【電力・ガス分野におけるサイバーセキュリティの動向】~高度化・巧妙化するサイバー攻撃にどう立ち向かうべきか~
2020-12-25
※2020年12月に配信したニュースレターのバックナンバーです。エネルギートランスフォーメーション ニュースレターの配信をご希望の方は、ニュース配信の登録からご登録ください。
今回は、デジタル技術の活用が進む電力・ガス分野において、サイバーセキュリティに焦点を当てて動向や必要な取り組みを考察いたします。
電力・ガス分野におけるシステム環境の変化
従来、電力・ガスといった重要インフラで稼働している制御システム(OT)は、情報システム(IT)と異なり、外部ネットワークへの接続点が限定されたクローズドな環境でした。
一方、近年では汎用システムや標準プロトコルの採用が進み、従来隔離されていたOTシステムが外部に接続されるようになってきました。
また他産業分野と同様に電力・ガス分野でもクラウドやAI、IoTといったデジタル技術の活用が広がりつつあり、例えば、家庭・ビル・工場にある複数の小規模な発電・蓄電設備をIoT技術で集約し、一つのエネルギー供給システムとして活用する仮想発電所(VPP:Virtual Power Plant)の構築が加速しています。今後も電力・ガス分野のシステム環境はより多様化かつ複雑になっていくことが予想されます。
サイバー攻撃は高度化・巧妙化し、サイバーセキュリティリスクが高まっている
これまで閉鎖環境にあった電力・ガス分野のシステム環境は大きく変化しました。その結果、攻撃ターゲットや侵入ルートが増え、サイバーセキュリティリスクが急速に拡大しています。またエネルギー分野はサイバーテロの格好のターゲットになっており、火力発電や原子力発電の制御系システムへの攻撃は物理的影響のみならず、企業の信用やブランド価値の毀損による消費者離れ、ついては収入の減少など、経営に大きな影響を及ぼします。
例えば、ウクライナで発生した電力会社へのサイバー攻撃では、制御システムがマルウェア(BlackEnergy)に感染したことで最大6時間の停電が発生し、多くの住民に影響を及ぼしました。更に2021年は東京オリンピック・パラリンピック競技大会を控えており、大会期間中においては主催者・大会スポンサー等や大会に影響を与える可能性のある重要インフラ事業者が狙われる傾向にあることから、サイバー攻撃をしかける集団も「個人の力を誇示したいハッカー」だけでなく「ハクティビスト」「国家支援者」「サイバー軍」といった大規模かつ組織的になっていくことが予想されます。
電力・ガス分野に求められる高度なセキュリティ対策
電力・ガス分野のシステムには、国内外でサイバーセキュリティ対策に関するガイドラインが規定されています。また、昨今のIT、OT、IoTシステムへのサイバー攻撃の増加を背景に、セキュリティ人材の育成、サイバー攻撃を想定したインシデント対応計画の策定や訓練、制御システムのセキュリティ検査(ペネトレーションテストなど)、ベンダーを含めたサプライチェーンリスク管理、東京オリンピック・パラリンピック競技大会に向けた特別警戒体制の構築といったセキュリティ対策の重要性が高まっています。
一方、OTシステムは本社のIT部門やセキュリティ部門からの指示が届きにくく、カイゼンの名のもとに個別事情が多いことから、事業部とセキュリティ部門の協力体制の構築やセキュリティルール整備が不十分、といった実態が多くあります。またIoTは個々のデバイスの性能が限られる傾向にあり、また破壊や盗難といった物理的な攻撃を受けやすいことから、IoT特有の性質を考慮したセキュリティ対策の検討が必要です。従来のITシステムに関する知識・経験だけでは十分な対策を講じることは出来ません。
PwCは電力・ガス分野におけるサイバーセキュリティの推進を実現すべく、サイバーセキュリティやリスク管理を専門とするコンサルタントに加えて、電力・ガスシステム改革支援室の業界専門コンサルタント、またPwCグローバルの電力・ガス業界におけるサイバーセキュリティ専門チームが連携をし、海外の知見や調査結果を活用しながらサービスを提供していきます。
<支援実績の例>
- 電力・ガス制御システムにおけるセキュリティポリシーやセキュリティ整備計画の策定
- セキュリティ対応に関わる組織の役割・業務の定義、セキュリティ人材育成のプロセス定義
- クラウド・IoTセキュリティアーキテクチャの設計
- 電力・ガス制御システムに対するサイバー攻撃を想定した訓練や演習の企画・設計
- サイバー攻撃を想定したペネトレーションテストの実施
