染が多数報告されました。ウクライナの被害が最大で、電力会社、首都キエフの地下鉄や空港、チェルノブイリの放射線レベル測定システムにも影響があったそうです。
第2に、サイバー攻撃による個人情報、機密情報の漏えいです。
2015年6月、日本の石油連盟の事務端末が標的型メールによってマルウェア感染し、石油政策上の要望事項と関連資料などが流出。
昨年9月には、東京ガス株式会社のガス・電気料金情報WEB照会サービスで10万件を超える不正アクセスが発生し、106件の顧客情報が閲覧され、そのうち24件についてはポイント不正使用の被害がありました。
10月には、東邦ガス株式会社でも、1万5千件を超える不正アクセスを確認しています。
第3に、インフラ事業者へのハッキングです。
昨年7月に、米国の原子力発電所やエネルギー施設運営の企業がハッキング被害に遭い、FBIが緊急報告。
昨年12月には、ロシアの石油輸送管路企業が、同社のシステムで不正な暗号通貨採掘ソフトを検出しています。
今後、「IT系(情報系)システム」と「OT系(制御系)システム」の連携とネットワークを活用した高度化・効率化が促進される分野ですが、「サイバー攻撃による影響が深刻化・広域化するリスク」は増えそうです。
IT系システムが「個人情報やデータの機密性」を重視し、OT系システムが「人的損害や事業継続に対する可用性」を重視していることから、設計・運用の思想が異なるシステムの連携に於いては、システム全体のリスク分析と事業継続性を踏まえたセキュリティ対策を実施することが必要になります。
また、電力・ガス・石油などは国民生活を支えるインフラであり、サプライチェーンの一部として様々な分野と関連していますから、「1分野の被害が他分野に波及するリスク」も増えると想定できます。
現在、経済産業省では、各産業界のサプライチェーンを踏まえたサイバーセキュリティ対策強化の検討が進められているようです。
電力業界では、2017年3月に「電力ISAC(Japan Electricity Information Sharing and Analysis Center)」が設立され、情報共有やベストプラクティス共有、セキュリティ教育の検討を進めるとともに、欧州のISACとの連携も進めておられます。
今後は、他分野のISAC設立を加速させることと、分野を跨る情報共有の仕組みが必要でしょう。
人材育成についても、CSSC(Control System Security Center)に於いて、2013年度から継続的に、電力・ガス・ビル・化学分野の技術者に対してサイバーセキュリティ演習が実施されています。
また、昨年3月から、独立行政法人情報処理推進機構(IPA)に産業サイバーセキュリティセンターが設置され、各分野の技術者を対象にIT系とOT系のセキュリティ対処や対策立案能力を向上させるトレーニングが実施されています。
今後は、ⅠoTの進展に合わせて、IT系とOT系のスキルを併せ持つ人材を育てるとともに、サイバー攻撃に対する検知・解析・対処について、分野を横断して連携して対応できる実践的訓練環境の整備が必要となりますね。