【エネルギー業界におけるサイバーセキュリティの重要性】～セキュリティ要求水準やサイバー脅威の高まり～

2023-02-28

※2023年1月に配信したニュースレターのバックナンバーです。エネルギートランスフォーメーションニュースレターの配信をご希望の方は、ニュース配信の登録からご登録ください。

エネルギー業界におけるセキュリティ要求水準の高まり

近年、重要インフラであるエネルギー業界に関連する法案や方針が相次いで打ち出されています。2022年5月には経済安全保障推進法が成立し、重要設備の導入・維持管理の委託を国が事前に審査するなど、基幹インフラ役務の安定的な提供の確保が求められるようになりました^※1。また、内閣サイバーセキュリティセンター（NISC）は2021年9月に閣議決定されたサイバーセキュリティ戦略に基き、重要インフラのサイバーセキュリティに係る行動計画（第5次行動計画^※2）を改訂し、公表しました。重要インフラに限らず、さまざまな団体がガイドライン等を提示しており、重要物資の安定的な供給の確保、サプライチェーン全体にわたる対応の強化、経営層を含めたサイバーセキュリティ体制の強化が求められています。

サイバー脅威の高まりから経営層を含めた体制強化やサプライチェーン対応強化が必要に

セキュリティ要求水準が高まる一方で、サプライチェーンを経由したインシデント被害や、ランサムウェアなどによる被害は後を絶ちません。2021年に発生した米国の石油パイプライン停止事案では、100GB近いデータが搾取されたほか、約500万米ドルの身代金支払いなどのランサムウェア被害が発生しました。また2020年には、イタリアの電力企業やアルゼンチンの配電会社が、産業用制御システム（ICS）を標的としたランサムウェアの被害を受けて工場停止などの影響が出るなど、サイバー脅威はますます高まっています。

業務停止に関わるこのような重大な事案は、もはや情報システム部門だけで対応できるものではありません。IPAの情報セキュリティ10大脅威^※3で取り上げられたり、連日ニュースで報道されたりしているように、サイバー脅威に対応するには、経営層を含めた体制の強化が重要となります。

また同様にサプライチェーンに関しても、サイバー脅威の高まりに伴い、サプライチェーン全体にわたって対策を講じ、悪意のある第三者からの攻撃に備える必要があります。

PwCの支援実績

PwCでは、サイバーセキュリティについて関わる豊富な知識・経験を有するプロフェッショナルが、電力制御システムにおけるセキュリティリスクの可視化から、具体的なサイバーセキュリティ対応の計画、実行、評価、改善までを一貫して支援します。

＜対策支援＞

重要インフラ企業向けセキュリティロードマップ策定
グループセキュリティガバナンス構築
経営層向けサイバーセキュリティインシデント対応訓練
クラウド導入リスク対応支援
サプライチェーンセキュリティリスクの抽出・対策立案

＜脆弱性診断・評価＞

電力制御システムのペネトレーションテスト実行・評価・対策立案
電力制御システムに対するサイバー攻撃を想定した訓練や演習の企画・設計支援

図表1

図表2

さらに興味のある方は、下記のサイトをぜひご覧ください。

電力制御システムにおけるサイバーセキュリティリスクへの対応支援
https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/electricity-system.html
バーチャルパワープラント（VPP）事業におけるサイバーセキュリティリスクへの対応支援
https://www.pwc.com/jp/ja/services/digital-trust/cyber-security-consulting/vpp-business.html

※1 内閣府　経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律（経済安全保障推進法）
https://www.cao.go.jp/keizai_anzen_hosho/index.html

※2 サイバーセキュリティ戦略本部　重要インフラのサイバーセキュリティに係る行動計画
https://www.nisc.go.jp/pdf/policy/infra/cip_policy_2022.pdf

※3 IPA 情報セキュリティ10大脅威 2022
https://www.ipa.go.jp/security/vuln/10threats2022.html